EU-Cybersicherheitsgesetz 2: Neue Herausforderungen für Glasfaseranbieter

Die meisten Glasfasernetzbetreiber verbrachten die Jahre 2024 und 2025 damit, die NIS2-Verpflichtungen zu erfüllen: Dokumentation der Reaktion auf Vorfälle, Verschärfung der Zugangskontrollen und Kartierung kritischer Anlagen. Diese Arbeit war notwendig. Aber sie ist möglicherweise nicht ausreichend. Die Europäische Kommission arbeitet derzeit am Entwurf des Cybersecurity Act 2 (CSA2), einer Verordnung der zweiten Welle, die über Prozesse und Berichterstattung hinausgeht und verbindliche Anforderungen an IKT-Lieferketten stellt. Für mittelgroße Betreiber ist der Unterschied eklatant: NIS2 verlangte von Ihnen, ein Risikomanagement nachzuweisen; CSA2 wird Sie auffordern, Geräte zu ersetzen.

Der FTTH Council Europe hat Brüssel bereits aufgefordert, eine umfassende Folgenabschätzung durchzuführen und einen verhältnismäßigen Ansatz zu wählen. Seine Besorgnis ist wohlbegründet. CSA2 würde eine Dreijahresfrist für den Austausch von Komponenten von Lieferanten einführen, die die Kommission als "risikoreich" einstuft. Im Gegensatz zu NIS2, das die Auswahl der Zulieferer dem Ermessen der Betreiber innerhalb eines Risikorahmens überließ, behandelt CSA2 die Gefährdung durch Zulieferer als einen harten Compliance-Fall. Damit verlagert sich die Last von der Verwaltung auf die Ausführung - und zwar in großem Umfang.

CSA2 verwandelt das Lieferantenrisiko in ein zeitlich begrenztes Problem

Unter NIS2 wurde von den Betreibern erwartet, dass sie die Risiken in der Lieferkette identifizieren und abmildern. Das bedeutete, dass man die Beziehungen zu den Lieferanten dokumentieren, die Konzentration bewerten und Verträge abschließen musste, die Audits oder Ausstiege ermöglichten. Es handelte sich um eine Governance-Übung. Mit CSA2 stehen andere Dinge auf dem Spiel. Sobald die Kommission eine Entscheidung über ein hohes Risiko erlässt, haben die Betreiber 36 Monate Zeit, um die betroffenen Komponenten aus den kritischen Infrastrukturen zu entfernen. Keine Verlängerungen. Es gibt keine Ausnahmeregelungen für Industriebetriebe oder Altverträge.

Für einen mittelgroßen Betreiber, der eine Mischung aus aktiver Ausrüstung, OSS, BSS und Integrationen von Drittanbietern betreibt, ist diese Frist sehr knapp bemessen. Sie können nicht einfach eine DWDM-Plattform oder ein Abrechnungssystem austauschen, ohne dass dies Auswirkungen auf die nachgelagerten Bereiche hat. Die Abhängigkeiten sind groß: Schnittstellen, Datenmodelle, Prozessautomatisierung, geschultes Personal, Supportvereinbarungen. Das Zeitfenster von drei Jahren setzt voraus, dass Sie bereits wissen, was Sie haben, wo es eingesetzt wird und was es berührt. Viele Betreiber wissen das nicht.

Dies ist kein theoretisches Risiko. Wenn CSA2 in seiner jetzigen Form verabschiedet wird, beginnt die Uhr zu ticken, sobald ein Lieferant benannt wird. Betreiber, die nicht über ein klares Risikoregister für Lieferanten und einen Prüfpfad für die Beschaffung verfügen, werden Monate verlieren, nur um das Ausmaß des Problems festzustellen.

Mittelgroße Betreiber sind mit asymmetrischen Kosten und Komplexität konfrontiert

Große etablierte Unternehmen können die Einhaltung von CSA2 durch zentralisierte Beschaffung, interne Rechtsteams und Strategien mit mehreren Anbietern auffangen. Mittelgroße Glasfaserbetreiber haben diesen Luxus oft nicht. Die Beziehungen zu den Anbietern sind schlanker. Die Kapazitäten der Rechtsabteilung und der Beschaffungsabteilung sind überlastet. Und die Kapitalbudgets sind bereits für den Ausbau des Netzes und nicht für den zwangsweisen Austausch von Geräten vorgesehen.

CSA2 verursacht asymmetrische Konformitätskosten. Die gleiche Drei-Jahres-Frist gilt, egal ob Sie 50.000 Standorte oder 5 Millionen betreiben. Die Fixkosten für die Prüfung von Lieferanten, die Validierung der Herkunft von Komponenten und die Verwaltung von Ersatzgeräten sind jedoch nicht linear skalierbar. Kleinere Betreiber zahlen pro Teilnehmer mehr für die Einhaltung der Vorschriften.

Es besteht auch ein Ausführungsrisiko. Das Ersetzen eines zentralen Abrechnungssystems oder einer Aktivierungsplattform ist kein Wochenendprojekt. Es erfordert parallele Tests, Datenmigration, Umschulung des Personals und Ausweichplanung. Wenn mehrere Betreiber den gleichen Zeitplan einhalten müssen, verlängern sich die Lieferfristen der Anbieter. Die Vorlaufzeiten für validierte, CSA2-konforme Geräte könnten sich verdoppeln. Betreiber, die mit dem Handeln bis zum zweiten Jahr warten, könnten sich im dritten Jahr mit begrenzten Optionen und hohen Preisen konfrontiert sehen.

Die operative Lektion ist klar: Die Einhaltung von CSA2 beginnt mit Transparenz. Sie können nicht ersetzen, was Sie nicht erfasst haben. Und Sie können es nicht schnell erfassen, wenn Ihre Beschaffungshistorie in Tabellenkalkulationen, E-Mail-Threads und Altverträgen ohne strukturierte Metadaten besteht.

Was CSA2 für OSS, BSS und Netzwerkautomatisierung bedeutet

Der Anwendungsbereich von CSA2 umfasst "IKT-Produkte und -Dienstleistungen", die in kritischen Infrastrukturen eingesetzt werden. Das umfasst mehr als Router und Switches. Es umfasst auch:

• Systeme zur Betriebsunterstützung (OSS) für Dienstaktivierung, -sicherung und -inventarisierung

• Business-Support-Systeme (BSS) für Abrechnung, CRM und Teilnehmerverwaltung

• Netzwerkautomatisierungsplattformen, die Dienste bereitstellen oder Konfigurationen verwalten

• Integrationen und APIsvon Drittanbietern, die Teilnehmerdaten oder Netzsteuerungsebenen berühren

Wenn eines dieser Systeme auf Komponenten eines Hochrisikolieferanten angewiesen ist, fallen sie unter CSA2. Das bedeutet, dass Betreiber die Abhängigkeiten nicht nur auf der Hardware-Ebene, sondern auch in der Software-Lieferkette verfolgen müssen. Nutzt Ihr OSS-Anbieter Bibliotheken oder Cloud-Infrastrukturen von Drittanbietern, die als solche gekennzeichnet werden könnten? Ist Ihr BSS mit einem Zahlungs-Gateway oder einem Identitätsanbieter auf der Risikoliste integriert? Diese Fragen sind ohne strukturierte Beschaffungsdaten und Transparenz der Anbieter nicht leicht zu beantworten.

Betreiber, die bereits in modulare, API-gesteuerte Architekturen investiert haben, sind im Vorteil. Der Austausch eines Microservice oder einer einzelnen Integration ist schneller und weniger störend als das Herausreißen einer monolithischen Plattform. Modularität hilft jedoch nur, wenn Sie wissen, was wo und unter welcher Lizenz oder Supportvereinbarung läuft. Das erfordert eine Bestandsaufnahme, ein Konfigurationsmanagement und Prüfpfade -dieselben Disziplinen, die NIS2 gefördert hat, aber CSA2 durch harte Fristen erzwingen wird.

Was ist als nächstes zu tun?

CSA2 liegt noch im Entwurf vor, aber es ist die falsche Strategie, auf den endgültigen Text zu warten. Betreiber sollten dies als die nächste Konformitätswelle betrachten und jetzt mit dem Aufbau der Governance- und Visibility-Ebene beginnen. Hier ist der Schwerpunkt zu setzen:

• Erfassen Sie kritische Abhängigkeiten von Lieferanten über das Netzwerk, OSS, BSS und die Integration von Drittanbietern. Dokumentieren Sie, was Sie haben, wo es eingesetzt wird und womit es verbunden ist.

• Erstellen Sie ein Lieferantenrisikoregister mit klaren Verantwortlichkeiten. Weisen Sie für jede kritische Lieferantenbeziehung einen Verantwortlichen zu. Verfolgen Sie Vertragsbedingungen, Supportverpflichtungen und Ausstiegsmöglichkeiten.

• Überprüfen Sie die Beschaffungsklauseln auf Überprüfbarkeit und Austauschbarkeit. Stellen Sie sicher, dass die Verträge es Ihnen ermöglichen, die Herkunft von Komponenten anzufordern, die Lieferketten zu überprüfen und ohne hohe Strafen auszusteigen, wenn ein Lieferant auffällig wird.

• Priorisieren Sie Systeme mit langen Austauschzyklen. Der Austausch von Abrechnungsplattformen, Bestandsdatenbanken und zentralen OSS dauert oft 12 bis 18 Monate. Diese sollten bei Ihrer Risikobewertung ganz oben stehen.

• Binden Sie Anbieter jetzt ein. Fragen Sie die Anbieter, wie sie CSA2 einhalten wollen. Fordern Sie Unterlagen über die Beschaffung von Komponenten, die Gefährdung durch hohe Risiken und alternative Optionen für den Fall, dass eine Entscheidung getroffen wird.

Betreiber, die CSA2 als ein Problem der Unternehmensführung und -durchführung und nicht als ein zukünftiges regulatorisches Ereignis betrachten, werden besser aufgestellt sein, wenn die Fristen verbindlich werden.

Von der Einhaltung der Vorschriften zur betrieblichen Modernisierung

CSA2 ist nicht nur eine regulatorische Belastung. Es ist eine zwingende Funktion für die Transparenz der Lieferkette und die betriebliche Disziplin. Unternehmen, die jetzt die Sichtbarkeitsebene aufbauen, werden nicht nur die Fristen von CSA2 einhalten, sondern auch die Bindung an einen bestimmten Anbieter verringern, die Effizienz der Beschaffung verbessern und die Automatisierung beschleunigen. Das macht die Einhaltung von Vorschriften zu einer Investition in die Flexibilität und nicht nur zu einer Kostenstelle.

Der Schlüssel ist, mit Daten zu beginnen. Erfassen Sie Ihre Lieferanten. Dokumentieren Sie Ihre Abhängigkeiten. Erstellen Sie ein Risikoregister mit Eigentumsrechten und Prüfpfaden. Diese Schritte brauchen Zeit, aber sie sind überschaubar, wenn Sie jetzt damit beginnen. Wenn Sie warten, bis die Kommission ihre erste risikoreiche Entscheidung erlässt, gerät die Zeitspanne in den Krisenmodus.

Nächster Schritt: Überprüfen Sie Ihre OSS- und BSS-Beschaffungshistorie. Ermitteln Sie, welche Systeme kritische Infrastrukturen berühren. Und weisen Sie jeder Anbieterbeziehung einen Geschäftsverantwortlichen zu. Das ist die Grundlage für die CSA2-Bereitschaft - und für betriebliche Ausfallsicherheit über die Einhaltung der Vorschriften hinaus.