Rückzug der USA aus Cybersicherheitsabkommen signalisiert Unternehmensrisiko

Der Rückzug der USA aus Cyberabkommen signalisiert ein Unternehmensrisiko

Von Danny Bradbury • 12. MÄRZ 2026

Die jüngsten Maßnahmen der US-Regierung gefährden die zukünftige multilaterale Cybersicherheitskoordination zwischen dieser und anderen Regierungen. Was bedeutet dies für Vorstände, die Schwierigkeiten haben, Cybersicherheits- und Compliance-Risiken zu bewältigen?

Im Januar hatte die Trump-Regierung Die USA traten aus 66 internationalen Organisationen aus. Dazu gehörten drei Organisationen mit klaren Mandaten im Bereich Cybersicherheit: das Global Forum on Cyber Expertise, die Freedom Online Coalition und das European Centre of Excellence for Countering Hybrid Threats.

Diese Gruppen helfen bei der Koordinierung der Cybersicherheitspolitik, dem Austausch von Fachwissen und der Unterstützung grenzüberschreitender Maßnahmen gegen Sicherheitsvorfälle. Zwei dieser Gruppen waren Initiativen, die von den USA mitbegründet wurden. Der Austritt aus diesen Gruppen signalisiert eine stärker nach innen gerichtete Cybersicherheitsstrategie und wirft Fragen darüber auf, inwieweit die internationale Zusammenarbeit künftig die Cybersicherheitspolitik prägen wird.

Dies ist nicht der erste Schritt der Regierung, der die Cyberkooperation betrifft. Frühere Entscheidungen Bei CISA kam es zu Personalabbau. und Änderungen einiger seiner operativen Prioritäten, die sich unweigerlich auf seine Fähigkeit zum internationalen Engagement auswirken.

Für Unternehmen, die in den USA, Großbritannien und Europa tätig sind, geht es weniger um einzelne Entscheidungen, sondern vielmehr um das, was sie signalisieren: eine allmähliche Verlagerung hin zu einem stärker fragmentierten, regional geprägten Cybersicherheitsumfeld.

Die Herausforderung für eine koordinierte Reaktion auf Zwischenfälle

Multilaterale Rahmenwerke bilden das Bindeglied für den Informationsaustausch zwischen nationalen Cybersicherheitsbehörden. Diese Infrastruktur gewinnt insbesondere bei groß angelegten, grenzüberschreitenden Vorfällen an Bedeutung.

Im Krisenfall koordinieren nationale CERTs und Cybersicherheitsbehörden die Reaktion im Inland. Komplexe Cybervorfälle betreffen jedoch häufig mehrere Zuständigkeitsbereiche gleichzeitig und erfordern daher eine Koordination auf regionaler oder internationaler Ebene.

Vereinbarungen wie die ENISA–CISA-Kooperationsabkommen Ende 2023 unterzeichnet Sie wurden entwickelt, um die transatlantische Koordination bei größeren Zwischenfällen zu stärken. Angesichts der sich verändernden geopolitischen Lage ist die Beständigkeit dieser Vereinbarungen jedoch weniger sicher.

Schwere Cyberangriffe belasten bereits jetzt die Reaktionsfähigkeit einzelner Staaten. Grenzüberschreitende Ereignisse erfordern die Zusammenarbeit zwischen nationalen Behörden und regionalen Institutionen.

Britische und EU-Organisationen werden voraussichtlich einen größeren Anteil dieser Koordinierungsrolle übernehmen. Der im Juni letzten Jahres verabschiedete EU-Cyber-Aktionsplan verbessert die Krisenkoordinierung auf politischer und technischer Ebene. ENISA hat bereits ein Mandat zur Unterstützung und Koordinierung von Maßnahmen bei bedeutenden grenzüberschreitenden Vorfällen.

In Großbritannien koordiniert das NCSC die behördenübergreifende Zusammenarbeit bei größeren Cybervorfällen und kann bei der Reaktion und Kommunikation direkt mit betroffenen Organisationen zusammenarbeiten.

Die Infrastruktur für internationale Zusammenarbeit ist weiterhin vorhanden. Die Frage ist, ob sie in einem regional fragmentierteren Umfeld effektiv skalierbar ist, insbesondere wenn die Beteiligung der USA an der multilateralen Koordinierung an Bedeutung verliert.

Regulatorische Abweichungen sind zu erwarten

Diese Fragmentierung betrifft auch die Regulierung. Die Cybersicherheitsvorschriften der USA, Großbritanniens und der EU waren nie vollständig aufeinander abgestimmt. Doch mit der Divergenz geopolitischer Prioritäten können sich auch die regulatorischen Erwartungen verändern.

Multilaterale Foren trugen in der Vergangenheit dazu bei, diese Unterschiede auszugleichen, indem sie Räume für die Koordinierung schufen. Ohne diese Angleichung werden sich die regulatorischen Rahmenbedingungen voraussichtlich weiter auseinanderentwickeln, insbesondere in Bezug auf Fristen für die Meldung von Vorfällen, Schwellenwerte für die Meldung von Datenschutzverletzungen und die Frage, was als „erheblich“ gilt.

Die EU hat sich am weitesten in Richtung präskriptiver, branchenübergreifender und verbindlicher Regulierung bewegt. NIS 2 umfasst 18 kritische Sektoren und sieht eine 24-stündige Frühwarnung sowie eine 72-stündige Meldepflicht bei Vorfällen vor, mit Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes.

Die regulatorischen Rahmenbedingungen in den USA entwickeln sich in eine andere Richtung. Die Trump-Regierung verfolgt einen weitgehend deregulierenden Ansatz. Die Offenlegungsvorschriften der SEC im Bereich Cybersicherheit stoßen auf politischen Widerstand, der „Cyber Incident Reporting for Critical Infrastructure Act of 2022“ (CIRCIA) wurde verschoben, und es gibt kein bundesweites Datenschutzgesetz.

Für multinationale Organisationen führt dies zu einem komplexeren Umfeld der Einhaltung von Vorschriften.

Unternehmen müssen möglicherweise parallele Compliance-Programme aufbauen, um mehrere Jurisdiktionen abzudecken, oder ein höheres Risiko lokaler Durchsetzungsmaßnahmen in Kauf nehmen. Organisationen, die in den USA, Großbritannien und der EU tätig sind, müssen sich mit zunehmend unterschiedlichen regulatorischen Anforderungen auseinandersetzen.

Lieferketten- und Drittparteienrisiko

Das Management von Drittparteirisiken war bereits eine ständige Herausforderung, aber je weniger Nationalstaaten bei bewährten Verfahren und Schutzmaßnahmen zusammenarbeiten, desto komplexer wird dies.

Der EU-Cyberresilience Act schreibt Software-Stücklisten (SBOMs) für alle Produkte mit digitalen Elementen vor, die in der EU verkauft werden. Der Digital Operational Resilience Act (DORA) ergänzt dies um eine weitere Ebene, indem er EU-Regulierungsbehörden die direkte Aufsicht über kritische IKT-Anbieter, einschließlich US-amerikanischer Cloud-Unternehmen, die EU-Finanzinstitute bedienen, ermöglicht.

Der vorgeschlagene EU-Cybersicherheitsgesetz 2 geht noch weiter und führt Rahmenbedingungen für die Lieferkettensicherheit ein, die speziell auf das Risiko von Lieferanten aus Drittländern abzielen.

Der US-amerikanische Ansatz ist hingegen enger gefasst und wendet SBOMs hauptsächlich auf das öffentliche Beschaffungswesen gemäß EO 14028 an. Im Vereinigten Königreich gibt es kein entsprechendes gesetzliches Äquivalent.

Das Ergebnis sind drei große Märkte, die unter zunehmend unterschiedlichen Erwartungen an die Produktsicherheit operieren.

Ein US-amerikanisches Unternehmen, das Software nach Europa verkauft, sieht sich mit produktbezogenen Compliance-Anforderungen konfrontiert, auf die es durch die nationalen regulatorischen Rahmenbedingungen nicht vorbereitet ist. Ohne starke internationale Koordinierungsmechanismen müssen die Unternehmen diese Komplexität selbst bewältigen.

Warum dies ISO 27001 wertvoller macht

All dies bedeutet, dass Unternehmensrichtlinien aktualisiert werden müssen. Kluge Unternehmen setzen auf länderübergreifende Rahmenwerke. ISO 27001 wirkt plötzlich vorausschauend, da es international anwendbar ist. Fünf Kontrollen der Version 2022 befassen sich speziell mit der Sicherheit von Drittanbietern und spiegeln die wachsende Bedeutung der Lieferantenzusicherung wider.

Noch wichtiger ist vielleicht, dass es von Aufsichtsbehörden von Singapur bis Stockholm anerkannt wird. Es ersetzt zwar nicht die länderspezifischen Compliance-Anforderungen, bietet aber eine einheitliche Grundlage, auf der Organisationen die Sicherheit in verschiedenen regulatorischen Umfeldern gewährleisten können.

In einer fragmentierten Regierungslandschaft erweist sich diese Konsistenz als strategisch nützlich.

Ein Risiko auf Vorstandsebene, nicht nur ein diplomatisches.

Für Vorstände mag der Rückzug aus internationalen Rahmenwerken zur Cybersicherheitskooperation keine unmittelbare operative Bedrohung darstellen. Er deutet aber auf einen strukturellen Wandel in der Entwicklung der globalen Cybersicherheits-Governance hin.

Die Zusammenarbeit zwischen Regierungen im Cyberraum hat seit langem dazu beigetragen, regulatorische Unterschiede zu verringern, die Krisenkoordination zu verbessern und gemeinsame Erwartungen hinsichtlich der Sicherheitspraktiken zu schaffen.

Wenn diese Mechanismen schwächer werden oder sich weiterentwickeln, tragen die Unternehmen eine größere Verantwortung dafür, selbst Resilienz, Interoperabilität und Lieferkettensicherheit aufrechtzuerhalten.

Die globale Cybersicherheit bricht nicht zusammen, wenn sich ein wichtiger Akteur aus dem multilateralen Engagement zurückzieht. Sie wird aber komplexer.

Und für Organisationen, die in den USA, Großbritannien und Europa tätig sind, stellt Komplexität ein Risiko dar, das zunehmend innerhalb des Unternehmens bewältigt werden muss, anstatt als durch internationale Koordination stabilisiert zu gelten.

Danny Bradbury

Danny Bradbury ist seit 1989 Printjournalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit gewonnen.

Lesen Sie mehr von Danny Bradbury

Internet-Sicherheit 5 Februar 2026

Warum Aufsichtsbehörden und Investoren von Unternehmen erwarten, dass sie ein dreifaches Risiko angehen (Blogbeitrag)

Warum Regulierungsbehörden und Investoren von Unternehmen die Bewältigung eines dreifachen Risikos erwarten

Unternehmen sorgen sich um Sicherheits- und Datenschutzrisiken. Und in jüngster Zeit rücken auch KI-Risiken in ihren Fokus. Doch wie oft denken sie an alle Aspekte ...

Danny Bradbury

Internet-Sicherheit 15 Januar 2026

Von der Perimetersicherheit bis hin zu Identität als Sicherheitsbanner

Von der Perimetersicherheit zur Identitätssicherung

Man kann heutzutage keine Sicherheitsveranstaltung besuchen, ohne auf den Begriff „Zero Trust“ zu stoßen. Es ist zweifellos ein Modewort, aber…

Danny Bradbury

Internet-Sicherheit 18 December 2025

Wie man sich im Labyrinth der US-KI-Compliance zurechtfindet (Banner)

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet

Im Bereich der Regulierung ist der Begriff „Vereinigte Staaten“ ein Widerspruch in sich. Die Gesetze der einzelnen Bundesstaaten sind alles andere als einheitlich, jede Gerichtsbarkeit hat ihre eigenen Traditionen…

Danny Bradbury

Der Rückzug der USA aus Cyberabkommen signalisiert ein Unternehmensrisiko

Die Herausforderung für eine koordinierte Reaktion auf Zwischenfälle

Regulatorische Abweichungen sind zu erwarten

Lieferketten- und Drittparteienrisiko

Warum dies ISO 27001 wertvoller macht

Ein Risiko auf Vorstandsebene, nicht nur ein diplomatisches.

Danny Bradbury

Related articles

Der Weg des geringsten Widerstands: Warum eine gestaffelte Verteidigung die beste Antwort auf Cloud-Bedrohungen ist

Die Anforderungen des Datenschutzgesetzes sicher erfüllen: Warum der ISO 27001-, 27701- und 42001-Zyklus funktioniert

Cyberbedrohungen in Zeiten erhöhter Spannungen im Nahen Osten: Was britische CISOs erwarten können

Lesen Sie mehr von Danny Bradbury

Warum Regulierungsbehörden und Investoren von Unternehmen die Bewältigung eines dreifachen Risikos erwarten

Von der Perimetersicherheit zur Identitätssicherung

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet