Stellen Sie sich vor: Ihr Rechtsteam kommt herein und sagt: Sie haben fünf Jahre Zeit, alle Schlösser im Gebäude auszutauschen. Nicht weil die aktuellen Schlösser kaputt sind. Sondern weil ein neuer Typ von Dietrich kommt — und sobald er da ist, werden Ihre alten Schlösser in Sekunden öffnen.

In dieser Situation befinden sich europäische Unternehmen bei der Verschlüsselung. Die EU weiß es. Die Regulatoren wissen es. Und im Juni 2025 veröffentlichten sie eine Roadmap mit einer klaren Frist: 2030.

Die Frage ist, ob Ihr Unternehmen das auch weiß.

Was sagt die EU-Roadmap konkret?

Im Juni 2025 veröffentlichte die Europäische Agentur für Cybersicherheit (ENISA) ihre Post-Quantum-Kryptographie-Roadmap — einen detaillierten Plan, wie kritische Infrastrukturen in ganz Europa auf quantensichere Verschlüsselung migrieren sollen.

Die Kernbotschaft ist eindeutig: RSA und ECC — die Algorithmen, die die meisten Ihrer Systeme heute schützen — sind mathematisch anfällig für Quantencomputer. ENISA möchte, dass kritische Infrastrukturen diese Migration bis 2030 abschließen.

Das ist keine Empfehlung. Es ist eine koordinierte Politik, und der regulatorische Rahmen dahinter ist bereits in Kraft.

Wen betrifft das genau?

Sie denken vielleicht, das betrifft nur Regierungsbehörden oder Rüstungsunternehmen. Das stimmt nicht.

NIS2 — die aktualisierte EU-Cybersicherheitsrichtlinie, die im Oktober 2024 in Kraft trat — deckt eine breite Palette von Sektoren ab:

Energie: Strom, Öl und Gas, Fernwärme
Finanzen: Banken, Versicherungen und Marktinfrastruktur
Gesundheit: Krankenhäuser, Pharmahersteller und Labore
Transport: Luftfahrt, Eisenbahn, Schifffahrt und Straßenlogistik
Digitale Infrastruktur: Cloud-Anbieter, Rechenzentren, DNS und CDN-Betreiber
Öffentliche Verwaltung: zentrale und regionale Regierungsstellen

DORA — die Verordnung über die digitale operative Resilienz für Finanzdienstleistungen — trat im Januar 2025 in Kraft und verpflichtet Unternehmen ausdrücklich, Risiken aus aufkommenden Technologien, einschließlich Quantencomputing, zu bewerten und zu adressieren. Wenn Ihr Unternehmen in einem dieser Sektoren in der EU tätig ist, ist die Quanten-Migration keine Wahl.

Warum 2030 näher ist, als es aussieht

Fünf Jahre klingt nach viel Zeit. Das ist es nicht.

Die Migration kryptographischer Infrastruktur ist nicht wie das Update einer App. Jedes System, das Verschlüsselung verwendet, muss inventarisiert, bewertet und migriert werden: TLS-Zertifikate, JWT-Token, API-Schlüssel, Signaturzertifikate, verschlüsselte Datenbankfelder, Backup-Verschlüsselung — es ist überall, und die meisten Organisationen haben nicht einmal ein vollständiges Inventar.

In der Praxis berichten Organisationen, die diese Arbeit begonnen haben, dass es zwei bis vier Jahre vom ersten Audit bis zur vollständigen Migration dauert. Manche arbeiten seit 2022 daran und sind noch nicht fertig.

Rechnen Sie nach. Wenn Sie 2027 anfangen, kommen Sie 2030 mit unfertigem Werk und einem wartenden Regulator an.

Drei Dinge, die Sie jetzt tun können

Die gute Nachricht: Sie müssen nicht alles auf einmal lösen. Die Post-Quanten-Migration ist ein Programm, kein einzelnes Projekt. Hier ist ein praktischer Ausgangspunkt:

Erstellen Sie ein kryptographisches Inventar. Wo verwenden Sie heute RSA oder ECC? Es steckt in Ihrer TLS-Konfiguration, Ihren JWT-Signaturschlüsseln, Ihrem SSH-Zugang, Ihren Code-Signaturzertifikaten — höchstwahrscheinlich überall. Sie können nicht priorisieren, was Sie nicht kartiert haben.
Klassifizieren Sie Ihre Daten nach Langlebigkeit. Welche Daten werden 2030 oder danach noch sensibel sein? Kundendaten, Gesundheitsdaten, Finanztransaktionen, Geschäftsgeheimnisse — alles mit einer längeren Lebensdauer als der Zeit bis zur Verfügbarkeit von Quantencomputern ist bereits durch Harvest-Now-Decrypt-Later-Angriffe gefährdet.
Starten Sie neue Systeme richtig. Wenn Sie neue APIs, Dienste oder Integrationen aufbauen, verwenden Sie von Anfang an Post-Quanten-Algorithmen. FIPS 203 (ML-KEM) und FIPS 204 (ML-DSA) sind finalisiert, standardisiert und produktionsreif. Es gibt keinen Grund, heute ein neues System mit RSA zu beginnen.

Genau dafür haben wir QuantumAPI gebaut

Bei Kovimatic haben wir QuantumAPI speziell für diesen Übergang gebaut. Nicht als Forschungsprojekt. Nicht als Proof of Concept. Als Produktionsinfrastruktur, die Sie heute nutzen können.

QuantumKeys gibt Ihnen ML-KEM und ML-DSA über eine REST-API — quantensichere Verschlüsselung ohne internes kryptographisches Fachwissen. QuantumVault verwaltet Ihre Secrets und Schlüssel mit denselben Post-Quanten-Standards. QuantumID kümmert sich um Authentifizierung und MFA mit quantenresistenten Protokollen.

Alles auf europäischer Infrastruktur, unter EU-Jurisdiktion, mit einem vollständigen Audit-Protokoll, das die NIS2-Anforderungen erfüllt.

Die 2030-Frist ist real. Die Regulatoren meinen es ernst. Und die Organisationen, die jetzt beginnen, werden in einer sehr anderen Position sein als diejenigen, die bis zum letzten Jahr warten.