Die letzten 48 Stunden zeigen vor allem eines: Europas Cyber- und Datenschutzregime verschieben sich weiter vom Grundsatzdiskurs in die operative Durchsetzung. In Deutschland wurde das KRITIS-Dachgesetz durch den Bundesrat gebracht, während NIS-2 mit dem Ende der Registrierungsfrist endgültig in den Sanktions- und Aufsichtsmodus übergeht. Parallel verdichtet die europäische Datenschutzaufsicht ihre Arbeit an politischer Werbung und Gesundheits-KI.
Quellen:
· Bundesregierung: Im Bundesrat beschlossen:Stärkerer Schutz kritischer Infrastrukturen, https://www.bundesregierung.de/breg-de/aktuelles/kritis-dachgesetz-2383682
· Heise News: Ab jetzt Bußgelder möglich: Stichtag für NIS2-Registrierungspflicht, https://www.heise.de/news/Ab-jetzt-Bussgelder-moeglich-Stichtag-fuer-NIS2-Registrierungspflicht-11201817.html
· EDPB: Stakeholder event on political advertising: agenda available now, https://www.edpb.europa.eu/news/news/2026/stakeholder-event-political-advertising-agenda-available-now_en
Besonders relevant ist der KRITIS-Block, weil er physische Resilienz stärker mit digitaler und organisatorischer Sicherheit verknüpft. Der Streit um Schwellenwerte zeigt zugleich, dass die eigentliche politische Frage noch nicht entschieden ist: Soll Regulierung nur die größten Betreiber treffen,oder auch regional kleinere, aber systemisch wichtige Knoten? Für Betreiber in Energie, Wasser, IT und Verwaltung ist die Antwort praktisch schon jetzt klar:Schutzarchitekturen müssen integrierter werden.
Quellen:
· Bundesregierung: Im Bundesrat beschlossen:Stärkerer Schutz kritischer Infrastrukturen, https://www.bundesregierung.de/breg-de/aktuelles/kritis-dachgesetz-2383682
· Deutsches Ärzteblatt: Kritis-Dachgesetz:Trotz Kritik grünes Licht vom Bundesrat, https://www.aerzteblatt.de/news/kritis-dachgesetz-trotz-kritik-grunes-licht-vom-bundesrat-5970fb74-764f-4891-8663-0ce4a0802b9e
Im NIS-2-Komplex endet die Schonfrist. Die Frist zurRegistrierung ist abgelaufen, das BSI registrierte rund 11.500 Einrichtungen,und zugleich bleibt die Erkenntnis, dass ein erheblicher Teil des Marktes seineBetroffenheit noch immer unterschätzt. Das macht NIS-2 zu einem Lackmustest fürCorporate Governance: Nicht die bloße Existenz eines SOC entscheidet, sonderndie Fähigkeit, Assets, Zuständigkeiten, Lieferketten und Managementhaftung inein belastbares Steuerungsmodell zu übersetzen.
Quellen:
· Heise News: Ab jetzt Bußgelder möglich:Stichtag für NIS2-Registrierungspflicht, https://www.heise.de/news/Ab-jetzt-Bussgelder-moeglich-Stichtag-fuer-NIS2-Registrierungspflicht-11201817.html
· Heise News: BSI: 11.500 kritische Einrichtungen unter NIS2 registriert, https://www.heise.de/news/BSI-11-500-kritische-Einrichtungen-unter-NIS2-registriert-11202673.html
· Heise News: German companies massively ignoring NIS2 obligations, https://www.heise.de/en/news/German-companies-massively-ignoring-NIS2-obligations-11201015.html
Operativ fällt auf, dass Incident Response derzeit stark von Schwachstellen- und Plattformthemen getrieben wird. Neue KEV-Einträge der CISA, FreeRDP-Schwachstellen und QEMU-Advisories erinnern daran, dass Vorfallsfähigkeit längst vor dem eigentlichen Incident beginnt: bei Exposure-Transparenz, Patch-Priorisierung und der Fähigkeit, Infrastrukturkomponenten als geschäftskritische Angriffsflächen zu behandeln. Das ist vor allem für virtualisierte und remote administrierte Umgebungen relevant.
Quellen:
· CISA: CISA Adds Five Known Exploited Vulnerabilities to Catalog, https://www.cisa.gov/news-events/alerts/2026/03/05/cisa-adds-five-known-exploited-vulnerabilities-catalog
· Linux-Magazin: DFN-CERT-2026-0848 FreeRDP: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff, https://www.linux-magazin.de/dfn-cert-advisories/dfn-cert-2026-0848-freerdp-mehrere-schwachstellen-ermoeglichen-u-a-einen-denial-of-service-angriff/
Im Datenschutz verdichtet sich der Trend, KI- und Werbeökosysteme stärker unter konkrete Governance-Anforderungen zu stellen. Der EDPB arbeitet an Leitlinien für politische Werbung, während die CNIL im Gesundheitsbereich sowohl eine Konsultation als auch sehr praktische Hinweise zur datenschutzkonformen Entwicklung und Evaluation von KI vorlegt. DasZusammenspiel aus DSGVO, sektorspezifischer Aufsicht und technischer Dokumentationspflicht wird damit zum eigentlichen Markteintrittskriterium für sensible KI-Anwendungen.
Quellen:
· EDPB: Stakeholder event on political advertising: agenda available now, https://www.edpb.europa.eu/news/news/2026/stakeholder-event-political-advertising-agenda-available-now_en
· CNIL: IA et santé : la HAS et la CNIL lancent une consultation publique sur un projet de guide, https://www.cnil.fr/fr/ia-et-sante-la-has-et-la-cnil-lancent-une-consultation-publique-sur-un-projet-de-guide
Unter dem Strich ist die Woche kein Signal für spektakulär neue Einzelgesetze, sondern für eine härtere Realität bestehender Regeln. Wer Resilienz, Datenschutz und Sicherheitsaufsicht noch in getrennten Silos organisiert, wird regulatorisch und ökonomisch unter Druck geraten. Wer hingegen technische Telemetrie, juristische Nachweisfähigkeit undManagement-Verantwortung integriert, verschafft sich in einem zunehmend strikter regulierten Markt einen echten Vorsprung.
Quellen:
· Bundesregierung: Im Bundesrat beschlossen: Stärkerer Schutz kritischer Infrastrukturen, https://www.bundesregierung.de/breg-de/aktuelles/kritis-dachgesetz-2383682
· K&L Gates: New Cybersecurity Regulationsin Germany—Registration Requirement Expires on 6 March 2026, https://www.klgates.com/New-Cybersecurity-Regulations-in-GermanyRegistration-Requirement-Expires-on-6-March-2026-3-5-2026
