Europa zieht die Schrauben im Cyberbereich weiter an – und zwar nicht nur über neue Pflichten, sondern über eine Kombination aus Vereinfachung, Koordination und strategischer Souveränität. Die EU-Kommission verknüpft die Überarbeitung des Cybersecurity-Act-Rahmens mit Maßnahmen, die die Resilienz undFähigkeiten im Umgang mit täglichen Cyber- und Hybridangriffen stärken sollen.
- European Commission: Commission strengthens EU cybersecurity resilience and capabilities, https://ec.europa.eu/commission/presscorner/detail/en/ip_26_105
Für Betreiber kritischer Infrastrukturen wird parallel deutlich, dass „KRITIS“ längst nicht mehr nur physisch zu denken ist. Im Bundestag werden Fragen diskutiert, die direkt in die operative Praxis reichen: einheitliche Meldestellen, föderal konsistente IT-Sicherheitsstandards und systematisierte Zuständigkeiten. Solche Governance-Entscheidungen bestimmen, ob Incident-Kommunikation in der Krise funktioniert oder am Zuständigkeits-Pingpong scheitert.
- Deutscher Bundestag: Debatte über ganzheitlichen Schutz der kritischen Infrastruktur, https://www.bundestag.de/dokumente/textarchiv/2026/kw05-de-kritische-infrastruktur-1137002
Zugleich rückt die Lieferkette in den Mittelpunkt: Der EU-Entwurf zur Herauslösung von „High-Risk“-Technologie aus kritischen Sektoren zeigt, dass Vendor-Risk nicht mehr nur ein Procurement-Thema ist, sondern ein Architektur- und Compliance-Kriterium. Wer heute keine saubere BOM/Inventarisierung hat, wird morgen weder Exit-Pläne noch belastbare Risikoargumente liefern können.
- Reuters: EU plan to phase-out high-risk tech draws fire from China's Huawei, https://www.reuters.com/business/media-telecom/eu-phase-out-high-risk-tech-targets-huawei-chinese-companies-2026-01-20/
Auf der operativen Ebene verschiebt sich die Bedrohungslage in Richtung Cloud und Container. VoidLink wird als Beispiel für ein cloud-natives Linux-Framework diskutiert, das Persistenz und modulare Angriffslogik in Kubernetes-Umgebungen adressiert. Damit werden Runtime Security, Cloud-Forensik und container-spezifische IR-Playbooks zur Pflicht – gerade für Organisationen, die Produktivsysteme in orchestrierten Umgebungen betreiben.
- Check Point Research: VoidLink: Evidence That the Era of Advanced AI-Generated Malware Has Begun, https://research.checkpoint.com/2026/voidlink-early-ai-generated-malware-framework/
Auch Tooling und Detection-Content entwickeln sich sichtbar weiter: Splunk erweitert mit ESCU 5.20.0 die Detection-Abdeckung und adressiert konkret Browser-Hijacking als Persistenz- und Policy-Tampering-Vektor. Wer NIS-2- und KRITIS-Nachweise liefern muss, profitiert davon nur dann, wenn Content-Updates in saubere Betriebsprozesse übersetzt werden (Staging, Tuning, Runbooks, Übungsbetrieb).
- Splunk: ESCU version 5.20.0 was released on January 20th, 2026, https://help.splunk.com/en/splunk-enterprise-security-8/security-content-update_1/release-notes/5.20/splunk-security-content-release-notes/whats-new
Schließlich zeigt die Datenschutzseite, dass Compliance nicht losgelöst von Sicherheit betrachtet werden kann: Das European Data Protection Board adressiert sowohl die Evaluierung der Law-Enforcement-Directive als auch aktualisierte Leitplanken für Processor-BCRs, inklusive öffentlicher Konsultation. Für international skalierende Unternehmen ist das der Hinweis, Transfer- und Subprocessing-Governance als festen Bestandteil der Cyber- und Compliance-Resilienz zu behandeln – nicht als Rechts-„Beipackzettel“.
- European Data Protection Board: EDPB contributes to the LED evaluation and adopts recommendations on the application for Processor BCR, https://www.edpb.europa.eu/news/news/2026/edpb-contributes-led-evaluation-and-adopts-recommendations-application-processor-bcr_en
