Verdichtung der Regulierung: NIS‑2, KRITIS und DORA greifen ineinander
Die letzten Tage markieren einen Einschnitt im europäischen Cyber‑Regulierungsgefüge: Mit dem Inkrafttreten des deutschen NIS2‑Umsetzungsgesetzes, der Anpassung der BSI‑KritisV und der ersten DORA‑Zwischenbilanz der BaFin entsteht ein wesentlich dichteres Netz von Sicherheits- und Resilienzanforderungen. NIS‑2 weitet den Adressatenkreis weit über klassische KRITIS‑Betreiber hin aus aus und macht Cybersicherheit zu einer klar definierten Organpflicht. Gleichzeitig zeigt DORA mit über 600 schweren IKT‑Vorfällen im ersten Jahr, wie real die Bedrohungslage im Finanzsektor ist und wie schnell Meldepflichten zu gefüllten Datenpools und neuen Aufsichtserwartungen führen. Für Security‑Verantwortliche heißt das: Governance, Risk und Compliance müssen stärker integriert werden – getrennte Silos für KRITIS, IT‑Sicherheitsgesetz, DORA und DSGVO sind ein Luxus vergangener Jahre.
Quellen:
BBS Rechtsanwälte, „NIS2-Umsetzungsgesetz verabschiedet: Check your status!“,
https://bbs-law.de/2025/12/nis2-umsetzungsgesetz-verabschiedet-check-your-status/
GreenbergTraurig, „NIS2 in Germany: The New BSI Act Makes Cybersecurity aBoard-LevelIssue“,
https://www.gtlaw.com/en/insights/2025/12/nis2-in-germany-the-new-bsi-act-makes-cybersecurity-a-board-level-issue
FinanzBusiness,„BaFin meldet über 600 schwere IKT-Vorfälle seit Dora-Start“,
https://finanzbusiness.de/nachrichten/banken/article18808688.ece
Buzer,„§ 5 BSI-KritisV – Informationstechnik und Telekommunikation(Neufassung06.12.2025)“,
https://www.buzer.de/gesetz/12020/al231068-0.htm
Neue Bedrohungsdimension: BRICKSTORM und die Verwundbarkeit von Virtualisierungs-Stacks
Parallel zur Regulierung zeigt die BRICKSTORM‑Kampagne, wie gezielt staatlich unterstützte Akteure sich in die Virtualisierungs‑Schichten von kritischer Infrastruktur hinein arbeiten. Die gemeinsame Analyse von CISA, kanadischerCyber‑Behörde und Branchen‑ISACs legt nahe, dass Angreifer VM‑Snapshots stehlen, versteckte VMs anlegen und sich über lange Zeiträume unbemerkt in VMware‑Umgebungen einnisten können. In Kombination mit Vorfällen wie React2Shell und dem durch eine WAF‑Mitigation ausgelösten Cloudflare‑Ausfall wird deutlich: Virtualisierung und globale Cloud‑Infrastruktur sind zugleich Enabler und Achillesferse moderner Systeme. Strategisch müssen sie als eigene Risikoklasse behandelt werden – mit dedizierten Härtungs‑, Logging‑ undResilienz‑Strategien, die über „klassisches Patchen“hinausgehen.
Quellen:
CanadianCentre for Cyber Security, „Joint Malware Analysis Report –BRICKSTORMBackdoor“,
https://www.cyber.gc.ca/en/news-events/joint-malware-analysis-report-brickstorm-backdoor
CISA,„PRC State-Sponsored Actors Use BRICKSTORM Malware Across PublicSector and InformationTechnology“,
https://www.cisa.gov/news-events/alerts/2025/12/04/prc-state-sponsored-actors-use-brickstorm-malware-across-public-sector-and-information-technology
WaterISAC,„Malware Analysis Report – BRICKSTORM malware used by People'sRepublic of China state-sponsoredactors“,
https://www.waterisac.org/tlpclear-malware-analysis-report-brickstorm-malware-used-by-peoples-republic-of-china-state-sponsored-actors
CyberScoop,„Attackers exploit React server vulnerability as companies scrambletodefend“,
https://cyberscoop.com/attackers-exploit-react-server-vulnerability/
SecurityWeek,„Cloudflare Outage Caused by React2ShellMitigations“,
https://www.securityweek.com/cloudflare-outage-caused-by-react2shell-mitigations/
KI in OT und CRA: Resilienz als Produkteigenschaft
Mit den neuen Leitlinien zur sicheren Integration von KI in OT‑Systemen und der zunehmenden Operationalisierung des Cyber Resilience Act verschiebt sich der Blick auf Cyber‑Resilienz: weg von Firewalls und Backups, hin zu Architektur‑ und Produktentscheidungen. Kritische Infrastrukturen sollen KI‑Komponenten nur unter klaren Governance‑, Test- und Fail‑Safe‑Bedingungen einsetzen, während Hersteller vernetzter Geräte SBOM‑Transparenz, Secure‑Update‑Mechanismen und Schwachstellen‑Management tief in ihre Produkte einbauen müssen. Resilienz wird damit zur inhärenten Eigenschaft von Software‑ und IoT‑Produkten – und zum Differenzierungsmerkmal im Wettbewerb. Wer diese Anforderungen früh in Roadmaps und Plattformstrategien integriert, kann Compliance‑Kosten senken und sich als „CRA‑ready“ positionieren, statt im Nachhinein teure Retrofit‑Projekte zu finanzieren.
Quellen:
CISA,„Principles for the Secure Integration of Artificial Intelligencein Operational Technology“,
https://www.cisa.gov/resources-tools/resources/principles-secure-integration-artificial-intelligence-operational-technology
CISAet al., „Joint Guidance – Principles for the Secure Integrationof Artificial Intelligence in Operational Technology“(PDF),
https://www.cisa.gov/sites/default/files/2025-12/joint-guidance-principles-for-the-secure-integration-of-artificial-intelligence-in-operational-technology-508c.pdf
Cumulocity,„Cumulocity Delivers Cyber Resilience Act Compliance Leveraging theMicrosoftCloud“,
https://www.cumulocity.com/press-releases/cumulocity-delivers-cyber-resilience-act-compliance-leveraging-the-microsoft-cloud/
Europäische Kommission, „Cyber Resilience Act – Proposal for a regulation on horizontal cybersecurity requirements for products with digital elements“,
https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
Plattformregulierung & Datenschutz: DSA, Digital Omnibus und Aufsichtsreform
Auf Plattformebene zeigt die erste DSA‑Strafe gegen X, dass Interface‑Design und Transparenzpflichten nun mit dreistelligen Millionenbeträgen sanktioniert werden können. Parallel dazu plant die EU‑Kommission mit einem „Digital Omnibus“ eine Verschlankung der DSGVO‑Praxis, die von Aufsichtsbehörden und Zivilgesellschaft kritisch begleitet wird. In Deutschland wiederum soll die Datenschutzaufsicht bis 2027 reformiert und vereinheitlicht werden. Zusammengenommen deutet sich eine neue Phase an, in der Datenschutz, Plattformregulierung und KI‑Regulierung enger miteinander verzahnt werden – mit der Gefahr, dass Entlastungswünsche der Wirtschaft und der Anspruch, Grundrechte zuwahren, kollidieren. Unternehmen müssen damit rechnen, dass UI/UX‑Design, Datenverarbeitung und KI‑Einsatz künftig nicht mehr getrennt optimiert werden können, sondern einem integrierten Compliance‑Review unterliegen.
Quellen:
TechCrunch,„In its first DSA penalty, EU fines X €120M for ‘deceptive’blue check verificationsystem“,
https://techcrunch.com/2025/12/05/in-its-first-dsa-penalty-eu-fines-x-e120m-for-deceptive-blue-check-verification-system/
LTO,„EU verhängt 120-Millionen-Euro-Strafe gegenX“,
https://www.lto.de/recht/nachrichten/n/eu-vs-elon-musk
DatenschutzPrinz, „Reform der Datenschutzaufsicht: Was sich bis 2027 ändernsoll“,
https://www.datenschutz-prinz.de/blog/reform-der-datenschutzaufsicht-was-sich-bis-2027-aendern-soll
LawSociety Gazette, „Data bodies see risks in EU’s GDPRproposals“,
https://www.lawsociety.ie/gazette/top-stories/2025/december/data-bodies-see-risks-in-eus-gdpr-proposals/
EFF,„EU's New Digital Package Proposal Promises Red Tape Cuts but GutsGDPR PrivacyRights“,
https://www.eff.org/deeplinks/2025/12/eus-new-digital-package-proposal-promises-red-tape-cuts-guts-gdpr-privacy-rights
IncidentResponse zwischen No‑Pay-Strategien und globalen Ausfällen
Die britische Debatte um ein mögliches Ransomware‑Zahlungsverbot mit Ausnahmen für kritische Infrastruktur trifft auf eine Realität, in der Incident‑Response‑Teams gleichzeitig mit komplexen APT‑Kampagnen und selbstverursachten Störungen durch überhastete Mitigations kämpfen. Fälle wie React2Shell und der daraus resultierende Cloudflare‑Ausfall verdeutlichen, dass nicht nur Angriffe, sondern auch schlecht gesteuerte Gegenmaßnahmen systemische Auswirkungen haben können. G7‑Prinzipien zur kollektiven Cyber Incident Response, DORA‑Erfahrungen im Finanzsektor und die BSI‑Liste qualifizierter APT‑Responder skizzieren ein Ökosystem, in dem Resilienz zunehmend als Teamsport verstanden wird – national wie international, technisch wie regulatorisch.
Quellen:
FinancialTimes, „Ministers explore national security exemption to ban on ransompayments“,
https://www.ft.com/content/c13bb1eb-1db8-4f8b-8e77-a71b0414fce9
SecurityWeek,„Cloudflare Outage Caused by React2ShellMitigations“,
https://www.securityweek.com/cloudflare-outage-caused-by-react2shell-mitigations/
TheGuardian, „Cloudflare apologises after latest outage takes downLinkedIn andZoom“,
https://www.theguardian.com/technology/2025/dec/05/another-cloudflare-outage-takes-down-websites-linkedin-zoom
BSI,„Liste der qualifizierten APT-Response-Dienstleister; Stand:04.12.2025“,
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Dienstleister_APT-Response-Liste.html
U.S.Department of the Treasury, „G7 Cyber Expert Group Publishes Fundamental Elements of Collective Cyber Incident Response and Recovery in the FinancialSector“,
https://home.treasury.gov/news/press-releases/sb0326
Service-Modelle und Mittelstand: CISO-as-a-Service als Brückentechnologie
Schließlich weist das CISO‑as‑a‑Service‑Programm der CSA in Singapur den Weg zu Modellen, mit denen Staaten strukturelle Defizite in der Cyber‑Resilienz des Mittelstands adressieren können. Standardisierte Health‑Checks, geförderte CISO‑Services und vorbereitende Unterstützung für Zertifizierungen zeigen, wie man KMU an Mindeststandards heranführt,ohne überall Vollzeit‑CISO‑Rollen aufzubauen. Übertragen auf die EU könnte ein ähnlicher Ansatz helfen, NIS‑2‑Pflichten in die Lieferkette hineinzutragen, ohne den Mittelstand zu überfordern. In Kombination mit klaren Vorgaben für kritische Zulieferer, DORA‑Anforderungen im Finanzsektor und CRA‑Pflichten für Hersteller vernetzter Produkte könnte so ein Ökosystem entstehen, in dem „Security‑as‑a‑Service“nicht nur Markttrend, sondern ein integraler Baustein staatlicher Resilienz‑Strategien ist.
Quellen:
CyberSecurity Agency of Singapore, „CISO as-a-Service to developCybersecurity HealthPlan“,
https://www.csa.gov.sg/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cybersecurity-certification-for-organisations/ciso-as-a-service-to-develop-cybersecurity-health-plan/
StraitsTimes, „Cyber resilience centre to open in 2026 as one-stop supporthub for SMEs facing cyberthreats“,
https://www.straitstimes.com/tech/cyber-resilience-centre-to-open-in-2026-as-one-stop-support-hub-for-smes-facing-cyber-threats
SoftScheck,„We are officially onboarded as a CISO-as-a-Service (CISOaaS)Provider under CSA’s Cyber Essentialsinitiative“,
https://softscheck-apac.com/sg/cisoaas/
