Die letzten 48 Stunden zeigen: In Berlin nimmt die NIS-2-Umsetzung Fahrt auf – samt Verbotsmechanik für kritische Komponenten und einer Stärkung des BSI als CISO-Knotenpunkt. Wer bislang gezögert hat, muss jetzt Inventare, SBOMs und Austauschprozesse für kompromittierte Hardware/Software operationalisieren. (heiseonline)
Parallel wächst der Druck aus Brüssel: ENISA meldet DDoS-Druck auf Behörden – ein Lackmustest für NIS-2-Pflichten der öffentlichen Verwaltung. Resiliente Anycast-Setups, L7-Schutz und automatisierte Meldeketten sind keine Kür mehr, sondern Pflicht. (enisa.europa.eu)
Im Finanzsektor rückt DORA die Aufsicht über kritische ICT-Drittanbieter in den Mittelpunkt – KPMG skizziert die2026er-Agenda der ESAs, die EBA unterstreicht die jährliche CTPP-Listung. Institute sollten CTEM/TLPT mit ATT&CK-basierten Szenarien und Evidenz-Pipelines verknüpfen. (KPMG)
Dasselbe Mantra gilt OT-seitig: CISA warnte am 06.11. mit vier ICS-Advisories – Betreiber mit CER/NIS-2-Pflichten brauchen Patch-Pfad, Compensating Controls und Hunting-Playbooks in produktionsnahen Netzen. (CISA)
Beim Produktrecht treibt der Cyber Resilience Act die Professionalisierung voran: BCLP fasst Pflichten und Haftungshebel zusammen, während Berichte aus Brüssel auf die Konkretisierung durch Standards/Aufsichtsdokumente hindeuten. Hersteller sollten PSIRT, SBOM-Pflegeund signierte OTA-Pipelines industrialisieren. (bclplaw.com)
Und Datenschutz? Berichten zufolge plant die Kommission einen „Digitalen Omnibus“, der auch die DSGVO anfasst; zugleich warnen EU-Einrichtungen intern vor Tracking-Risiken. Unternehmen sollten Privacy-Engineering, Data-Act-Portabilität und Sicherheitsarchitektur jetzt harmonisieren. (netzpolitik.org)
