KRITIS und NIS‑2: Der Rechtsrahmen ist da, aber die Umsetzung bleibt offen
Das deutsche KRITIS-Dachgesetz ist seit dem 17. März 2026 in Kraft, entfaltet aber praktisch noch nicht seine volle Wirkung. Zentrale Rechtsverordnungen und technische Voraussetzungen für Registrierung, Nachweise und konkrete Betreiberpflichten stehen noch aus. Für Betreiber in Energie,Wasser, Transport, Gesundheit, IT, Finanzwesen und Verwaltung entsteht damit eine Zwischenlage: Die politische Richtung ist klar, aber die operativen Anforderungen sind noch nicht vollständig ausformuliert.
Gleichzeitig verschärft NIS‑2 die Erwartung an Governance, Risikomanagement und Meldefähigkeit. Unternehmen müssen prüfen, ob sie als wichtige oder besonders wichtige Einrichtungen betroffen sind, welche Kontaktstellen sie vorhalten, wie Incident Reporting organisiert wird und ob technische Schutzmaßnahmen tatsächlich dokumentiert und überprüfbar sind. Besonders für Stadtwerke, Netzbetreiber und mittelständische Dienstleister bedeutet das: Cybersecurity wird zur Leitungsaufgabe und IT liefert zu (!)
Quellen:
· WirtschaftsWoche/dpa: Gesetz zum Schutz wichtiger Infrastruktur greift noch nicht,
https://www.wiwo.de/politik/deutschland/schutz-wichtiger-anlagen-gesetz-zum-schutz-wichtiger-infrastruktur-greift-noch-nicht/100217688.html
· Beck: NIS‑2 schon in Kraft,
https://rsw.beck.de/zeitschriften/bc/meldung/2026/04/16/nis-2-schon-in-kraft
· Reed Smith: EU cybersecurity regulatory update for 2026 and beyond,
https://www.reedsmith.com/our-insights/blogs/viewpoints/102mnj2/eu-cybersecurity-regulatory-update-for-2026-and-beyond/
DORA und BAIT: Finanzaufsicht wird zum Resilienztest
Im Finanzsektor zeigt DORA, wie stark sich Cybersecurity von einer Schutzfunktion zu einem laufenden Aufsichtsthema entwickelt. Die BaFin wertet das DORA-Meldewesen bereits als Lagebildinstrument aus; nach der aktuellen Zwischenbilanz ist jeder zehnte gemeldete IKT-Vorfall ein erfolgreicher Angriff. Damit werden Incident Detection, Klassifikation, Forensik und regulatorisches Reporting zu einer zusammenhängenden Prozesskette.
Parallel läuft die bisherige deutsche BAIT-Logik aus. Institute, die bislang an BAIT-Kontrollen, Auslagerungsprozessen und IT-Risikoberichten ausgerichtet waren, müssen diese Strukturen unverzüglich in ein DORA-fähiges Betriebsmodell überführen. Die zentrale Frage lautet nicht mehr, ob Richtlinien existieren, sondern ob Informationsregister, Dienstleistersteuerung, Exit-Strategien, Kontrollnachweise und Meldeprozesse im Ernstfall belastbar funktionieren.
Quellen:
· Bank-Verlag: Ein Jahr DORA: Jeder 10. Vorfallist ein erfolgreicher Angriff,
https://www.bank-verlag.de/magazin/ein-jahr-dora-meldewesen
· FinTech Global: Managing DORA: why manual processes no longer work,
https://fintech.global/2026/04/16/managing-dora-why-manual-processes-no-longer-work/
· RegTech Analyst: How to simplify DORA compliance across jurisdictions,
https://regtechanalyst.com/how-to-simplify-dora-compliance-across-jurisdictions/
· Bundesbank: BAIT / DORA,
https://www.bundesbank.de/de/aufgaben/bankenaufsicht/einzelaspekte/risikomanagement/bait-dora-598580
· i-doit: BAIT und DORA: Alle Änderungen und Auswirkungen,
https://www.i-doit.com/pwr/blog/bait-und-dora-alle-anderungen-und-auswirkungen
Splunk und Incident Response: Auch Sicherheitswerkzeuge sind Teil der Angriffsfläche
Die aktuellen Splunk-Advisories machen deutlich, dass zentrale Security-Plattformen selbst als „kritische Infrastruktur“ im Unternehmen behandelt werden müssen. Splunk Enterprise, Splunk Cloud Platform, IT Service Intelligence, Kubernetes-Operatoren und weitere Komponenten sind in vielen Organisationen eng mit Logmanagement, Detection, Observability und Incident Response verbunden. Wenn solche Plattformen Schwachstellen enthalten,betrifft das nicht nur ein einzelnes Tool, sondern die Fähigkeit, Angriffe überhaupt zu erkennen und nachzuweisen.
Für Incident-Response-Teams ist das besonders relevant, weil Sicherheitswerkzeuge oft privilegierte Daten, Tokens, Integrationen und interne Betriebsinformationen verarbeiten. Ein kompromittiertes oder ungepatchtes SIEM kann die Sichtbarkeit des Angriffs verringern, Forensik erschweren oder Angreifern zusätzliche Bewegungsräume eröffnen. Resilienz bedeutet deshalb auch, die eigenen Detektions-, Monitoring- und Analyseplattformen konsequent in Schwachstellenmanagement, Change-Prozesse und Notfallplanung einzubeziehen.
Quellen:
· Canadian Centre for Cyber Security: Splunk security advisory (AV26‑356),
https://www.cyber.gc.ca/en/alerts-advisories/splunk-security-advisory-av26-356
· Splunk: Splunk Security Advisories Archive,
https://advisory.splunk.com/advisories
· Splunk: SVD‑2026‑0406 – Third-Party PackageUpdates in Splunk IT Service Intelligence,
https://advisory.splunk.com/advisories/SVD-2026-0406
· CVEfeed: CVE‑2026‑20204,
https://cvefeed.io/vuln/detail/CVE-2026-20204
Ransomware und Recovery: Vertrauen in Wiederherstellungreicht nicht aus
Aktuelle Zahlen aus dem Ransomware-Umfeld zeigen eine gefährliche Diskrepanz zwischen Selbsteinschätzung und tatsächlicher Wiederherstellungsfähigkeit. Laut Berichten halten viele Sicherheitsverantwortliche ihre Organisation für gut vorbereitet, während im Ernstfall nur ein deutlich kleinerer Teil der betroffenen Daten vollständig wiederhergestellt wird. Das Problem liegt selten allein im Fehlen von Backups, sondern in ungetesteten Wiederanlaufplänen, verschmutzten Datenbeständen, kompromittierten Identitäten und fehlender Priorisierung kritischer Services.
Incident Response endet damit nicht bei Eindämmung und Forensik. Entscheidend ist, ob Recovery technisch geübt, organisatorisch abgestimmt und rechtlich kommunikationsfähig ist. Wer Wiederherstellungszeiten, Verantwortlichkeiten, Meldewege und Kundenkommunikation erst im Angriff klärt, verliert wertvolle Zeit und erhöht Haftungs-, Reputations- und Ausfallkosten.
Quellen:
· ITPro: Security leaders overconfident about ransomware recovery,
https://www.itpro.com/security/security-leaders-overconfident-about-ransomware-recovery
· Industrial Cyber: Ransomware reaches elevated new normal as attack volumes hold steady into 2026,
https://industrialcyber.co/reports/ransomware-reaches-elevated-new-normal-as-attack-volumes-hold-steady-into-2026-reshape-baseline-risk-expectations/
· SecurityWeek: Cisco Patches Critical Vulnerabilities in Webex, ISE,
https://www.securityweek.com/cisco-patches-critical-vulnerabilities-in-webex-ise/
· NVD/CISA: CVE‑2026‑21643 Detail,
https://nvd.nist.gov/vuln/detail/CVE-2026-21643
Cyber Resilience Act: Produktsicherheit wird zur Lebenszykluspflicht
Der Cyber Resilience Act verschiebt die Verantwortung für Cybersicherheit tiefer in Produktentwicklung, Lieferketten und Wartungsprozesse. Hersteller digitaler Produkte müssen künftig stärker belegen können, welche Komponenten sie verwenden, wie Schwachstellen erkannt werden, wie Updates bereitgestellt werden und wie Sicherheitsrisiken über den Lebenszyklus eines Produkts hinweg behandelt werden. SBOMs, VulnerabilityManagement und Secure-by-Design werden damit zu Pflichtbestandteilen moderner Produktsteuerung.
Gleichzeitig zeigt die Debatte um europäische Cybersecurity-Standards, wie sensibel das Verhältnis zwischen Regulierung, technischer Normung und globaler Interoperabilität ist. Wenn europäische Anforderungen zu stark von internationalen Standards abweichen, steigen Kosten für Hersteller, Prüflabore und Betreiber. Wenn sie zu schwach sind, bleibt Cyber-Resilienz ein Marketingversprechen. Die eigentliche Herausforderung besteht darin, Sicherheit, Nachweisbarkeit und Innovationsfähigkeit in ein tragfähiges Gleichgewicht zu bringen.
Quellen:
· Help Net Security: EU cybersecurity standards are at risk if supplier ban passes,
https://www.helpnetsecurity.com/2026/04/16/etsi-eu-cybersecurity-standards/
· Presseportal: Vulnerability Management and SBOM Generation Are Key Requirements Under the EU Cyber Resilience Act,
https://www.presseportal.de/pm/151206/6256594
· Eclipse Foundation: ORC’s Joint Statement: Strengthening Open Source Sustainability via Article 25 of EU Cyber ResilienceAct,
https://newsroom.eclipse.org/news/announcements/orcs-joint-statement-strengthening-open-source-sustainability-article-25-eu
· Eversheds Sutherland: EU Digital Fitness Check consultation – implications for multinational businesses,
https://www.eversheds-sutherland.com/en/germany/insights/eu-digital-fitness-check-consultation-implications-for-multinational-businesses
Datenschutz und DSGVO: Governance wird technischer
Auch im Datenschutz zeigt sich eine klare Verschiebung in Richtung technischer Nachweisfähigkeit. Der Europäische Datenschutzausschuss hat Leitlinien zur Datenverarbeitung für wissenschaftliche Forschung angenommen und ein Template für Datenschutz-Folgenabschätzungen veröffentlicht. Beides stärkt den Anspruch, Datenschutz nicht nur juristisch zu begründen, sondern technisch und organisatorisch nachvollziehbar umzusetzen.
Für Unternehmen mit KI-, Forschungs-, Gesundheits- oder Cloud-Projekten bedeutet das: Datenflüsse, Zugriffskonzepte, Pseudonymisierung, Löschlogik, Rollenmodelle und Transparenzinformationen müssen zusammenpassen. Datenschutz wird damit zu einer Architekturfrage. Wer DSGVO-Compliance weiterhin nur als Datenschutzerklärung oder Einwilligungsmanagement versteht, unterschätzt die wachsenden Anforderungen an technische Governance.
Quellen:
· EDPB: EDPB brings clarity to data processing for scientific research,
https://www.edpb.europa.eu/news/news/2026/edpb-brings-clarity-data-processing-scientific-research-speeds-finalisation_en
· EDPB: Enhancing compliance and consistency: EDPB adopts DPIA template,
https://www.edpb.europa.eu/news/news/2026/enhancing-compliance-and-consistency-edpb-adopts-dpia-template_en
· CNPD Luxembourg: An important step forward in GDPR certification,
https://cnpd.public.lu/en/actualites/international/2026/04/certification-rgpd-ransferts-internationaux.html
· McCann FitzGerald: Delete and Disclose: EDPB CEF2025 & 2026,
https://www.mccannfitzgerald.com/knowledge/data-privacy-and-cyber-risk/delete-and-disclose-edpb-cef-2025-2026
Die eigentliche Priorität für Entscheider
Die aktuellen Entwicklungen zeigen eine gemeinsame Linie: Cyber-Resilienz entsteht nicht durch einzelne Regelwerke, Tools oder Zertifikate, sondern durch die Verbindung von Technik, Recht und wirtschaftlicher Steuerung. KRITIS, NIS‑2, DORA, BAIT, CRA und DSGVO erzeugen zusammen ein neues Erwartungsniveau an Nachweisbarkeit, Meldefähigkeit, Wiederherstellung und Produktverantwortung.
Für technische Entscheider, Justiziare und Produktverantwortliche folgt daraus eine klare Priorität. Sie müssen kritische Assets kennen, Melde- und Recovery-Prozesse testen, Lieferketten und Dienstleister steuern, Datenschutz technisch verankern und Sicherheitswerkzeuge selbst als schutzwürdige Infrastruktur behandeln. Resilienz ist 2026 weniger ein Zielbild als ein Betriebsmodell – und genau daran wird sich zeigen, welche Organisationen Regulierung nur verwalten und welche sie in belastbare Sicherheit übersetzen.
