[datensicherheit.de, 08.02.2026] Seit Jahren wird nun über Digitale Souveränität Europas diskutiert – bisher meist eher nur als ein theoretisches Ideal. Doch die aktuelle geopolitische Lage hat das Thema 2026 offenbar zur existenziellen Geschäftsbedingung gemacht: Heute umfasst Digitale Souveränität weit mehr als nur einen IT-Standard oder Datenschutz-„Compliance“. Es ist die Fähigkeit, als Organisation handlungsfähig zu bleiben, wenn globale Lieferketten reißen oder politische Spannungen den digitalen Datenfluss unterbrechen.

Foto: FTAPI

Ari Albertini betont: Echte Unabhängigkeit entsteht dort, wo wir in Europa die Kontrolle über unsere technologische Substanz zurückgewinnen!

„Cyber Dominance“ ausländischer Akteure vs. Digitale Souveränität Europas

Für Unternehmen und Behörden nimmt das Thema heute zwingende Bedeutung an, da Software-Abhängigkeiten zunehmend als politische Hebel eingesetzt werden könnten. Wer nämlich Kritische Infrastrukturen (KRITIS) auf Systemen errichtet, deren technologischer Kern und rechtlicher Zugriff in Drittstaaten liegen, akzeptiert damit eine schleichende Abhängigkeit – die „Cyber Dominance“ ausländischer Akteure.

• Diese Form der digitalen Gebundenheit hat sich mittlerweile zu einem massiven Geschäftsrisiko entwickelt, welches die Innovationskraft und die unternehmerische Entscheidungsfreiheit bedroht. Die aktuelle Initiative des Bundesdigitalministeriums (BMDS), die Souveränität über den „Ort der Wertschöpfung“ neu zu definieren, markiert offensichtlich das Ende einer technologischen Naivität.

Es reicht also nicht mehr aus, z.B. US-Software mit deutschen AGB zu versehen oder Daten in lokalen Rechenzentren zu parken – solange eben die administrative Kontrolle im Ausland verbleibt. Echte Digitale Souveränität bedeutet nun, digitale Prozesse so zu gestalten, dass sie rechtlich und technisch immun gegen außereuropäische Zugriffe sind. Vor dem Hintergrund von NIS-2 und DORA wird digitale Unabhängigkeit damit von der IT-Aufgabe zur zentralen Management-Disziplin. FTAPI-Experten sehen in diesem Zusammenhang drei zentrale Grundpfeiler, auf denen die Digitale Souveränität ruht.

1. Grundpfeiler Digitaler Souveränität Europas: Software „Made in Europe“

Echte Souveränität erfordere die Kontrolle auf zwei Ebenen: Die technologische Kompetenz und die architektonische Verantwortung für den Quellcode müssten im europäischen Rechtsraum liegen. „Nur wer den Kern der Software selbst beherrscht, kann administrative Hintertüren ausschließen und die Integrität des Systems garantieren.“

• Darüber hinaus müsse der Betrieb der Software im Kontrollbereich des Nutzers liegen.

„Souveränität endet dort, wo Wartungsschnittstellen (,Admin-Access’) aus Drittstaaten bedient werden.“ Denn über diesen administrativen Zugriff könnten ausländische Gesetze (wie etwa der „Cloud Act“) unmittelbar in europäische Infrastrukturen eingreifen – „völlig ungeachtet dessen, wo die Server physisch stehen!“

2. Grundpfeiler Digitaler Souveränität Europas: „Sovereignty-by-Design“

Ein vertragliches Versprechen gegen Datenzugriff (Stichwort: „Cloud Act“) sei im Ernstfall oft wirkungslos, wenn nationale Gesetze des Anbieter-Heimatlandes juristische Vereinbarungen im Ausland überlagern könnten. „Wahre Souveränität benötigt eine Architektur, die den Zugriff technisch unmöglich macht!“ Souveränität sei somit kein juristisches Versprechen, sondern ein technischer Standard.

Die konsequente Ende-zu-Ende-Verschlüsselung sei hier der einzige verlässliche Schutz gegen drei Risiken gleichzeitig:

• Juristischer Zugriff: Ohne Schlüssel keine Datenherausgabe an Drittstaaten.
• Wirtschaftsspionage: Schutz vor Datendiebstahl durch externe Angreifer.
• Internes Risiko: Schutz vor Fehlern oder Missbrauch durch Administratoren beim Dienstleister.

3. Grundpfeiler Digitaler Souveränität Europas: „Vendor Lock-in“-Vermeidung

Souveränität zeige sich im Moment des Wechsels. Ein System sei nur dann souverän, „wenn keine dauerhafte Abhängigkeit besteht“. Wenn beispielsweise Migrationskosten einen Anbieterwechsel wirtschaftlich unmöglich machten, sei die Entscheidungsfreiheit verloren.

• Unabhängigkeit erfordere daher offene Schnittstellen (APIs) und standardisierte Prozesse, damit Organisationen jederzeit die Hoheit über ihre eigene IT-Strategie behalten könnten.

„Echte Unabhängigkeit entsteht dort, wo wir in Europa die Kontrolle über unsere technologische Substanz zurückgewinnen”, kommentiert Ari Albertini, CEO bei FTAPI. Abschließend gibt er zu bedenken: „Wer seine digitale Freiheit an internationale Monopole delegiert, verliert morgen seine unternehmerische Entscheidungsfreiheit. Souveränität ist kein ,Nice-to-have’, sondern die wichtigste Investition in die Zukunftsfähigkeit unserer Wirtschaft!”

Weitere Informationen zum Thema:

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 04.02.2026
Digitale Souveränität als Standortvorteil: Europa im Spannungsfeld Ethik vs. Innovation / Mit dem „EU AI Act“ und der NIS-2-Richtlinie möchte Europa zum Vorreiter für sichere und ethische Technologie werden

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

datensicherheit.de, 01.01.2026
Cybersicherheit und Digitale Souveränität: Wie Europa die Kontrolle zurückgewinnen kann / Pierre-Yves Hentzen kommentiert aktuelle Entwicklungen und skizziert Wege zur Digitalen Souveränität Europas

datensicherheit.de, 30.11.2025
Handlungsbedarf: Digitale Souveränität von strategischer Relevanz für Unternehmen / Zunehmendes Streben nach echter Digitaler Souveränität – Unternehmen fordern die Kontrolle über ihre Daten, ihre „Cloud“-Infrastruktur und ihren technologischen Kurs zurück

datensicherheit.de, 12.06.2025
Blick über den eigenen Tellerrand: Cybersicherheit als Frage nationaler Souveränität / Ari Albertini warnt davor, die größte Schwachstelle im Alltag zu unterschätzen: Das aufgrund von Zeitdruck oft ungeschützte Teilen sensibler Informationen gefährdet die Cybersicherheit

[datensicherheit.de, 03.02.2026] Im Anschluss an die Einigung mit dem Bundesrat hat der Bundestag am 29. Januar 2026 das „KRITIS-Dachgesetz“ beschlossen, um darüber die europäische CER-Richtlinie in deutsches Recht zu überführen. Darin soll unter anderem Betreibern Kritischer Infrastruktur (KRITIS) eine Risikobewertung für hybride Bedrohungen vorgeschrieben werden. Die Umsetzungsfrist war bereits am 18. Oktober 2024 verstrichen, so dass gegen die Bundesrepublik bereits ein „Vertragsverletzungsverfahren“ der EU-Kommission eingeleitet wurde. Der Präsident des Digitalverbands Bitkom e.V., Dr. Ralf Wintergerst, begrüßt den längst überfälligen Schritt, meldet aber auch Bedenken an.

Foto: Bitkom

Dr. Ralf Wintergerst warnt vor Sabotageakte und rät im Kontext des „Gigabit-Grundbuchs“ zu Datensparsamkeit und strengem Sicherheits- und Zugangskonzept

Stromausfall in Berlin Anfang Januar 2026 zeigte KRITIS-Verletzlichkeit auf

Wintergerst kommentiert: „Deutschland muss seine Kritischen Infrastrukturen besser schützen. Der tagelange Stromausfall in Berlin Anfang Januar hat erneut gezeigt, wie verletzlich Deutschland ist“

• Das „KRITIS-Dachgesetz“ bilde nun die rechtliche Grundlage für ein deutlich verbessertes Schutzniveau. Neben den gesetzlichen Vorgaben sei die Politik aber auch gefordert, die Unternehmen bei der Umsetzung konkret zu unterstützen – etwa mit Förderprogrammen.

Mit Blick auf die angespannte Sicherheitslage bleibe unverständlich, „dass ein erheblicher Teil der Bundesverwaltung vom Gesetz ausgenommen ist und die Landesverwaltungen gar nicht erst adressiert werden“. Staat und Verwaltungen dürften in diesen für unser Gemeinwesen zentralen Bereichen nicht hinter das Schutzniveau privater Anlagen zurückfallen.

„KRITIS-Dachgesetz“ darf nicht zu „föderalem Flickenteppich“ verkommen

Zudem hätten Bundestag und Bundesrat kurzfristig vereinbart, dass die Bundesländer zusätzliche Anlagen unterhalb des eigentlichen Schwellenwerts von 500.000 versorgten Personen definieren könnten.

• Wintergerst moniert: „Dies führt zu einem ,föderalen Flickenteppich’ und hohem bürokratischem Aufwand. Die Bundesländer sollten auf regionale Sonderwege verzichten und so dafür sorgen, dass bundesweit einheitliche Regeln gelten!“

Mit dem „KRITIS-Dachgesetz“ könne Deutschlands Infrastruktur sicherer werden, aber Wintergerst betont: „Wenn wir nicht zugleich an anderen Stellen neue Gefahren provozieren: Wir warnen insbesondere davor, Datenleitungen im ,Gigabit-Grundbuch’ öffentlich zugänglich zu verzeichnen!“ Dies würde ein zusätzliches Risiko für Sabotageakte bedeuten. Sein Fazit: „Stattdessen brauchen wir in diesem Bereich Datensparsamkeit und ein strenges Sicherheits- und Zugangskonzept.“

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Ralf Wintergerst: Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

Bundesministerium des Innern, 18.01.2023
EU-Richtlinien zum Schutz Kritischer Infrastrukturen / EU-Mitgliedsstaaten müssen kritische Einrichtungen besser vor Naturgefahren, Sabotage und Cyberangriffen schützen.

OpenKRITIS
KRITIS-Dachgesetz

Bundesnetzagentur & Bundesministerium für Digitales und Verkehr
Gigabit-Grundbuch: Das Datenportal für den effizienten Ausbau der digitalen Infrastrukturen in Deutschland

datensicherheit.de, 07.01.2026
Nach Stromausfall in Berlin: eco fordert zügige Verabschiedung des KRITIS-Dachgesetzes / Der eco – Verband der Internetwirtschaft e.V. weist angesichts des jüngsten Stromausfalls im Südwesten Berlins abermals warnend auf die Verwundbarkeit Kritischer Infrastruktur (KRITIS) hin

datensicherheit.de, 01.02.2026
KRITIS-Dachgesetz: eco begrüßt Verabschiedung bundesweit einheitlichen Rahmens für den Schutz Kritischer Infrastrukturen / Für die Internetwirtschaft sind stabile Stromversorgung, funktionierende Netze und verlässliche Rahmenbedingungen essenziell – das „KRITIS-Dachgesetz“ setzt hierzu grundsätzlich an der richtigen Stelle an

datensicherheit.de, 13.09.2025
Bitkom betont herausragende Bedeutung des KRITIS-Dachgesetzes für Deutschland / Die Umsetzungsfrist für das „KRITIS-Dachgesetz“ ist bereits am 18. Oktober 2024 verstrichen – gegen Deutschland läuft bereits ein „Vertragsverletzungsverfahren“ der EU-Kommission

datensicherheit.de, 12.09.2025
Kabinettsbeschluss zum KRITIS-Dachgesetz: eco sieht Eile geboten – aber ohne doppelte Pflichten / Der eco begrüßt das Voranschreiten in geopolitisch angespannten Zeiten, moniert aber fehlende Rechtsverordnung zu Schwellenwerten, drohende Doppelregulierungen sowie unklare Zuständigkeiten

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant

[datensicherheit.de, 01.02.2026] Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem „Gesetz zur „Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ (KRITIS-Dachgesetz). Der eco – Verband der Internetwirtschaft e.V. bewertet in einer aktuellen Stellungnahme den neuen bundesweit einheitlichen Rahmen für den Schutz Kritischer Infrastrukturen (KRITIS) und hebt hervor, worauf es nun bei der Umsetzung, der Vermeidung von Doppelregulierungen sowie bei den noch ausstehenden Rechtsverordnungen ankommt.

Foto: eco

Ulrich Plate fordert, den Schutz unserer Kritischen Infrastrukturen und Anlagen zügig umzusetzen

„KRITIS-Dachgesetz“ als Basis der Resilienz zentraler Versorgungsstrukturen in Deutschland

Die Verabschiedung des „KRITIS-Dachgesetzes“ im Deutschen Bundestag kommentiert Ulrich Plate, Leiter der eco-Kompetenzgruppe „KRITIS“: „Wir begrüßen ausdrücklich, dass mit dem ,KRITIS-Dachgesetz’ nun erstmals ein bundesweit einheitlicher Rahmen für den Schutz Kritischer Infrastrukturen geschaffen und zugleich die europäische CER-Richtlinie in deutsches Recht umgesetzt wird!“

• Nach einem langen Gesetzgebungsprozess sei dies ein wichtiger und notwendiger Schritt, um die Resilienz zentraler Versorgungsstrukturen in Deutschland zu stärken.

Für die Internetwirtschaft seien stabile Stromversorgung, funktionierende Netze und verlässliche Rahmenbedingungen essenziell. Dieses Gesetz setze hierzu grundsätzlich an der richtigen Stelle an.

„KRITIS-Dachgesetz“ bedarf der Ergänzung – noch ausstehende Rechtsverordnungen zu kritischen Dienstleistungen, Anlagen und Schwellenwerten

Entscheidend werde nun sein, „wie praxistauglich die Umsetzung gelingt und wie kohärent sich die neuen Anforderungen in den bestehenden Regulierungsrahmen einfügen“. Insbesondere müssten Doppelregulierungen und parallele Pflichten im Zusammenspiel mit bestehenden IT- und Cybersicherheitsanforderungen etwa im Kontext von NIS-2 vermieden werden.

• Plate betont: „Resilienz entsteht durch klare Zuständigkeiten, abgestimmte Verfahren und nachvollziehbare Anforderungen!“

Von zentraler Bedeutung seien zudem die noch ausstehenden Rechtsverordnungen zu kritischen Dienstleistungen, Anlagen und Schwellenwerten. Solange diese Konkretisierungen fehlten, bleibe für viele Unternehmen unklar, „ob und in welchem Umfang sie betroffen sind“. Ohne diese Klarheit fehle die notwendige Planungs- und Investitionssicherheit, um Resilienzmaßnahmen zielgerichtet und wirtschaftlich tragfähig umzusetzen.

Stromausfall Anfang Januar 2026 in Berlin zeigte KRITIS-Anfälligkeit

„Wichtig ist, den Schutz unserer Kritischen Infrastrukturen und Anlagen zügig umzusetzen!“

• Ereignisse wie der Stromausfall Anfang Januar 2026 in Berlin zeigten, „dass Bedrohungen real sind“.

Plates Fazit: „Wenn Transparenz, Harmonisierung und eine enge Einbindung der betroffenen Branchen gewährleistet werden, kann das Gesetz einen wirksamen Beitrag zur Stärkung der Resilienz Kritischer Infrastrukturen in Deutschland leisten.“

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Über uns / eco – Verband der Internetwirtschaft e.V. Wir gestalten das Internet.

eco VERBAND DER INTERNETWIRTSCHAFT
KRITIS / KG-Leiter Ulrich Plate

datensicherheit.de, 12.09.2025
Kabinettsbeschluss zum KRITIS-Dachgesetz: eco sieht Eile geboten – aber ohne doppelte Pflichten / Der eco begrüßt das Voranschreiten in geopolitisch angespannten Zeiten, moniert aber fehlende Rechtsverordnung zu Schwellenwerten, drohende Doppelregulierungen sowie unklare Zuständigkeiten

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant

[datensicherheit.de, 27.01.2026] Hinsichtlich Halbleiterfertigung, „Cloud“-Diensten, Software-Plattformen, Cybersicherheitslösungen oder marktführenden Unternehmen aus Industrie, Infrastruktur und Handel ist nach aktuellen Erkenntnissen des Digitalverbands Bitkom e.V. eine überwiegende Mehrheit der Menschen in Deutschland der Ansicht, dass die Kontrolle von Schlüsselunternehmen der deutschen Wirtschaft – und damit auch der Einfluss auf Technologien, Daten und zentrale Teile von Wertschöpfungsketten – nicht von Akteuren außerhalb der EU übernommen werden sollte. Diese Aussage basiert demnach auf einer repräsentativen Telefon-Umfrage, welche Bitkom Research im Auftrag durchgeführt hat: Die Befragung unter 1.156 Personen in Deutschland ab 16 Jahren habe im Zeitraum der Kalenderwochen 39 bis 43 2025 stattgefunden.

Foto: Bitkom

Dr. Ralf Wintergerst betont: Deutschland braucht weiterhin offene Märkte und Investitionen auch von außerhalb der EU!

Nur 2% möchten ausländische Übernahmen grundsätzlich unterbinden

79 Prozent meinten, die Bundesregierung sollte Übernahmen von Spitzen-Unternehmen der deutschen Wirtschaft durch Nicht-EU-Investoren verhindern. Dabei gebe es aber große Unterschiede hinsichtlich der einzelnen Herkunftsländer:

• „So sollte die Bundesregierung solche Übernahmen nach Ansicht von 84 Prozent bei Investoren aus Russland verhindern, 74 Prozent nennen China.“ Dahinter folgten Golfstaaten wie Saudi-Arabien oder die Vereinigten Arabischen Emirate (59%) sowie Indien (42%). Investoren aus den USA (33%) und Japan (19%) würden deutlich seltener als Länder genannt, aus denen Übernahmen verhindert werden sollten.

Nur zwei Prozent wollten Übernahmen egal aus welchem Land grundsätzlich stoppen. Ebenfalls zwei Prozent seien der Meinung, die Bundesregierung solle grundsätzlich alle Übernahmen zulassen.

Übernahme eine Frage, wer am Ende die Kontrolle über strategisch wichtige Unternehmen hat

„Souveränität heißt, bei Schlüsseltechnologien unabhängig zu bleiben oder unabhängiger zu werden. Dazu gehört auch die Frage, wer am Ende die Kontrolle über strategisch wichtige Unternehmen hat“, kommentiert der Bitkom-Präsident, Dr. Ralf Wintergerst.

• Er unterstreicht: „Deutschland braucht weiterhin offene Märkte und Investitionen auch von außerhalb der EU. Investitionsprüfungen müssen Risiken für Sicherheit, Resilienz und technologische Selbstbestimmung adressieren!“

Angesichts geopolitischer Spannungen müsse Deutschland handlungsfähig bleiben. „Dazu gehört vor allem, Abhängigkeiten zu reduzieren und dort konsequent zu handeln, wo zentrale technologische Kompetenzen, Kritische Infrastrukturen oder die wirtschaftliche Sicherheit auf dem Spiel stehen“, so Wintergerst abschließend.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Ralf Wintergerst: Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

datensicherheit.de, 01.01.2026
Cybersicherheit und Digitale Souveränität: Wie Europa die Kontrolle zurückgewinnen kann / Pierre-Yves Hentzen kommentiert aktuelle Entwicklungen und skizziert Wege zur Digitalen Souveränität Europas

datensicherheit.de, 24.12.2025
Cloud-Nutzung: Auswege für KMU aus dem Dilemma der Datensouveränität / Mit „Hyperkonvergenter Infrastruktur“ können KMU einfacher und kostengünstiger „Hybrid Clouds“ aufbauen – und so garantieren, dass ihre kritischen Daten jederzeit am richtigen Ort zugänglich sind

datensicherheit.de, 30.11.2025
Handlungsbedarf: Digitale Souveränität von strategischer Relevanz für Unternehmen / Zunehmendes Streben nach echter Digitaler Souveränität – Unternehmen fordern die Kontrolle über ihre Daten, ihre „Cloud“-Infrastruktur und ihren technologischen Kurs zurück

datensicherheit.de, 24.11.2025
Digitale Souveränität Europas als neuer Mega-Trend / Europäische Entscheidungsträger setzen sich im Kontext Digitaler Souveränität mit Abhängigkeiten, Datenschutz und den Möglichkeiten auseinander, wie sie in Zeiten größerer Unsicherheit mehr Transparenz in ihre digitalen Infrastrukturen integrieren können

[datensicherheit.de, 26.01.2026] Franz Kögl, Vorstand und Gründer der IntraFind Software AG in München, erörtert in seiner aktuellen Stellungnahme, dass wir seit Jahren mit einem „chronischen Widerspruch“ konfrontiert sind: „Einerseits wird oft und gerne die Digitale Souveränität Deutschlands und Europas beschworen, andererseits erfolgt fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne.“ Er verweist in diesem Zusammenhang auf einen konkreten aktuellen Fall in Bayern, „wo große Teile der öffentlichen IT-Infrastruktur beziehungsweise strategische Digitalvorhaben auf Microsoft-Lösungen setzen“. Indes erfolge dies angesichts der klaren, für Europa nachteiligen Regelungen des „US Cloud Act“. „Das passt nicht zusammen!“

Foto: IntraFind

Franz Kögl appelliert: Beginnen wir bitte endlich, uns von den US-IT-Giganten zu entkoppeln!

Staatliche IT-Landschaften benötigen Zeit zur Umstellung – aber jetzt ist Richtungsweisung gefordert

Wer die Konsequenzen der drastisch veränderten geopolitischen Lage wirklich verstanden hat, der könne seine Augen nicht länger vor dem massiven Druck zum Handeln verschließen. „Das war auch in diesen Tagen beim ,Weltwirtschaftsforum’ in Davos spürbar. Der Tenor vieler Debatten ist, dass Europa seine Unabhängigkeit und Resilienz – gerade bei Schlüsseltechnologien – deutlich schneller stärken muss.“

• Praktisch bedeutet dies demnach: Vorfahrt für deutsch-europäische Infrastruktur, Plattformen und Anwendungslandschaften – von Ministerien, Behörden über Krankenhäuser bis zu Stromversorgungsunternehmen. Gerade für Kritische Infrastrukturen (KRITIS) müsse die souveräne Digitalisierung ab sofort als gesetzt gelten.

Daher sei es sehr willkommen, dass der bayerische Digitalminister, Dr. Fabian Mehring, jetzt ganz praktisch vorgeschlagen habe, große IT-Vergaben wie im obigen Beispiel nicht länger routinemäßig durchzuwinken, sondern unter dem Gesichtspunkt der Digitalen Souveränität neu zu bewerten. „Natürlich können wir staatliche IT-Landschaften nicht von heute auf morgen umstellen, ein radikaler Schnitt oder ein sofortiger Ausstieg aus bestehenden Systemen ist illusorisch. Aber es muss endlich in die richtige Richtung gehen!“

Strategische Gesichtspunkte: Höchste Zeit für europäische IT-Lösungen

Ganz abgesehen von dem Zuwachs an Sicherheit, Resilienz und Unabhängigkeit hätte das auch noch den schönen Nebeneffekt zusätzlicher heimischer Wertschöpfung. „Die USA machen uns ja die Präferenz für eigene Interessen knallhart vor.“

• Es sei nicht länger glaubwürdig, einerseits vor geopolitischen Abhängigkeiten zu warnen, andererseits vor dem Druck US-amerikanischer Politik und den Verlockungen der US-Digitalkonzerne in die Knie zu gehen, auch wenn es bequemer sei. „Aber das kann und darf nicht der Maßstab sein!“

Öffentliche IT-Budgets sollten und müssten endlich auch unter strategischen Gesichtspunkten eingesetzt werden: „Für Innovationsfähigkeit und heimische Wertschöpfung durch ein starkes digitales Ökosystem in Europa“. Die entsprechenden heimischen Technologien und Lösungen warteten ja nur darauf, endlich eingesetzt zu werden, „bevor es zu spät ist“. Kögl gibt abschließend zu bedenken: „Und ja, es ist erstmal anstrengender und aufwändiger – aber beginnen wir bitte endlich, uns von den US-IT-Giganten zu entkoppeln!“

Weitere Informationen zum Thema:

INTRAFIND
KI-basierte Enterprise Search: relevante Informationen für bessere Entscheidungen

INTRAFIND
IntraFind Leadership Team / Management

Bayerisches Staatsministerium für Digitales, 12.01.2026
Statement von Digitalminister Dr. Fabian Mehring zu den Äußerungen des Finanzministers hinsichtlich der Vereinbarungen zwischen Bayern und Microsoft

datensicherheit.de, 01.01.2026
Cybersicherheit und Digitale Souveränität: Wie Europa die Kontrolle zurückgewinnen kann / Pierre-Yves Hentzen kommentiert aktuelle Entwicklungen und skizziert Wege zur Digitalen Souveränität Europas

datensicherheit.de, 24.12.2025
Cloud-Nutzung: Auswege für KMU aus dem Dilemma der Datensouveränität / Mit „Hyperkonvergenter Infrastruktur“ können KMU einfacher und kostengünstiger „Hybrid Clouds“ aufbauen – und so garantieren, dass ihre kritischen Daten jederzeit am richtigen Ort zugänglich sind

datensicherheit.de, 30.11.2025
Handlungsbedarf: Digitale Souveränität von strategischer Relevanz für Unternehmen / Zunehmendes Streben nach echter Digitaler Souveränität – Unternehmen fordern die Kontrolle über ihre Daten, ihre „Cloud“-Infrastruktur und ihren technologischen Kurs zurück

datensicherheit.de, 24.11.2025
Digitale Souveränität Europas als neuer Mega-Trend / Europäische Entscheidungsträger setzen sich im Kontext Digitaler Souveränität mit Abhängigkeiten, Datenschutz und den Möglichkeiten auseinander, wie sie in Zeiten größerer Unsicherheit mehr Transparenz in ihre digitalen Infrastrukturen integrieren können

datensicherheit.de, 22.11.2025
Digitale Souveränität: EU-Unternehmen streben Unabhängigkeit von US-Diensten an / Beim „Gipfel zur Europäischen Digitalen Souveränität“ erklärten Politik und Wirtschaft, sich von US-Anbietern abwenden zu wollen

[datensicherheit.de, 25.01.2026] hensec meldet die Inbetriebnahme eines neuen zivilen Drohnen-Lagezentrums – von dort aus, am oberbayerischen Tegernsee, erfolgt demnach eine permanente überregionale Luftraumüberwachung aller verbundenen Einrichtungen. „Kommt es zu Drohnensichtungen, die Anlass zur Sorge geben, werden frühzeitig die zuständigen Behörden, die integrierten Leitstellen oder der Werkschutz mit Zuständigkeit für das jeweils betroffene Firmengelände informiert und entsprechend im Vorfeld festgelegte Alarmketten aktiviert.“

Foto: hensec secure solutions

hensec secure solutions: Neues ziviles Drohnen-Lagezentrum am oberbayerischen Tegernsee

Inbetriebnahme angesichts akuter Drohnengefahr überfällig

„Die Inbetriebnahme eines zivilen Drohnen-Lagezentrums war angesichts der akuten Drohnengefahr überfällig“, betont der hensec-Inhaber, Kevin Heneka. Er führt aus: „Es ist eine wichtige Maßnahme zu Steigerung der Sicherheit, zur Stärkung der Resilienz Kritischer Infrastrukturen und zum Schutz der Bevölkerung.“

• Als Kritische Infrastrukturen (KRITIS) gelten die Energie- und Wasserversorgung, das Transport- und Verkehrswesen, der Sektor Gesundheit, die Informations- und Telekommunikationstechnik, das Finanz- und Versicherungswesen, die Lebensmittelversorgung sowie Notfall- und Verwaltungsdienste

Deren Funktionsfähigkeit gilt als essenziell für die Aufrechterhaltung des täglichen Lebens, der Sicherheit und der Stabilität unserer Gesellschaft. Der jüngste Anschlag auf die Energieversorgung in Berlin mit tagelangem Stromausfall in einem Stadtbezirk, von dem etwa 100.000 Menschen betroffen waren, steht aktuell exemplarisch für die Gefahr bei KRITIS-Ausfällen.

Neues Drohnen-Monitoringzentrum mit offener Datenstruktur

Dieser neue Service richtet sich laut Heneka in erster Linie an die KRITIS-Betreiber in Bayern. Unternehmen aus dem KRITIS-Sektor, aber auch andere Industriebetriebe, Wirtschaftsunternehmen und Behörden könnten sich an dieses neue Zentrum anschließen, um die erhöhte Sicherheitsstufe durch die permanente Drohnen-Überwachung in Anspruch zu nehmen.

• Das neue Drohnen-Monitoringzentrum verfüge über eine offene Datenstruktur, so dass sich auch bereits vorhandene Systeme leicht integrieren ließen. Zudem könnten dadurch die erfassten Daten auch standortunabhängig mit anderen Lagezentren ausgetauscht werden.

Das neue Drohnen-Lagezentrum basiere durchweg auf Technologie „made in Germany“. Erst kürzlich sei bei einer Vorstellung auf dem letzten „Advanced Air Mobility Forum“ mit der „Bayerischen Koordinierungsstelle Drohnen“ (BayKD) in Oberpfaffenhofen positiv aufefallen, dass das hensec-Luftraumüberwachungssystem als einziges Verbundsystem ohne ausländische Komponenten oder Abhängigkeiten funktioniere.

Anspruch nach technologischer Souveränität beim Aufbau des Drohnen-Lagezentrums

Dieses Streben nach technologischer Souveränität spiegele sich auch beim Aufbau des neuen Lagezentrums wider. Es bestünden weder bei den verwendeten Betriebssystemen noch bei der Anwendungssoftware oder der „Cloud“-Infrastruktur Abhängigkeiten zu Konzernen aus Übersee oder dem nicht-europäischen Ausland.

• Ebenso wichtig ist hensec die technologische Resilienz des neuen Drohnenzentrums: So seien sowohl die Hardware-Komponenten als auch die Arbeitsplätze redundant ausgelegt, damit bei einem eventuellen Komponentenausfall unmittelbar umgeschaltet werden könne. Bei den Arbeitsplätzen werde durchgängig auf „Wifi“, „Bluetooth“ oder andere Funktechnologien, welche potenziell von außen gestört oder manipuliert werden könnten, verzichtet.

„Die Bedrohungslage ist ernst und wir nehmen sie ernst!“, unterstreicht Heneka. Er gibt zu bedenken: „Alle KRITIS-Unternehmen sind ebenfalls gut beraten, die Gefahr ernst zu nehmen!“ Bislang gehörten je nach Zählweise etwa 2.000 Unternehmen zum KRITIS-Kreis – durch das neue „NIS2/KRITIS-Dachgesetz“ seien künftig schätzungsweise mehr als 30.000 betroffen.

Eines von drei Drohnen-Lagezentren bundesweit

Bei dem neuen Lagezentrum am Tegernsee handele es sich um eine von drei ähnlich aufgebauten Drohnenstationen im Bundesgebiet.

• Im Verbund ließen sich damit Drohnen an den häufigsten KRITIS-Standorten und Flughäfen bundesweit detektieren, überwachen, identifizieren und entsprechend eine Gefahreneinschätzung vornehmen.

Zudem seien diese Stationen auch auf das aktive Steuern von Drohnen ausgelegt: Mit der BVLOS-Genehmigung könnten diese dadurch im Krisenfall im Schichtbetrieb eigene Drohnen über zehn Stunden lang ununterbrochen in der Luft steuern – z.B. zur Erstellung von Live-Lagebildern.

Weitere Informationen zum Thema:

hensec secure solutions
Ganzheitliche Sicherheit für Industrie, Wirtschaft und Behörden 

LUFTRAUMÜBERWACHUNG
Unsichtbares sichtbar machen. / Zivile Luftraumüberwachung in Echtzeit. Komplett passiv. Lizenzfrei betreibbar. Made in EU. Ideal für kritische Infrastrukturen.

bavAIRia
Unsere Veranstaltungen im Bereich Luftfahrt

bavAIRia
BayKD – Bayerische Koordinierungsstelle Drohnen

datensicherheit.de, 25.12.2025
Drohnen im Bevölkerungsschutz: LBA setzt Pionierarbeit des BBK fort / Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hatte im Auftrag des Bundesinnenministeriums in der Vergangenheit verschiedene bevölkerungsschutzspezifische Aspekte zum Einsatz von Drohnen erarbeitet

datensicherheit.de, 17.11.2025
Drohnen-Erkennung und -Lokalisierung mittels intelligenter Sensordatenfusion / Drohnen lassen sich, wenn sie noch nicht in Sicht-, aber in Hörreichweite sind, dank intelligenter Sensordatenfusion erkennen und lokalisieren

datensicherheit.de, 05.08.2025
Zunahme der physischen Bedrohung für KRITIS: hensec rät zur flexiblen zivilen Luftraumüberwachung / hensec hat neue Generation ziviler Luftraumüberwachung vorgestellt, welche vollständig passiv arbeitet und damit ohne aktive Aussendungen oder Lizenzpflichten auskommt

[datensicherheit.de, 09.01.2026] Der TÜV-Verband fordert bessere Wartung und regelmäßige Prüfung von Notstromanlagen in kritischen Gebäuden wie Kliniken oder Pflegeheimen. Drei von vier Anlagen hätten sicherheitsrelevante Mängel. Ganzheitliche Konzepte für die Sicherung Kritischer Infrastrukturen (KRITIS) seien notwendig. Der großflächige Stromausfall vom 3. bis zum 7. Januar 2026 im Südwesten Berlins habe nämlich deutlich gemacht, „wie verletzlich die technische Infrastruktur in Deutschland ist“. Besonders in Krankenhäusern, Pflegeheimen, Schulen, Kitas und anderen sogenannten Sonderbauten sei eine funktionierende Notstromversorgung lebenswichtig – doch viele Anlagen seien nicht in einwandfreiem Zustand.

Foto: © Tobias Koch

Dr. Joachim Bühler: Wir müssen unsere Infrastruktur besser schützen und in Schuss halten!

„TÜV-Baurechtsreport 2025“: 30% der Anlagen mit gravierenden Mängeln

Laut dem „TÜV-Baurechtsreport 2025“ sei bei den Prüfungen der sogenannten Sicherheitsstromversorgungsanlagen fast jede dritte Anlage (30%) mit gravierenden Mängeln beanstandet worden, weitere 45 Prozent mit geringen Mängeln.

• „Sicherheitsrelevante Mängel“ seien unter anderem nicht startende Notstromaggregate, unzureichender oder veralteter Kraftstoff oder defekte Batterien. Lediglich jede vierte Notstromanlage (25%) sei mängelfrei gewesen.

„Der aktuelle Stromausfall in Berlin ist ein Weckruf!“, kommentiert Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands. Er stellt hierzu klar: „Wenn im Notfall die Sicherheitsstromversorgung ausfällt, stehen lebenswichtige Schutzsysteme still – etwa Lüftung, Brandmeldeanlagen oder Aufzüge. Betreiber müssen ihre Verantwortung ernst nehmen und die Anlagen regelmäßig prüfen lassen und Instand halten!“

Infrastruktur muss besser geschützt und in Schuss gehalten werden

Nach den Bauordnungen der Länder gelten neben Kliniken, Pflegeheimen, Schulen und Kitas unter anderem auch Hochhäuser, Einkaufszentren und Versammlungsstätten wie Kinos oder Theater als „Sonderbauten“, für welche eine Notstromversorgung gesetzlich vorgeschrieben ist, um auch bei einem Stromausfall oder im Fall eines Brandes den Betrieb sicherheitsrelevanter Systeme aufrechtzuerhalten.

• Der TÜV-Verband fordert, die KRITIS-Resilienz in Deutschland stärker in den Fokus zu rücken. Dazu gehörten verbindliche Prüfintervalle, ausreichend qualifiziertes Fachpersonal und die konsequente Umsetzung der Prüfergebnisse.

„Wir müssen unsere Infrastruktur besser schützen und in Schuss halten!“, betont Bühler. Er führt aus: „Resilienz bedeutet, vorbereitet zu sein – nicht nur auf Krisen zu reagieren. Mit unseren wiederkehrenden Prüfungen leisten die TÜV-Unternehmen ihren Beitrag, die Sicherheit der Gebäudeinfrastruktur zu gewährleisten.“

Ganzheitlicher Ansatz für die Sicherung Kritischer Infrastrukturen notwendig

Der TÜV-Verband setzt sich für ganzheitliche Konzepte zur KRITIS-Sicherung ein. Insbesondere bei Stromausfällen sei es erforderlich, nicht nur einzelne Anlagen, sondern gesamte Versorgungsketten zu betrachten.

• Zentrale Fragen lauten demnach: „Welche Systeme müssen im Ausfallfall zwingend funktionsfähig bleiben? Wie lange ist ein Ausfall realistisch zu erwarten? Für welchen Zeitraum ist die Notstromversorgung vorgesehen? Wie ist die Kraftstofflogistik für Notstromaggregate organisiert?“

In der Praxis zeige sich, dass Kraftstoffvorräte häufig nur für zwölf bis 24 Stunden ausgelegt seien. Bei länger andauernden Ausfällen stelle sich die Frage der Nachversorgung unter erschwerten Bedingungen – eingeschränkte Logistik, ausgefallene Kommunikationsnetze, blockierte Verkehrswege. Bühlers Fazit: „Resilienz endet nicht bei der technischen Anlage. Sie umfasst organisatorische, logistische und personelle Aspekte und muss regelmäßig überprüft, geübt und angepasst werden!“

Weitere Informationen zum Thema:

TÜV VERBAND
Über uns

TÜV VERBAND
Anlagen: Elektro- und Gebäudetechnik / Stromversorgung als Fundament öffentlicher Sicherheit

mfm – future at work,
mfm – Interview: Drei Fragen an Joachim Bühler

TÜV SÜD, 04.09.2005
TÜV Baurechtsreport 2025: Mängel bei der Sicherheitsstromversorgung nehmen zu

datensicherheit.de, 07.01.2026
Nach Stromausfall in Berlin: eco fordert zügige Verabschiedung des KRITIS-Dachgesetzes / Der eco – Verband der Internetwirtschaft e.V. weist angesichts des jüngsten Stromausfalls im Südwesten Berlins abermals warnend auf die Verwundbarkeit Kritischer Infrastruktur (KRITIS) hin

datensicherheit.de, 07.01.2014
ENISA-Report: Empfehlungen zur Aufrechterhaltung von Netzwerken bei Stromausfall / Genereller Aufruf zu verbessertem Austausch von Situationsbewusstsein

[datensicherheit.de, 07.01.2026] Der eco – Verband der Internetwirtschaft e.V. nimmt den jüngsten Stromausfall in Berlin zum Anlass, in seiner aktuellen Stellungnahme auf die Verwundbarkeit Kritischer Infrastruktur (KRITIS) warnend hinzuweisen. Der Verband fordert in diesem Zusammenhang die zügige Verabschiedung des KRITIS-Dachgesetzes, um eben einen sektorenübergreifenden, praxistauglichen Rechtsrahmen für den physischen Schutz Kritischer Infrastrukturen zu schaffen.

Foto: eco

Klaus Landefeld fordert für den eco, den KRITIS-Schutz dauerhaft als prioritäres Thema auf der politischen Agenda zu verankern

KRITIS höchst gefährdet

„Der jüngste Stromausfall in Berlin macht erneut deutlich, wie verwundbar unsere kritischen Infrastrukturen sind – und wie eng physische Versorgungssicherheit und digitale Resilienz inzwischen miteinander verknüpft sind.“

• Für die Internetwirtschaft hätten Stromausfälle unmittelbare Auswirkungen auf Rechenzentren, Netze, Plattformen und digitale Dienste, welche für Wirtschaft, Verwaltung und Gesellschaft unverzichtbar seien.

Vor diesem Hintergrund fordert der eco, dass das KRITIS-Dachgesetz zügig verabschiedet und wirksam umgesetzt wird. Es brauche einen sektorenübergreifenden, praxistauglichen Rechtsrahmen, welcher „den physischen Schutz kritischer Infrastrukturen stärkt und gleichzeitig konsequent mit den Anforderungen der IT- und Cybersicherheit – insbesondere im Kontext von NIS-2 – verzahnt ist“.

Deutschland beim KRITIS-Schutz im unionsrechtswidrigen Umsetzungsverzug

Klaus Landefeld, eco-Vorstand für Infrastruktur und Netze, betont: „Der Stromausfall in Berlin macht unmissverständlich klar, dass kritische Infrastrukturen besser geschützt werden müssen – physisch wie digital!“

• Der KRITIS-Schutz müsse dauerhaft als prioritäres Thema auf der politischen Agenda verankert werden, um die Resilienz des Wirtschafts- und Digitalstandorts Deutschland zu gewährleisten.

Abschließend unterstreicht Landefeld den Handlungsbedarf: „Die Umsetzungsfrist der CER-Richtlinie (Critical Entities Resilience Directive), die im Dezember 2022 in Kraft getreten ist, endete bereits am 17. Oktober 2024; seither befindet sich Deutschland im unionsrechtswidrigen Umsetzungsverzug.“

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Über uns: eco – Verband der Internetwirtschaft e.V. / Wir gestalten das Internet.

eco VERBAND DER INTERNETWIRTSCHAFT
Vorstand@eco: Klaus Landefeld – Stellv. Vorstandsvorsitzender, Vorstand Infrastruktur und Netze

Bundesministerium des Innern, 10.09.2025
Bundeskabinett beschließt Gesetzentwurf zum KRITIS-Dachgesetz / Mit dem KRITIS-Dachgesetz werden übergreifende Mindestanforderungen, verpflichtende Risikoanalysen und ein Störungsmonitoring für kritische Infrastrukturen geschaffen und die Abwehrfähigkeit und Resilienz gestärkt.

Bundesministerium des Innern, 18.01.2023
EU-Richtlinien zum Schutz Kritischer Infrastrukturen / EU-Mitgliedsstaaten müssen kritische Einrichtungen besser vor Naturgefahren, Sabotage und Cyberangriffen schützen.

OpenKRITIS
KRITIS-Dachgesetz

OpenKRITIS
EU RCE Resilienz (CER)

datensicherheit.de, 12.09.2025
Kabinettsbeschluss zum KRITIS-Dachgesetz: eco sieht Eile geboten – aber ohne doppelte Pflichten / Der eco begrüßt das Voranschreiten in geopolitisch angespannten Zeiten, moniert aber fehlende Rechtsverordnung zu Schwellenwerten, drohende Doppelregulierungen sowie unklare Zuständigkeiten

[datensicherheit.de, 11.12.2025] Seit dem 6. Dezember 2025 gilt die NIS-2-Richtinie nun offiziell – ohne jegliche Übergangsfristen. Am 13. November 2025 war das Maßnahmenpaket final im Bundestag beschlossen worden. Diese Verabschiedung und das Inkrafttreten stellten nun „einen Wendepunkt für den deutschen Mittelstand“ dar. Alexander Ingelheim, CEO und Mitgründer von Proliance, kommentiert: „Endlich erhalten Unternehmen Rechtssicherheit, während die Cybersicherheit entscheidend gestärkt wird. Denn: Die Vorgabe verpflichtet deutlich mehr Unternehmen und Branchen zur Einhaltung einheitlicher europäischer Sicherheitsstandards und schreibt strengere Vorgaben für die IT-Sicherheit vor.“

Foto: Proliance

Alexander Ingelheim: Gerade für den Mittelstand wird NIS-2 dazu führen, die Cyberresilienz deutlich zu stärken!

NIS-2 gilt für Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz

Zudem erweitere NIS-2 die Meldepflichten bei Sicherheitsvorfällen und verschärfe die Sanktionen bei Verstößen. Darüber hinaus solle die Zusammenarbeit der EU-Mitgliedstaaten bei der Abwehr von Cyberangriffen gestärkt werden.

• „NIS-2 gilt für Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz. Somit sind je nach Schätzung etwa 30.000 bis 40.000 deutsche Betriebe aus 18 festgelegten Sektoren ganz konkret betroffen. Bedenkt man die Wertschöpfungsketten, könnte sich laut dem Institut der deutschen Wirtschaft (IW) für über 200.000 weitere Firmen eine indirekte Verpflichtung ergeben.“

Der Zeitpunkt zum Handeln sei also gekommen: „Doch was können Betriebe tun, um so schnell wie möglich ,compliant’ zu werden?“ Ingelheim gibt eine Übersicht der wichtigsten ersten Schritte, welche Unternehmen nun dringend angehen sollten.

Proliance-Empfehlungen für erste Handlungsschritte zur Einhaltung der NIS-2-Richtlinie:

• Durchführung einer Risikobewertung
  Von NI-2 betroffene Firmen müssten jetzt ihre Netz- und Informationssysteme auf Schwachstellen und Bedrohungen hin analysieren sowie die bestehenden Risiken klassifizieren und bewerten.
• Implementierung eines Sicherheitsplans
  Basierend auf den Ergebnissen dieser Analyse sollte ein Sicherheitsplan entwickelt werden, welcher spezifische NIS-2-Maßnahmen zur Risikominimierung enthält. Dazu gehörten Technische und Organisatorische Maßnahmen (TOM) zur Sicherheit, genauso wie die Schaffung von Sicherheitsprotokollen, regelmäßige Überprüfung und Aktualisierung der Systeme sowie kontinuierliche Mitarbeiterschulungen.
• Etablierung von Meldeverfahren
  Ein nächster Schritt bestehe darin, sicherzugehen, dass transparente und effiziente Meldeverfahren für den Fall eines Vorfalls bestehen. Dadurch würden Vorfälle schneller erkannt, gemeldet und Maßnahmen zur Eindämmung eingeleitet.
• Zusammenarbeit mit Behörden und anderen Betrieben
  Unternehmen seien gut beraten, enge Beziehungen zu den zuständigen Behörden sowie anderen Einrichtungen in ihrer Branche aufzubauen und zu pflegen. Der Austausch – zum Beispiel bezüglich bewährter Verfahren und Prozesse – helfe das allgemeine Cybersicherheitslevel zu steigern.
• Regelmäßige Prüfung und Anpassung aller NIS-2-Maßnahmen
  Generell gelte: Die Schaffung einer guten Grundlage in Sachen IT-Sicherheit sei ein fortlaufender Prozess. Langfristig gesehen sollten Betriebe ihre Sicherheitsmaßnahmen regelmäßig überprüfen und an neue Bedrohungsszenarien sowie technologische Entwicklungen anpassen. Dazu gehöre kontinuierliches Monitoring aller Prozesse und die Flexibilität, auf neue Herausforderungen schnell zu reagieren.

Um NIS-2-Maßnahmen konkret umzusetzen, sollte ein spezialisiertes Cybersicherheitsteam zur Verfügung stehen

Ingelheim rät betroffenen Unternehmen: „Um diese Maßnahmen konkret umzusetzen, bietet sich die Etablierung eines spezialisierten Cybersicherheitsteams an, falls noch nicht vorhanden. Dies ist einer der wichtigsten Schritte, um schnell in die Handlung zu kommen.“

• Auch sollten Betriebe über die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach aktuellen Standards wie ISO 27001 oder dem BSI-Grundschutz nachdenken. „Im Idealfall hilft die Lösung bei der systematischen Verwaltung von Sicherheitsrisiken und kontinuierlichen Verbesserung der etablierten Maßnahmen.“

Ingelheim betont: „Dass die Einführung eines Regelwerks wie NIS-2 längst überfällig war, zeigen aktuelle Zahlen aus der Praxis. Während Unternehmen ihren Reifegrad in der Informationssicherheit kurz vor der Abstimmung im Bundestag durchschnittlich mit 4,1 von 5 Punkten bewerteten, meldete fast jedes dritte mindestens einen schwerwiegenden Sicherheitsvorfall in den vergangenen drei Jahren. Diese Selbstwahrnehmung steht hier in eklatantem Widerspruch zur Realität. Für unsere Studie wurden 122 mittelständische Entscheider befragt.“

Es gilt zudem das Haftungsrisiko zu senken, welches im Zuge von NIS-2 auch Einzelpersonen betrifft

Ingelheims Fazit: „Auch wenn die Richtlinie und Ihre Umsetzung zeitweise für Verunsicherung gesorgt hat: Gerade für den Mittelstand wird NIS-2 dazu führen, die Cyberresilienz deutlich zu stärken. Schließlich helfen vorab definierte Notfall- und Wiederanlaufprozesse im Rahmen des ,Business Continuity Managements’ Unternehmen dabei, nach Cyberattacken schnell wieder arbeitsfähig zu werden.“

• Außerdem schütze ein hohes Niveau an Informationssicherheit personenbezogene wie auch vertrauliche Daten und beuge Pannen in im Kontext der Datensicherheit vor. Sogar die Effizienz steige, denn die Umsetzung des Regelwerks schaffe Prozessklarheit, verschlanke Abläufe, mache Risiken sichtbar und somit besser beherrschbar.

„Zuletzt senken Geschäftsführer und Führungskräfte ihr eigenes, ganz persönliches Risiko, denn eine lückenlose Umsetzung vermindert deutlich das Haftungsrisiko, welches im Zuge von NIS-2 auch für sie als Einzelpersonen gilt!“ Mithilfe der oben erwähnten Schritte – idealerweise in Kombination mit einer Lösung, die beim Monitoring und Management von Fallstricken in Sachen Informationssicherheit hilft – erreichten Unternehmen schnell und unkompliziert „Compliance“ im Sinne der NIS-2-Richtlinie.

Weitere Informationen zum Thema:

proliance
Über uns: Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

prpliance
Alexander Ingelheim – Co-Founder & CEO

proliance, 2025
Cyberresilienz-Studie 2025: Wo steht der deutsche Mittelstand?

Die Bundesregierung, 08.12.2025
Gesetz in Kraft getreten: Mehr digitale Sicherheit / Die Bundesregierung will neue europäische Sicherheitsstandards für Wirtschaft und Verwaltung in deutsches Recht umsetzen. Ein entsprechendes Gesetz der Bundesregierung ist nun in Kraft getreten. Ein Überblick.

datensicherheit.de, 10.12.2025
NIS-2: Vielen Unternehmen fehlt es an Kapazitäten zur Umsetzung und zum Nachweis / Greg Hansbuer rät im Kontext der NIS-2-Umsetzung zur Nutzung von „Remote Managed Services“ zur professionellen Bereitstellung der Technologie und Verantwortungsübernahme für definierte Betriebsprozesse

datensicherheit.de, 09.12.2025
NIS-2-Umsetzung: 5 Branchen am stärksten betroffen / Die NIS-2-Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen

datensicherheit.de, 07.12.2025
NIS-2-Umsetzungsgesetz in Kraft: Verpflichtende Umsetzungsphase lässt keine weiteren Verzögerungen zu / Die NIS-2-Vorgaben gelten nunmehr für viele Organisationen in „wichtigen“ und „kritischen“ Sektoren und reichen deutlich weiter als bisherige KRITIS-Regelungen

datensicherheit.de, 06.12.2025
Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam / Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

[datensicherheit.de, 09.12.2025] Mit der endgültigen Umsetzung der EU-Richtlinie NIS-2 in Deutschland bedeutet dies für betroffene Unternehmen, dass das Thema Cybersicherheit auf der Prioritätenliste noch einmal einen gewaltigen Sprung nach oben machen muss. Cybersecurity-Experten von Obrela zeigen auf, welche Branchen besonders davon betroffen sind. Eine der gravierendsten Änderungen im NIS-2-Kontext betrifft den deutlich erweiterten Geltungsbereich: Neben klassischen KRITIS-Betreibern rücken nun auch zahlreiche Industrie-, Technologie- und Dienstleistungsbranchen in den Fokus – insgesamt wird demnach eine Größenordnung von rund 30.000 Unternehmen in Deutschland erfasst.

5 Sektoren trifft NIS-2 deutlich härter als den Rest – aufgrund ihrer Strukturen, Abhängigkeiten und operativen Kritikalität

Die NIS-2-Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Als „wesentlich“ gelten Organisationen, deren Ausfall die Grundversorgung oder die öffentliche Sicherheit unmittelbar gefährdet.

• „Wichtig“ sind dagegen Unternehmen, deren Ausfall kritisch, aber nicht sofort versorgungsrelevant ist – etwa Medizintechnik- und Elektronik-Anbieter oder Maschinenbauer, Lebensmittelproduzenten und auch Forschungseinrichtungen.

Entscheidend sei jedoch weniger die Frage, ob ein Unternehmen unter NIS-2 fällt, „sondern wie stark es die neuen Vorgaben spürt“. Branchen mit verteilten OT-Systemen, tiefen Dienstleisterketten oder hohen Versorgungsrisiken stünden nun vor besonders hohem Aufwand. In der Umsetzung zeige sich: Fünf Sektoren treffe es deutlich härter als den Rest – aufgrund ihrer Strukturen, Abhängigkeiten und operativen Kritikalität.

Fünf Sektoren, welche NIS-2 laut Obrela besonders gefordert sind:

1. Energieversorgung (Strom, Gas, Wasser, Fernwärme)
   Der Energiesektor sei durch die „Energiewende“ einer der am stärksten digitalisierten OT-Sektoren in Deutschland. Smart-Meter-Gateways, automatisierte Laststeuerung, digitale Netzleittechnik und Tausende dezentral angebundene Erzeuger träfen dort auf jahrzehntealte OT-Anlagen.
   Dieser Mix schaffe eine Angriffsfläche, welche Cyberkriminelle gezielt ausnutzten: „Laut ,Digital Universe Report H1 2025′ von Obrela entfallen 27 Prozent der Sicherheitsvorfälle auf externe Angriffe.“
   Dass der Druck steige, zeige sich u.a. bei Stadtwerken: In fast jedem Landkreis betrieben kleine Energie- und Wasserbetriebe Netze mit knappen Teams, begrenzten Budgets und zunehmend digital verteilten Anlagen – von der Ladeinfrastruktur bis zu den Photovoltaikfeldern. Sie müssten nun dieselben NIS-2-Pflichten erfüllen wie Großversorger, verfügten aber kaum über die Ressourcen, um ihre OT- und IT-Landschaften vollständig zu überblicken. „Für sie bedeutet NIS-2 vor allem: Transparenz in verteilten OT-Netzen schaffen und Bedrohungen erkennen, bevor Leitstellen, Versorgungsnetze oder Kundendaten betroffen sind!“
2. Gesundheitssektor (Krankenhäuser und Gesundheitseinrichtungen)
   Finanziell motivierte Ransomware-Gruppen wie „FIN12“ oder „Conti“-nahe Akteure wüssten um den Druck in Kliniken und Gesundheitseinrichtungen. Intensivstationen, OP-Planung und Patientenmanagement seien überwiegend digital organisiert. Das Einschleusen von Malware – 25 Prozent aller Vorfälle – gefährde dort nicht nur Daten, sondern unmittelbar Menschenleben.
   „Wie gefährlich dieser Grad der Vernetzung ist, gerät im hektischen Klinikalltag leicht aus dem Blickfeld: Auf Station greifen mehrere Personen auf ein Gerät zu (Shared Devices), Zugänge werden von der nächsten Schicht übernommen und kritische Situationen verlangen notgedrungen ,Workarounds’.“ Entsprechend hoch sei der Anteil an Verstößen gegen interne Sicherheitsvorgaben – rund 20 Prozent aller Vorfälle.
   Hinzu komme, dass viele Medizingeräte technisch überholt seien. Alte Bildgebungsgeräte wie MRTs oder CTs liefen beispielsweise auf ungepatchten „Windows“-Versionen. Ein Laborgerät hänge in einem separaten VLAN, mit unbekanntem Betriebssystem oder Patchlevel. Viele Kliniken wüssten schlicht nicht, welche Geräte im Netz hängen, welche Softwareversionen laufen, welche Remote-Zugänge existieren und wo veraltete Komponenten stehen. „Für Krankenhäuser bedeutet NIS-2 deshalb vor allem: MedTech-Landschaften transparent machen und privilegierte Zugänge – auch von Herstellern – strikt kontrollieren!“
3. Industrielle Produktion (Fertigung, Maschinen- und Anlagenbau)
   In der fertigenden Industrie seien Stillstände, Lieferunterbrechungen und lange Wiederanlaufzeiten längst reale Szenarien. Sieben Prozent aller beobachteten Vorfälle entfielen auf diesen Sektor – rund 800 Angriffe allein im ersten Halbjahr 2025.
   Die Spannbreite reiche von kompromittierten Bediener-Accounts über Manipulationen an Maschinenabläufen bis zu Eingriffen in Logistikprozesse oder unerlaubten Änderungen an Steuerungssystemen. Die Motive dahinter reichten von finanziellen Interessen bis zu gezielter Betriebsspionage.
   Ein Kernproblem: „Klassische OT wurde nie für das Internet gebaut. Viele Steuerungen laufen seit Jahrzehnten, sind kaum patchbar oder basieren noch auf ,Windows XP Embedded’.“ Gleichzeitig hingen heute IIoT-Sensorik, „Cloud“-Dienste, MES- und ERP-Systeme am selben Netz. Der zweite Schwachpunkt sei die globale Lieferkette: „Hersteller werden selten direkt angegriffen, sondern über Umwege – manipulierte Software-Updates, kompromittierte Logistikpartner oder unsichere Remote-Zugänge von Wartungsfirmen.“ Genau deshalb setze NIS-2 einen besonderen Schwerpunkt auf Lieferkettenkontrollen.
4. Finanzsektor (Banken, Zahlungsdienste, Finanzinfrastrukturen)
   Die Finanzbranche zähle zu den lukrativsten und mit 19 Prozent aller beobachteten Vorfälle auch zu den meist betroffenen Zielen für Cyberangriffe. Allein im ersten Halbjahr 2025 habe Obrela 2.150 Attacken verzeichnet – also rein rechnerisch alle zwei Stunden ein Angriff.
   Besonders auffällig: „32 Prozent der Vorfälle sind sektorspezifisch, also präzise auf Finanzsysteme zugeschnitten. Dazu zählen unautorisierte Zugriffe auf Transaktionsplattformen, Manipulationen in Zahlungs- und Handelsprozessen bis hin zu Web-Injection-Angriffe, die Zugangsketten für späteren Betrug aufbauen.“
   Der Druck entstehe vor allem durch die Architektur der Finanz-IT: Jahrzehntelang gewachsene Kernbankensysteme („COBOL“) träfen auf moderne API-Chains, „Cloud“-Dienste und ausgelagerte Zahlungsprozesse. Host-Systeme, Middleware-Schichten, Kartenabwicklung, „SWIFT“-Anbindungen, Marktinterfaces – all dies hänge über Hunderte Schnittstellen zusammen. „Schon ein einzelner kompromittierter Dienstleister oder eine fehlerhafte API reicht, um in hochkritische Systeme vorzudringen.“ NIS-2 adressiere genau diese Schwachstellen: „Dienstleister und ,Cloud’-Anbieter strikt auditieren, privilegierte Zugänge härten, maschinenbasierte Identitäten absichern und Zahlungsströme in Echtzeit auf Anomalien prüfen!“
5. Transport (Luftfahrt, Eisenbahnverkehr, Straßenverkehr, Schifffahrt)
   Der Transportsektor gehöre in NIS-2 zu den „wesentlichen Einrichtungen“ – und das aus gutem Grund. Die Abläufe hingen an einem dichten Netz aus Betriebssteuerung, Disposition, Fracht-Tracking und Wartungsprozessen, von denen viele über externe Dienstleister liefen.
   28 Prozent der beobachteten Vorfälle beträfen Malware – „oft dort, wo Systeme nur selten aktualisiert werden – etwa in Routen- oder Ladeplanungssoftware“.
   Besonders anspruchsvoll werde die Umsetzung von NIS-2 durch die Kombination aus stark regulierten Alt-Systemen und einer außergewöhnlich hohen Zahl externer Schnittstellen. Viele zentrale Anwendungen – von Leit- und Dispositionssoftware bis zu Flughafen- oder Cargo-Systemen – unterlägen strengen Zertifizierungen, weshalb Updates nur selten und mit langen Freigabeprozessen möglich seien. „Gleichzeitig stützen sich Bahn-, Airline- und Logistikbetreiber auf ein dichtes Geflecht aus Wartungsfirmen, Abfertigern und technischen Dienstleistern mit direktem Zugriff auf operative Systeme oder Datenflüsse.“ Diese Breite der Integrationen mache selbst kleine Änderungen koordinations- und dokumentationsintensiv.

NIS-2 verlangt durchgängiges Monitoring und schnelle Reaktionsfähigkeit

NIS-2 werde für viele Unternehmen vor allem ein Ressourcenproblem darstellen. „Wir erleben das immer wieder: Viele Organisationen scheitern nicht an der Technik, sondern an fehlender Transparenz, begrenzten Teams und der Vielzahl an Schnittstellen“, kommentiert Stefan Bange, „Managing Director Germany“ bei Obrela.

• Er betont: „NIS-2 verlangt durchgängiges Monitoring und schnelle Reaktionsfähigkeit – Anforderungen, die viele Unternehmen nur mit externen Partnern rund um die Uhr abdecken können.“ Sogenannte Security-as-a-Service-Modelle böten hierzu eine realistische Entlastung. Externe Partner übernähmen dabei Aufgaben wie „Managed Detection and Response“ (MDR), „Managed Risk and Controls“ (MRC), die Pflege zentraler Sicherheitsrichtlinien sowie die Bewertung neuer Schwachstellen.

„So entstehen klare Verantwortlichkeiten, ein durchgängiger Überblick über Risiken und eine Reaktionsfähigkeit, die rund um die Uhr funktioniert. Das sind alles Voraussetzungen, die NIS-2 jetzt verpflichtend macht und viele Organisationen aus eigener Kraft nur schwer erfüllen können“, gibt Bange abschließend zu bedenken.

Weitere Informationen zum Thema:

OBRELA
ÜBER OBRELA

OBRELA, Das Obrela-Bedrohungsanalyse-Team, 03.09.2025
Digitales Universum Bericht H1 2025 Bericht

Linkedin
Stefan Bange: Managing Director DACH @ Obrela Security Industries GmbH

datensicherheit.de, 07.12.2025
NIS-2-Umsetzungsgesetz in Kraft: Verpflichtende Umsetzungsphase lässt keine weiteren Verzögerungen zu / Die NIS-2-Vorgaben gelten nunmehr für viele Organisationen in „wichtigen“ und „kritischen“ Sektoren und reichen deutlich weiter als bisherige KRITIS-Regelungen

datensicherheit.de, 06.12.2025
Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam / Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben dennoch nicht aus

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen / Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen