Mit dem neuen Referentenentwurf zur NIS-2-Richtlinie macht Deutschland Druck, um drohenden EU-Sanktionen zu entgehen. Unternehmen und Behörden erwarten nun wichtige gesetzliche Klarstellungen – besonders zu betroffenen Sektoren, Compliance-Regelungen und der Rolle eines zentralen CISO für den Bund.
Es ist richtig und wichtig, dass die Umsetzung der NIS-2-Richtlinie priorisiert erfolgt, damit die deutschen Unternehmen und auch die öffentlichen Einrichtungen Rechtssicherheit erhalten.
Anfang Juni 2025 wurde ein Referentenentwurf zur Umsetzung der Zweiten Netzwerk- und Informationssicherheits-Richtlinie (NIS-2-Richtlinie) aus dem Bundesministerium des Innern und für Heimat bekannt. Die neue Bundesregierung hatte bereits betont, dass die Umsetzung der NIS-2-Richtlinie Priorität hat. Das mag daran liegen, dass man teilweise die gesellschaftliche Bedeutung der Richtlinie und ihrer Auswirkungen im Bereich der IT-Sicherheit verstanden hat, vermutlich zu gleichen Teilen aber auch daran, dass das Vertragsverletzungsverfahren gegen Deutschland wegen der verspäteten Umsetzung bereits in die zweite Phase übergegangen ist und teure Sanktionen immer näher rücken. Mit dem jetzt öffentlich gewordenen Entwurf zeigt sich, dass es bei der Umsetzung unter der neuen Regierung vorangeht, allerdings auch, dass das Gesetz bei weitem nicht alle Unklarheiten ausräumen wird.
Hintergrund zur NIS-2-Richtlinie und ihrer Umsetzung
Die NIS-2-Richtlinie hat ihre Vorgänger-Richtlinie bereits 2022 abgelöst und hätte bis Oktober 2024 in nationales Recht umgesetzt werden müssen. Der Konjunktiv zeigt, dass dies nicht geschah. Gegen 24 Mitgliedstaaten wurde wegen der verspäteten Umsetzung ein Vertragsverletzungsverfahren eingeleitet. In der vorigen Legislaturperiode kam das Umsetzungsvorhaben immerhin bis zu einer Sachverständigenanhörung zu einem Regierungsentwurf, der erste Referentenentwurf zur Umsetzung stammt aus April 2023. Die Umsetzung ist im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) geplant.
Ziel der NIS-2-Richtlinie ist es, den europäischen Binnenmarkt cyberresilient zu gestalten. Das bedeutet, dass Unternehmen und öffentliche Einrichtungen, die für die Gesellschaft unerlässlich sind, weil sie bedeutsame Dienstleistungen und Verwaltungsaufgaben zur Verfügung stellen, auf die hybride Bedrohungslage vorbereitet sein sollen; hybrid deshalb, weil solchen Einrichtungen sowohl Gefahren aus dem cyber- als auch nicht-cyberbezogenen Risikobereich drohen. Die Risiken lassen sich nicht immer klar zuordnen, weshalb zusätzlich zur NIS-2-Richtlinie eine Resilienz-Richtlinie erlassen wurde. Auch deren Umsetzung über das sogenannte KRITIS-DachG lässt auf sich warten. Beide Gesetze sollen dann künftig „Hand in Hand greifen“ und die Einrichtungen krisenresilient machen.
Nun liegt ein unabgestimmter Referentenentwurf aus dem Innenministerium vor, der maßgeblich auf dem Entwurf der letzten Legislaturperiode aufbaut. Der Entwurf geht anschließend in die Hausabstimmung im Ministerium, Verbände können ggf. noch einmal Stellung beziehen. Danach ist dann damit zu rechnen, dass er als Regierungsentwurf in das Gesetzgebungsverfahren eingeleitet wird. Anschließend beschäftigt sich der Bundestag mit Beteiligung seiner Ausschüsse mit dem Vorhaben, einer Zustimmung des Bundesrates bedarf es anschließend nicht. Bereits beim ersten Blick auf den neuen Entwurf zeigt sich, dass der bisherige Titel „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“ abgelöst wird vom noch sperrigeren Titel „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“, auf den Versuch eines griffigen Kurztitels für das Gesetzesvorhaben wird man gespannt warten können.
Die NIS-2-Richtlinie ist sektorspezifisch aufgebaut, reguliert die Cybersicherheit also vertikal. Das bedeutet, dass bestimmte Sektoren als sensibel gelten und unter bestimmten Voraussetzungen reguliert werden. Hierzu zählen u.a. die Sektoren Energie, Transport und Verkehr, Gesundheit, aber auch der Weltraum.
Für die Sektoren gibt es drei Betreiberkategorien. Die Betreiber kritischer Anlagen sind das Folgemodell der Kritischen Infrastrukturen, das Wording wird im Zuge von NIS-2 deshalb geändert, weil der Begriff der Kritischen Infrastrukturen infolge der Corona-Pandemie inflationär und „rechtsuntechnisch“ eingesetzt wurde. Auch die Betreiber kritischer Anlagen werden anhand von Schwellenwerten bestimmt, ein nationaler Sonderweg. Die Konkretisierung dieser Schwellenwerte erfolgt in einer Rechtsverordnung. Deren Name wird von der BSI-Kritisverordnung zur „Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz“ geändert, der Nutzen der Umbenennung ist nicht ersichtlich.
Die wichtigen und besonders wichtigen Einrichtungen folgen dann unmittelbar den Vorgaben der NIS-2-Richtlinie. Für die Einordnung kommt es auf die Mitarbeiterzahl oder den Jahresumsatz und die Jahresbilanzsumme des Unternehmens an. Es gelten EU-weite Größenvorgaben.
Die Betreiber kritischer Anlagen sind eine Sonderkategorie der besonders wichtigen Einrichtungen, für sie gelten die strengsten Vorgaben. Danach folgen in der Intensität der Regelungen absteigend die besonders wichtigen und dann die wichtigen Einrichtungen. Sämtliche Einrichtungen müssen IT-Sicherheits-Maßnahmen treffen, sich beim BSI registrieren und bei Sicherheitsvorfällen eine dreistufige Meldung an eine gemeinsame Meldestelle von BSI und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) abgeben. Bei Verstößen können erhebliche Bußgelder greifen, die Geschäftsleitung wird ausdrücklich für die Umsetzung der Vorgaben verantwortlich gemacht. Für einzelne Einrichtungen gelten dann noch Sondervorgaben, etwa zu Nachweisen über die getroffenen Schutzmaßnahmen oder speziellen Systemen zur Angriffserkennung (SzA).
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Einen Sonderfall betroffener Einrichtungen stellt die Bundesverwaltung dar. Hier gilt ein eigenständiges Regelungskonzept zur IT-Sicherheit. Insgesamt war und ist die Einbindung der öffentlichen Verwaltung in den Anwendungsbereich des künftigen BSIG höchst umstritten. Für Kommunalverwaltungen hat sich der IT-Planungsrat dafür ausgesprochen, dass diese nicht vom künftigen Gesetz erfasst werden. Teilweise wurden hier auf Länderebene schon eigene Regelungen getroffen. Doch auch auf der Bundesebene wurde auf „Sparflamme gekocht“, in den bisherigen Entwürfen herrschte ein deutliches Ungleichgewicht zwischen Privatwirtschaft und Bundesverwaltung.
Im neuen Referentenentwurf zeigt sich die Lockerung der Schuldenbremse. Das BMI schätzt den jährlichen Erfüllungsaufwand für die Bundesverwaltung auf 334 Millionen Euro, eine deutliche Steigerung zum letzten Entwurf. Hinzukommt ein einmaliger Erfüllungsaufwand von 208 Millionen Euro. Auch die Planstellen auf der Bundesebene sollen deutlich ansteigen.
Weniger konkret bleibt der Entwurf bei der Frage nach einem Chief Information Security Officer (CISO) für den Bund. Nach § 48 BSIG-E bestellt die Bundesregierung eine Koordinatorin oder einen Koordinator für Informationssicherheit. Laut Entwurf dient dieser CISO Bund als zentraler Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement. Mehr Mut zur Regulierung dieser wichtigen Position gibt es aber nicht, die konkrete Verankerung bleibe dem umsetzenden Kabinettsbeschluss vorbehalten. Zur Vermeidung von Interessenkonflikten solle die Position möglichst unabhängig bleiben, ein allgemein anerkannter Grundsatz bei der Installation von CISOs. Eine genauere gesetzliche Konkretisierung zur Organisation des CISO Bund würde diesem Ziel schon einmal helfen.
IT-Sicherheit bei der Bundesverwaltung
Die Sicherheitsmaßnahmen, die Einrichtungen der Bundesverwaltung künftig umzusetzen haben, werden im neuen Entwurf konkretisiert. Die Mindestanforderungen zum Schutz der in der Bundesverwaltung verarbeiteten Informationen ergeben sich aus den BSI-Standards (200-1 bis 200-4) und dem IT-Grundschutz-Kompendium (IT-Grundschutz). Beide Regelwerke werden laut Entwurf durch das BSI regelmäßig evaluiert und entsprechend dem Stand der Technik und den Erfahrungen aus der Beratung des BSI fortentwickelt. Für den IT-Grundschutz heißt dies konkret: das BSI wird diesen bis zum 1.1.2026 modernisieren und fortentwickeln.
Außerdem wird auch der Nachweiszeitraum über die umgesetzten Anforderungen des neuen BSIG für die Einrichtungen der Bundesverwaltung gestrafft. Während dies bislang bis spätestens 5 Jahre nach Inkrafttreten des Gesetzes geschehen sollte, sieht der neue Entwurf einen maximalen Drei-Jahres-Zeitraum vor. Dieser Zeitraum ist machbar und signalisiert zugleich auch der Privatwirtschaft, ebenfalls mit zeitlichem Hochdruck an der Umsetzung der NIS-2-Richtlinie zu arbeiten.
Eine der größten Herausforderungen bei der Vorbereitung auf die NIS-2-Umsetzung besteht nicht etwa erst bei den konkreten Sicherheitsmaßnahmen, sondern bereits bei der Bestimmung des Anwendungsbereichs, welche Dienstleistungen und welche Gesellschaften innerhalb von Konzernstrukturen vom künftigen Gesetz erfasst sein werden. Auch hier gibt es Änderungen, die sich aber nicht zwingend positiv auf die Nachvollziehbarkeit der zu erwartenden Vorgaben auswirken werden.
Dies sieht man am deutlichsten bei der Begriffsbestimmung des „Managed Service Providers“ (MSP), also Dienstleistern, die für ihre Kunden IT-Dienste langfristig übernehmen und betreiben. Solche MSP sind eine Einrichtungsart im Sektor „Digitale Infrastruktur“. Der Entwurf unternimmt zum Anwendungsbereich den Versuch der Klarstellung und führt aus, dass hier ein „gewisser Grad an tatsächlichem Zugriff auf IKT-Produkte, -Netzwerke und -Infrastrukturen“ erforderlich ist, der über die reine Beratungstätigkeit hinausgeht. Zugleich sei ein „bestimmter Kundenkreis (…) dagegen nicht Voraussetzung für die Einstufung als MSP“, es seien also auch Unternehmen, die „ausschließlich den zentralen IT-Betrieb eines Unternehmensverbundes übernehmen“, in der Regel erfasst. Das dürfte dazu führen, dass auch konzerninterne IT-Dienstleister unter den MSP-Begriff fallen, auch wenn das Unternehmen selbst keine Dienstleistung aus den kritischen Sektoren erbringt. Das lässt sich auch auf kommunale IT-Dienstleister übertragen, weshalb hier „durch die Hintertüre“ dennoch Auswirkungen auf den kommunalen Bereich zu erwarten sind. Dem Gesetzgeber muss aber klar sein, dass die neue Lesart dazu führen würde, dass für die MSP die Durchführungsverordnung 2024/2690 für Digitale Infrastrukturen gilt und dies systematisch nicht mit der NIS-2-Richtlinie übereinstimmt.
Eine Neuerung gibt es im Entwurf auch für die Sozialversicherungsträger und die Grundsicherung für Arbeitssuchende als betroffene Einrichtungen. Bislang gehören diese in den Kritis-Sektor „Finanz- und Versicherungswesen“, was auch in den bisherigen Entwürfen zur NIS-2-Umsetzung so fortgeführt wurde. Dieser Sektor soll nun aufgetrennt werden in das Finanzwesen und auf der anderen Seite den Sozialversicherungsträgern und der Grundsicherung für Arbeitssuchende als eigenständigen Sektor. Auf den ersten Blick mag eine solche Auftrennung überzeugen, weil doch die Bandbreite der Unternehmen und kritischen Dienstleistungen im bisherigen Sektor Finanz- und Versicherungswesen gerade bei der Sozialversicherung doch signifikant ist.
Eine weitere Neuerung zeichnet sich im Energiesektor ab, der im Energiewirtschaftsgesetz (EnWG) gesondert im Hinblick auf die IT-Sicherheitsvorgaben reguliert wird. Der neue Entwurf kennt die neue Betreiber-Unterkategorie „Betreiber digitaler Energiedienste“. Er versucht damit mit den aktuellen Entwicklungen im Energiesektor Schritt zu halten. Künftig werden dann etwa auch Virtual Power Plants („Virtuelle Kraftwerke“) oder Demand Response Plattformen zu IT-Sicherheitsmaßnahmen verpflichtet.
Änderung bei Sicherheitsvorgaben
Doch nicht nur bei der Betroffenheit zeichnen sich Änderungen zu den Vorgängerentwürfen ab, auch bei der Ausgestaltung der Sicherheitsvorgaben für betroffene Einrichtungen gibt es Änderungen. Dies betrifft vor allem die Betreiber kritischer Anlagen. Diese werden künftig, wie jetzt schon die Kritischen Infrastrukturen, zu Systemen zur Angriffserkennung (SzA) als Teil ihres IT-Sicherheits-Managements verpflichtet. Während sich der Scope der Sicherheitsmaßnahmen mit dem neuen BSIG künftig deutlich erweitern wird, behält der neue Entwurf für den Scope der SzA den bisherigen Wortlaut des § 8a BSIG bei. Die SzA müssen sich nur auf diejenigen informationstechnischen Systeme beziehen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Anlagen maßgeblich sind.
Ruhe bei Compliance eingekehrt
Ruhe scheint bei der eigenen Compliance-Vorschrift des künftigen BSIG eingekehrt zu sein. Die NIS-2-Richtlinie stellt noch einmal ausdrücklich klar, dass die Geschäftsleitung der Einrichtungen letztverantwortlich für die Umsetzung der Cybersicherheitsvorgaben ist. Zwar dürfen Aufgaben im Unternehmen oder nach extern delegiert werden, dies gilt aber nicht für einen Kernbereich der Leitungsaufgaben. Zudem wandelt sich die Aufgabe in eine Überwachungspflicht über die ordnungsgemäße Umsetzung nach einer Delegation. Bei Schäden durch die Verletzung der Compliance-Pflicht ist ein persönlicher Regress gegen die Leitungsperson möglich. Diese Grundsätze entsprechend den IT-Sicherheits-Standards, der persönliche Regress ist auch schon nach der bisherigen Rechtslage möglich. Es handelt sich also um eine gesetzliche Klarstellung.
Die Regelung zum Regress war in den bisherigen Entwürfen sehr umstritten und änderte sich daher stetig. Während zu Beginn noch der Verzicht auf den Regress durch das Unternehmen nicht vereinbart werden konnte, wurde eine solch strenge Vorschrift nach und nach aufgegeben. Nun gelten hier die allgemeinen Regelungen des Gesellschaftsrechts zur Leitungshaftung. Ebenfalls nicht mehr verändert wurde die Schulungsvorschrift, nach der sich die Geschäftsleitung im Bereich des Risikomanagements regelmäßig schulen muss.
Der Hintergrund der NIS-2-Richtlinie wurde eingangs erläutert. Der Europäische Gesetzgeber hat daher direkt zwei Richtlinien auf den Weg geschickt, um der hybriden Gefahrenlage Herr zu werden. Der Europäische Gesetzgeber war nicht in der Lage, dies in ein Regelungsvorhaben zu packen. Daher ist es auch nicht verwunderlich, dass die deutsche Umsetzung ebenfalls nicht in einem Vorhaben erfolgt, sondern in zwei getrennten Gesetzen. Das KRITIS-DachG zur Umsetzung der Resilienz-Richtlinie war bislang dennoch mit der NIS-2-Umsetzung verwoben, die Gesetze sollten aufeinander abgestimmt werden. Diese Vernetzung ist im neuesten Entwurf weitestgehend gelöscht. Das mag auch daran liegen, dass man die NIS-2-Umsetzung schneller voranzutreiben glaubt, weil es eben kein gänzlich neues Gesetz ist. Dennoch drohen auch bei der Umsetzung der Resilienz-Richtlinie Sanktionen, weil hier ein Vertragsverletzungsverfahren ebenfalls im Gange ist. Ein Ausruhen bei der Umsetzung beider Richtlinien ist daher fatal, zumal die Umsetzung des Kritis-Dachgesetzes gerade eben aufgrund der Neuheit einen guten Vorlauf für die Unternehmen benötigt.
Fazit
Unternehmen arbeiten seit geraumer Zeit bereits an der Vorbereitung auf die NIS-2-Richtlinie. Sie wurden immer wieder in ihrer Planung zurückgeworfen, weil zwar klar war, dass die Umsetzung der Richtlinie kommt, aber nicht wann. Zugleich ist bereits das Vertragsverletzungsverfahren eingeleitet, es drohen finanzielle Sanktionen gegen Deutschland. Daher ist es richtig und wichtig, dass die Umsetzung der Richtlinie priorisiert erfolgt, damit die Unternehmen und auch die öffentlichen Einrichtungen Rechtssicherheit erhalten; und natürlich, damit die Richtlinie ihrem Ziel nachkommt und der europäische Binnenmarkt cyberresilient wird. Dass bei dieser nun hoffentlich zügigen Umsetzung das Kritis-Dachgesetz verlorengegangen ist, ist misslich. Es bleibt zu hoffen, dass bei dessen späterer Umsetzung keine „Unebenheiten“ mit dem künftigen BSIG entstehen.
Weiterhin ist deutlich, dass beim Umsetzungsgesetz noch einige Baustellen bestehen. Gerade bei der organisatorischen Schaffung eines CISO Bund ist gesetzgeberischer Mut gefragt, dies nicht künftigen Kabinettsbeschlüssen zu überlassen, sondern eine langfristige gesetzliche Klarheit zu schaffen, wer der CISO Bund ist und wie er unabhängig fungiert. Mit Spannung bleibt für die Unternehmen zu beobachten, wie sich im Gesetzgebungsverfahren noch der Anwendungsbereich der Vorschriften ändern wird. Hierbei ist wichtig, dass stets die Regelungssystematik der NIS-2-Richtlinie beachtet und kein Widerspruch über weitere Rechtsakte hervorgerufen wird.
Prof. Dr. Dennis-Kenji Kipker ist Research Director beim cyberintelligence.institute und zählt zu den führenden Köpfen im Bereich der Cybersicherheit. Als Professor für IT-Sicherheitsrecht arbeitet er an der Schnittstelle von Compliance und Technologie und gestaltet die europäische sowie internationale Cyber-Politik von heute und morgen maßgeblich mit. Er berät als ausgewiesener Experte die Deutsche Bundesregierung, die Europäische Kommission sowie mehrere Regierungen weltweit in Fragen der digitalen Sicherheit und Regulierung.
Bildquelle: cyberintelligence.institute
Dr. Tilmann Dittrich, LL.M. steht Einzelpersonen und Unternehmen als Berater und Vertreter in allen Bereichen des Wirtschaftsstrafrechts zur Seite. Der Fokus seiner Tätigkeit liegt auf dem IT- und Datenschutzstrafrecht. Er ist als Rechtsanwalt bei Wessing & Partner tätig.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/1b/671b7b77086d8/cii-logo-schriftzug-mit-icon-bk.png "cii-logo-schriftzug-mit-icon-bk (cyberintelligence.institue)"){kind=icon}
:quality(80)/p7i.vogel.de/wcms/bd/2b/bd2b1d3014beda248f6be8114dd696fe/0125070878v1.jpeg "Es geht endlich voran mit der NIS2! Noch ist nicht klar, wann genau die Umsetzung in deutsches Recht erfolgt, aber dass sie kommt, ist klar. Genau wie bei Cyberangriffen, auf die man sich auch besser vorbereiten sollte. (Bild: © muhammadriaz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/a0/c5a025fd9b231ae061ba92437d00c2ae/0124733497v2.jpeg "Die NIS-2 soll die Cyberresilienz der EU stärken. Dafür müssen die Unternehmen mitspielen und sollten das auch endlich zu ihrem eigenen Nutzen tun und nicht noch länger auf die Politik warten. (Bild: © kunertus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/88/348825f9003904cb788dce007349beea/0122517531v2.jpeg "Neue Standards fordern die IT-Teams produzierender Unternehmen stark heraus. Wir zeigen, wie sie die NIS2-Richtlinie für mehr Cybersicherheit nutzen können. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/2e/5f2e58b876e5738449d7c6570ff8d019/0123767931v2.jpeg "Tritt man einen Schritt zurück, so erkennt man, dass eine der größten Hürden nicht im technischen Aspekt der Compliance besteht, sondern in dem Kulturwandel, den NIS-2 verlangt. (Bild: Who is Danny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/12/641244fab12277c16ab5cdda868bf88a/0120917079v2.jpeg "Cyberrisiken sind wie überfüllte Straßen: Sind sie einmal da, gehen sie so schnell nicht wieder weg. Dann hilft nur: anschnallen und dauerhaft vorsichtig fahren. (Bild: Drazen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/84/dd84c19ef50a5eda08925e43f018e293/0119359539v2.jpeg "Der kostenlose Best-Practice-Leitfaden der Security-Insider-Redaktion erläutert in zehn Schritten, was zu tun ist, um in puncto NIS 2 rechtskonform zu agieren. (Bild: ali - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/f4/67f4013b8c78bd79be43c6439c6bdd62/0125920477v2.jpeg "NIS2-Entwurf veröffentlicht – Unternehmen und Verbände beziehen Stellung: Der neue Regierungsentwurf erweitert den Kreis der betroffenen Unternehmen deutlich und sorgt für kritische Reaktionen aus Wirtschaft und Branche. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/47/86/478674e3f94e544c2b04f1c420101a85/0127375001v2.jpeg "In Anbetracht geopolitischer Spannungen und steigender Cyberbedrohungen sehen die Sachverständigen einen enormen Zeitdruck hinter der Umsetzung von NIS 2 in nationales Recht. (Bild: Midjourney / KI-generiert)")