Quelle: ec.europa.eu

Die digitale Welt von 2026 ist nicht mehr die von 2019. Wo früher einfache Malware dominierte, stehen heute staatlich gesteuerte Ransomware-Gruppen, KI-gestützte Angriffe und die Bedrohung durch Quantencomputer im Vordergrund. Als Reaktion darauf hat die Europäische Kommission am 20. Januar 2026 den Vorschlag für den Cybersecurity Act 2 (CSA 2) vorgelegt.

Wie es im Vorschlag (COM(2026) 11) heißt:

„The cybersecurity threat landscape has significantly evolved in an increasingly complex geopolitical reality. Cyberattacks have surged and became more sophisticated, targeting critical infrastructure.“ > (Die Bedrohungslandschaft der Cybersicherheit hat sich in einer zunehmend komplexen geopolitischen Realität erheblich weiterentwickelt. Cyberangriffe haben zugenommen und sind anspruchsvoller geworden…)

Dieser Artikel analysiert, warum der CSA 2 weit mehr ist als nur ein Update – er ist das Fundament für die digitale Souveränität Europas.

Die 4 Säulen des Cybersecurity Act 2

Der neue Entwurf zielt darauf ab, die Schwachstellen der ersten Verordnung zu beheben und gleichzeitig neue Schutzwälle hochzuziehen.

1. Ein erweitertes Mandat für die ENISA

Die ENISA (EU-Agentur für Cybersicherheit) wird von einer beratenden Rolle stärker in die operative Verantwortung gerückt. Sie soll nicht mehr nur koordinieren, sondern aktiv bei der Identifizierung kritischer Abhängigkeiten helfen.

2. Reform des Zertifizierungsrahmens (ECCF)

Die bisherige Zertifizierung galt oft als zu träge. Der CSA 2 verspricht eine Straffung. Das Ziel ist klar: Sicherheit „by Design“ muss schneller marktfähig sein, ohne die Qualität zu vernachlässigen. Ein wesentlicher Bestandteil ist hier die Einführung von Peer-Reviews zwischen nationalen Behörden.

3. Sicherheit der IKT-Lieferkette: Kampf gegen Hochrisiko-Anbieter

Dies ist das wohl politischste Element des CSA 2. Der Gesetzgeber erkennt an, dass technische Sicherheit allein nicht ausreicht, wenn die Hardware oder Software aus unsicheren Quellen stammt. Der Text betont:

„There is a need to establish a framework to identify and manage ICT supply chain risks related to high-risk suppliers.“ (Es besteht die Notwendigkeit, einen Rahmen zur Identifizierung und Bewältigung von Risiken in der IKT-Lieferkette im Zusammenhang mit Hochrisiko-Anbietern zu schaffen.)

Unternehmen müssen sich darauf einstellen, dass Anbieter, die unter der Kontrolle von Drittstaaten mit Sicherheitsbedenken stehen, in kritischen Sektoren verboten werden könnten.

4. Harmonisierung und „One-in, One-out“

Um den administrativen Aufwand zu begrenzen, wird der CSA 2 eng mit der NIS2-Richtlinie verzahnt. Zertifizierungen unter dem CSA 2 sollen künftig als direkter Nachweis für die Compliance-Anforderungen der NIS2 dienen.

Vergleich: Was ändert sich konkret?

Warum der CSA 2 für Unternehmen entscheidend ist

Besonders für Betreiber kritischer Anlagen und große IKT-Anbieter bedeutet der CSA 2 einen erhöhten Prüfaufwand. Der Impact Assessment Report (SWD(2026) 11) hebt hervor, dass insbesondere die De-Risking-Strategie von entscheidender Bedeutung ist:

„De-risk critical ICT supply chains from entities established in or controlled by entities from third countries posing cybersecurity concerns.“ (Kritische IKT-Lieferketten von Unternehmen entkoppeln, die in Drittländern mit Sicherheitsbedenken ansässig sind oder von dort kontrolliert werden.)

Erleichterungen für KMU

Gleichzeitig gibt es gute Nachrichten für den Mittelstand. Durch vereinfachte Selbstbewertungen für niedrigere Vertrauensstufen sollen die Kosten für Zertifizierungen gesenkt werden. Die Kommission verfolgt hier den „Digital by Default“-Ansatz, um Prozesse schlanker zu gestalten.

Fazit: Ein notwendiger Schritt für Europa

Der Cybersecurity Act 2 ist die Antwort auf eine Welt, in der Technologie zunehmend als geopolitische Waffe eingesetzt wird. Während der alte CSA den Binnenmarkt ordnete, soll der neue CSA die Union verteidigen. Für Unternehmen bedeutet dies: Die Auswahl der Partner in der IKT-Lieferkette wird künftig genauso wichtig wie die technische Firewall.

Der Beitrag EU Cybersecurity Act 2 (2026): So rüstet sich Europa gegen neue Cyber-Bedrohungen erschien zuerst auf Grams IT - Blog.

Die Stabilität der Energieversorgung bildet das Rückgrat moderner Industriegesellschaften und ist die fundamentale Voraussetzung für das Funktionieren urbaner Agglomerationen. In Deutschland wurde diese Stabilität traditionell auf einem weltweit führenden Niveau gewahrt, wobei Berlin mit einer durchschnittlichen Ausfallzeit von etwa 13 Minuten pro Jahr bisher im stabilen Mittelfeld rangierte. Der massive Stromausfall im Südwesten Berlins im Januar 2026 markiert jedoch eine dramatische Zäsur in der Bewertung der nationalen Infrastrukturresilienz. Es handelte sich nicht um ein zufälliges technisches Versagen oder eine atmosphärische Einwirkung, sondern um einen vorsätzlichen Akt der Sabotage, der die Verwundbarkeit hochgradig zentralisierter Versorgungsknoten offenlegte. Mit einer Dauer von rund einhundert Stunden und Auswirkungen auf über 100.000 Menschen stellt dieses Ereignis den schwersten und am längsten andauernden Stromausfall in der deutschen Hauptstadt seit dem Ende des Zweiten Weltkriegs dar.   

Die vorliegende Analyse untersucht die multidimensionalen Aspekte dieses Blackouts. Sie rekonstruiert die Chronologie der Ereignisse, analysiert die technischen Mechanismen des Systemversagens, beleuchtet die ideologischen Hintergründe der Täterschaft und evaluiert die Wirksamkeit der staatlichen Krisenreaktion. Abschließend werden strategische Empfehlungen zur Härtung kritischer Infrastrukturen (KRITIS) abgeleitet, die im Kontext der aktuellen gesetzgeberischen Initiativen wie dem KRITIS-Dachgesetz stehen.   

Chronologie und Phänomenologie des Systemausfalls

Der initiale Störungsfall ereignete sich in den frühen Morgenstunden des 3. Januar 2026. Um 05:44 Uhr verzeichnete die Netzleitstelle der Stromnetz Berlin GmbH einen massiven Spannungsabfall in mehreren 110-kV-Hochspannungssystemen sowie in untergeordneten Mittelspannungsleitungen. Das betroffene Gebiet umfasste primär die Ortsteile Nikolassee, Zehlendorf, Wannsee und Lichterfelde im Bezirk Steglitz-Zehlendorf. Zu diesem Zeitpunkt herrschten in Berlin winterliche Temperaturen um den Gefrierpunkt bei leichtem Schneefall, was die unmittelbaren Folgen des Stromausfalls – insbesondere den Ausfall von Heizungssystemen – massiv verschärfte.   

Der erste Einsatztag: 3. Januar 2026

Kurz nach der Alarmierung durch das interne Überwachungssystem gegen 05:44 Uhr meldete die Berliner Feuerwehr um 06:12 Uhr einen Brand an einer Kabelbrücke über den Teltowkanal in unmittelbarer Nähe des Heizkraftwerks Lichterfelde. Diese Brücke fungierte als neuralgischer Punkt, an dem mehrere Versorgungsstränge verschiedener Spannungsebenen gebündelt verliefen. Das Feuer, das vorsätzlich gelegt wurde, zerstörte die Isolierung und die Leiterstruktur der Kabel vollständig, was zu einem unmittelbaren Zusammenbruch der Versorgung für rund 45.400 Haushalte und 2.200 Gewerbebetriebe führte.   

Gegen 12:20 Uhr am selben Tag gelang es den Technikern durch komplexe Umschaltmaßnahmen in der Mittelspannungsebene (10 kV), die ersten 10.000 Haushalte in Lichterfelde wieder an das Netz zu bringen. Dennoch blieb die Lage in Zehlendorf und Wannsee prekär. Da das 110-kV-Netz an dieser Stelle massiv geschädigt war, reichten einfache Umschaltungen nicht aus, um die Last für das gesamte Gebiet zu übernehmen.   

Die Eskalationsphase: 4. bis 6. Januar 2026

In den darauffolgenden Tagen wurde das Ausmaß des Schadens deutlich. Während am 4. Januar weitere 7.000 Haushalte durch provisorische Verbindungen versorgt werden konnten, verharrten am Abend des 5. Januar immer noch rund 27.200 Haushalte und 1.425 Gewerbebetriebe in der Dunkelheit. Die Kälte führte dazu, dass öffentliche Einrichtungen wie das Cole-Sport-Center in Zehlendorf und das Rathaus Zehlendorf als Notunterkünfte eingerichtet wurden.   

Die Berliner Innenverwaltung reagierte in der Nacht zum 5. Januar mit der Ausrufung einer Großschadenslage nach dem Berliner Katastrophenschutzgesetz. Dies ermöglichte die Anforderung von Amtshilfe bei der Bundeswehr, die ab dem 6. Januar logistische Unterstützung leistete, Truppenküchen zur Verfügung stellte und Unterkünfte für zivile Helfer in der General-Steinhoff-Kaserne bereitstellte.   

Die Wiederherstellung: 7. bis 10. Januar 2026

Die entscheidende Wende trat am Mittwoch, dem 7. Januar, ein. Nach intensiven Arbeiten an zwei provisorischen Hochspannungsleitungen konnte ab 11:00 Uhr mit der schrittweisen Wiederzuschaltung begonnen werden. Zuvor war per Cell Broadcast eine Warnung an alle Berliner Haushalte geschickt worden, private Notstromaggregate vom Netz zu trennen und stromintensive Geräte zu meiden, um die Stabilität des Netzes beim Hochfahren nicht zu gefährden. Bis 20:30 Uhr war die Wiederversorgung aller Kunden offiziell abgeschlossen. Am 9. und 10. Januar wurden zusätzliche Sicherungsmaßnahmen durchgeführt, indem eine zweite provisorische Leitung in Betrieb genommen wurde, um die Redundanz während der monatelangen finalen Reparaturarbeiten zu gewährleisten.   

Technische Ursachenanalyse und systemische Schwachstellen

Der Vorfall im Januar 2026 offenbart eine kritische Diskrepanz zwischen dem theoretischen Sicherheitskonzept des Stromnetzes und der praktischen Anfälligkeit gegenüber gezielter Sabotage. Das Berliner Stromnetz ist nach dem sogenannten N−1-Prinzip aufgebaut. Dieses besagt, dass beim Ausfall einer beliebigen Komponente – etwa eines Transformators oder einer Leitung – die verbleibenden Komponenten die Last ohne Unterbrechung übernehmen können müssen.   

Das Versagen des N-1-Prinzips

Im Fall der Kabelbrücke am Teltowkanal wurde dieses Prinzip durch die räumliche Bündelung mehrerer Systeme ausgehebelt. Wenn zwei oder mehr voneinander unabhängige Leitungssysteme auf derselben Trasse geführt werden, führt ein Brand an diesem Punkt zum gleichzeitigen Ausfall beider Pfade. Technisch betrachtet liegt hier ein „Common Mode Failure“ vor. Da die Sabotage gezielt die Zuleitungen für mehrere Umspannwerke zerstörte, war der gesamte Südwesten faktisch vom 110-kV-Übertragungsnetz abgetrennt.   

Die Reparaturarbeiten gestalteten sich deshalb so langwierig, weil Hochspannungskabel eine komplexe Struktur aufweisen. Ein bloßes „Zusammenflicken“ ist bei 110.000 Volt nicht möglich. Es müssen spezielle Verbindungselemente, sogenannte Muffen, in Handarbeit und unter absolut schmutzfreien Bedingungen installiert werden. In Lichterfelde handelte es sich zudem um eine beträchtliche Anzahl von Kabeln: Das Bekennerschreiben erwähnte spezifisch 64 Rohre unter der Brücke, von denen ein Großteil mit Starkstromkabeln belegt war.   

Infrastruktur-Mapping und Zugänglichkeit

Ein wesentlicher Faktor für den Erfolg des Anschlags war die leichte Identifizierbarkeit des Ziels. Experten wiesen darauf hin, dass die betroffene Kabelbrücke auf öffentlich zugänglichen Satellitenbildern deutlich erkennbar und in einer relativ entlegenen Lage situiert war, was eine unbemerkte Tatausführung begünstigte. Hier kollidieren die Anforderungen an Transparenz im Energiemarkt mit den Erfordernissen des Sabotageschutzes. Kritiker bemängeln, dass sensible Netzdaten oft „auf dem Silbertablett“ präsentiert werden.   

Die ideologische Dimension: Analyse der „Vulkangruppe“

Am 4. Januar 2026 wurde ein Bekennerschreiben einer Gruppe veröffentlicht, die sich als „Vulkangruppe“ identifizierte. Diese Bezeichnung wird seit 2011 von verschiedenen, teils lose assoziierten linksextremistischen Gruppierungen verwendet, die durch Sabotageakte gegen Infrastruktureinrichtungen wie die Bahn, Stromnetze oder Industrieanlagen (etwa Tesla) in Erscheinung getreten sind.   

Motive und Zielsetzung

Das Bekennerschreiben zum Anschlag in Lichterfelde zeichnete sich durch eine ausgeprägte Systemkritik aus. Die Täter rechtfertigten den Angriff als Schlag gegen die „klimazerstörende Normalität“ und die „fossil-kapitalistische Infrastruktur“. Ein bemerkenswerter neuer Aspekt in der Argumentation war der Bezug auf Rechenzentren für Künstliche Intelligenz (KI). Die Gruppe kritisierte den enormen Energiehunger dieser Zentren und deren Rolle bei der „Massenüberwachung“.   

Die Wahl des Zeitpunkts – mitten im Winter bei Frosttemperaturen – wurde im Schreiben mit einer gewissen Ambivalenz kommentiert. Während man sich bei den „weniger wohlhabenden Menschen“ für die Unannehmlichkeiten entschuldigte, hielt sich das Mitleid für die „Besitzer von Villen“ in Steglitz-Zehlendorf laut Text in Grenzen. Diese soziale Komponente unterstreicht die klassenkämpferische Ausrichtung der Gruppierung.   

Forensische Linguistik und die „False Flag“-Debatte

Aufgrund der Schwere des Anschlags und der geopolitischen Lage kursierten unmittelbar Spekulationen über eine Beteiligung ausländischer Akteure, insbesondere Russlands. Es wurde vermutet, dass es sich um eine Operation unter falscher Flagge handeln könnte, um die soziale Instabilität in Deutschland zu befeuern.   

Die forensische Linguistin Müller analysierte das erste Schreiben jedoch als authentisch für das linksextremistische Spektrum. Sie verwies auf den „akademischen, kosmopolitischen Hintergrund“ der Verfasser, die Verwendung von spezifischen Gendering-Mustern (positive Konnotation weiblicher Formen, negative Konnotation männlicher Formen) und den Bezug auf internationale Themen wie die Situation der Uiguren. Zwar gab es Hinweise auf potenziell maschinell übersetzte Passagen oder untypische Satzstrukturen, doch die Berliner Sicherheitsbehörden und der Verfassungsschutz stuften die Urheberschaft der Vulkangruppe als „sehr deutlich“ ein.   

Interessanterweise kam es innerhalb der Szene zu Spaltungen. Ein drittes Schreiben am 7. Januar distanzierte sich von dem Anschlag und behauptete, die ursprüngliche Vulkangruppe habe einen „defensiven“ Ansatz verfolgt, der auf Störung statt auf Zerstörung ausgelegt war. Dies deutet auf eine Radikalisierung neuerer Zellen hin, die bereit sind, die Gefährdung von Menschenleben (etwa durch den Ausfall von Medizintechnik) billigend in Kauf zu nehmen.   

Auswirkungen auf das Gesundheitswesen und die Zivilgesellschaft

Der Stromausfall traf das Gesundheitswesen in einer Phase hoher Belastung. In dem betroffenen Gebiet liegen nicht nur fünf große Kliniken, darunter das Krankenhaus Waldfriede und das Theodor-Wenzel-Werk, sondern auch über 200 Arztpraxen und zahlreiche Pflegeheime.   

Klinische Versorgung unter Notstrombedingungen

Krankenhäuser sind gesetzlich verpflichtet, Notstromaggregate vorzuhalten. Diese sichern jedoch oft nur die überlebenswichtigen Funktionen (Intensivstation, OP-Säle) ab. Ein regulärer Vollbetrieb über mehrere Tage ist damit kaum möglich. Die Deutsche Krankenhausgesellschaft (DKG) wies darauf hin, dass der Schutz vor Sabotage und Cyberangriffen Investitionen in Milliardenhöhe erfordert, um die Resilienz langfristig zu sichern. Während des Blackouts mussten einige Pflegebedürftige evakuiert und in Krankenhäuser außerhalb des betroffenen Gebiets verlegt werden.   

Die Rolle der „Katastrophenschutz-Leuchttürme“

Ein Erfolg im Krisenmanagement war die Aktivierung der sogenannten Katastrophenschutz-Leuchttürme. Dabei handelt es sich um Anlaufstellen bei der Feuerwehr oder in öffentlichen Gebäuden, an denen Bürger Notrufe absetzen können, Informationen erhalten oder Mobiltelefone laden können. Da das Mobilfunknetz aufgrund erschöpfter Pufferbatterien an vielen Standorten nach wenigen Stunden ausfiel, bildeten diese Leuchttürme die einzige verbliebene Kommunikationsbrücke zum Staat.   

Politische Aufarbeitung und Krisenkommunikation

Die politische Reaktion auf den Blackout wurde von heftigen Kontroversen begleitet. Der Regierende Bürgermeister Kai Wegner (CDU) geriet in die Kritik, weil er am Tag des Anschlags nicht unmittelbar vor Ort präsent war. Berichte über seine Abwesenheit wurden von der Opposition instrumentalisiert, um ein „politisches Versagen“ zu konstatieren. Wegner betonte hingegen, er habe die Lage koordiniert und bewusst die Experten der Feuerwehr und des Netzbetreibers agieren lassen.   

Rechtliche Einordnung: Sabotage oder Terrorismus?

Die Generalbundesanwaltschaft übernahm am 6. Januar 2026 die Ermittlungen. Der Vorwurf lautet unter anderem auf Mitgliedschaft in einer terroristischen Vereinigung (§ 129a StGB) sowie verfassungsfeindliche Sabotage. Diese Einstufung markiert eine Eskalation in der juristischen Bewertung solcher Taten. Während frühere Anschläge oft als „Sachbeschädigung“ oder „Störung öffentlicher Betriebe“ gewertet wurden, erkennt der Staat nun die strategische Absicht an, die Funktionsfähigkeit des Gemeinwesens zu untergraben.   

Die „Tennis-Kontroverse“ und das Vertrauensmanagement

Ein spezifisches Problem der Krisenkommunikation war die Nachricht, dass Wegner wenige Stunden nach Beginn des Stromausfalls Tennis gespielt habe. Auch wenn dies die operative Arbeit der Techniker nicht beeinflusste, war der symbolische Schaden immens. In einer Krise dieses Ausmaßes wird von der politischen Führung eine „Allgegenwärtigkeit“ erwartet. Die Unzufriedenheit der Bürger entlud sich später bei Besuchen von Wegner und Innensenatorin Spranger in Notunterkünften. Um den sozialen Frieden zu wahren, entschied der Senat schließlich, Hotelkosten für Betroffene zu erstatten – ein Schritt, der finanziell und organisatorisch beispiellos war.   

Präventionsstrategien und die Zukunft der KRITIS-Sicherheit

Um künftige Vorfälle dieser Art zu vermeiden, ist ein Paradigmenwechsel in der Infrastrukturplanung erforderlich. Die bisherige Optimierung auf Kosteneffizienz muss einer Optimierung auf Resilienz weichen.

Das KRITIS-Dachgesetz (KRITIS-DachG)

Das im September 2025 vom Bundeskabinett beschlossene Gesetz soll ab 2026 verbindliche Mindeststandards für den physischen Schutz kritischer Anlagen festlegen. Es setzt die EU-Richtlinie 2022/2557 (CER) um und definiert Sektoren wie Energie, Transport, Gesundheit und Wasser als besonders schützenswert.   

Die zentralen Säulen des Gesetzes sind:

1. Risikoanalysen: Betreiber müssen alle vier Jahre eine Bewertung ihrer Schwachstellen vorlegen.   
2. Physische Härtung: Dazu gehören Zäune, Videoüberwachung, Zugangskontrollen und Drohnenabwehr.   
3. Redundanz-Vorgaben: Die Vermeidung von „Single Points of Failure“ durch geografisch getrennte Trassenführung.   
4. Resilienzpläne: Dokumentation von Maßnahmen zur schnellen Wiederherstellung nach einem Vorfall.   

Ein Kritikpunkt bleibt die Erheblichkeitsschwelle. Das Gesetz gilt primär für Anlagen, die mehr als 500.000 Menschen versorgen. Sabotageexperten warnen, dass auch Angriffe auf kleinere Knotenpunkte – wie die Brücke in Lichterfelde – massive Kaskadeneffekte auslösen können.   

Technische Innovationen im Sabotageschutz

Neben gesetzlichen Vorgaben bietet die Technik neue Möglichkeiten zur Überwachung weitläufiger Netze.

• LiDAR und Drohnen: Automatisierte Patrouillen entlang von Stromtrassen können Unregelmäßigkeiten oder Vorbereitungen für Anschläge erkennen.   
• DAS (Distributed Acoustic Sensing): Glasfaserkabel, die parallel zu Stromleitungen verlaufen, können als „Mikrofone“ fungieren und Erschütterungen oder Grabungsarbeiten in Echtzeit melden.   
• Intelligente Netzsteuerung: Durch Digitalisierung der Umspannwerke können Lasten schneller und flexibler umverteilt werden, was die Dauer eines Ausfalls verkürzt.   

Dezentralisierung und „Inselbildung“

Ein langfristiger Schutz besteht in der Dezentralisierung der Erzeugung. Wenn Stadtquartiere über eigene Energiequellen (Photovoltaik, KWK-Anlagen) und Speicher verfügen, können sie im Falle eines Blackouts im Hauptnetz vorübergehend in einen „Inselbetrieb“ gehen. Dies würde die Last für die Rettungskräfte massiv reduzieren, da die Grundversorgung (Licht, Kochen, Kommunikation) lokal gesichert wäre.   

Vergleichsanalyse: Johannisthal vs. Lichterfelde

Die Wiederholung eines massiven Stromausfalls innerhalb weniger Monate (September 2025 in Johannisthal und Januar 2026 in Lichterfelde) verdeutlicht ein Muster. In beiden Fällen war die Ursache Brandstiftung an exponierten Stellen der Hochspannungsinfrastruktur (Masten bzw. Brücken).   

In Johannisthal traf es zwei 110-kV-Leitungen an Endmasten. Der Ausfall dauerte 60 Stunden. In Lichterfelde war die Komplexität höher, da auch Mittelspannungskabel betroffen waren und die Witterung die Reparatur erschwerte, was zu einer Ausfalldauer von 100 Stunden führte. Die Erkenntnis aus beiden Vorfällen ist identisch: Das Berliner Netz ist zwar N−1-sicher gegen zufällige Fehler, aber nicht gegen gezielte, simultane Angriffe auf gebündelte Infrastruktur.   

Zusammenfassung und strategische Schlussfolgerungen

Der Stromausfall in Berlin im Januar 2026 war ein Weckruf für die deutsche Sicherheitsarchitektur. Er hat gezeigt, dass eine hochtechnisierte Metropole innerhalb weniger Stunden an den Rand eines katastrophalen Zustands geraten kann, wenn die Lebensadern der Energieversorgung durchtrennt werden.

Zentrale Erkenntnisse

1. Physische Schwachstellen: Die räumliche Bündelung von Versorgungsleitungen an Engpässen wie Brücken stellt ein inakzeptables Risiko dar. Die Netzplanung muss Diversität vor Kostenersparnis stellen.   
2. Neue Täterschaft: Die Radikalisierung linksextremistischer Gruppen wie der Vulkangruppe hat eine Qualität erreicht, die vor massiven Beeinträchtigungen der Zivilbevölkerung nicht mehr zurückschreckt. Die Einstufung als Terrorismus ist die logische rechtliche Konsequenz.   
3. Abhängigkeiten im Gesundheitswesen: Die Resilienz von Krankenhäusern und Arztpraxen ist unzureichend. Notstromkonzepte müssen den Ausfall der gesamten umgebenden Infrastruktur (Kommunikation, Logistik) stärker einbeziehen.   
4. Krisenkommunikation: Die Bevölkerung ist auf staatliche Informationen angewiesen. Der Ausfall des Mobilfunks muss durch robuste, stromunabhängige Kommunikationswege (Sirenen, Leuchttürme, Analogfunk) kompensiert werden.   

Empfehlungen für Politik und Wirtschaft

Der Staat muss die Resilienzstrategie als Daueraufgabe begreifen. Dies bedeutet eine verlässliche Finanzierung für den Bevölkerungsschutz und eine klare Priorisierung von Härtungsmaßnahmen. Die Netzbetreiber müssen verpflichtet werden, ihre Investitionen (in Berlin geplant: 2,9 Milliarden Euro bis 2030) gezielt in die Erhöhung der Redundanz und den Sabotageschutz zu lenken.   

Abschließend lässt sich festhalten, dass absolute Sicherheit in einer offenen Gesellschaft nicht möglich ist. Aber eine resiliente Gesellschaft zeichnet sich dadurch aus, dass sie Störungen antizipiert, ihre Folgen begrenzt und schnell zum Normalzustand zurückkehrt. Der Berliner Blackout 2026 liefert das notwendige Datenmaterial, um diese Widerstandsfähigkeit für die Zukunft auf ein neues Niveau zu heben. Die Umsetzung des KRITIS-Dachgesetzes und die Transformation des Stromnetzes sind hierbei keine technischen Randthemen, sondern Kernfragen der nationalen Sicherheit.

Die Stabilisierung der Versorgung im Südwesten Berlins durch provisorische Leitungen ist nur ein vorübergehender Erfolg. Die eigentliche Arbeit – der Umbau der Netze und die Anpassung der Sicherheitskonzepte an eine neue Bedrohungslage – hat gerade erst begonnen. Der Fall Lichterfelde wird in die Lehrbücher des Katastrophenmanagements eingehen, als das Ereignis, das die Verwundbarkeit der Moderne im 21. Jahrhundert definierte.   

Der Beitrag Analyse der Resilienz urbaner Energieinfrastrukturen: Der Berliner Stromausfall vom Januar 2026 als sicherheitspolitische Zäsur erschien zuerst auf Grams IT - Blog.

Die globale IT-Welt steht vor einem beispiellosen Schock: Einer Speicherkrise von historischem Ausmaß. Was sich seit Monaten am Horizont abzeichnete, manifestiert sich nun in beunruhigenden Hiobsbotschaften aus Asien: Lieferzeiten von bis zu zwei Jahren für bestimmte HDD-Modelle und eine bevorstehende NAND-Preisentwicklung, die Preise um 50 Prozent in die Höhe treiben wird. Dies ist keine kurzfristige Marktschwankung, sondern eine tiefgreifende Verschiebung der Halbleiter-Versorgungskette, die systemkritische Auswirkungen auf jedes Unternehmen, jede Cloud und jedes Rechenzentrum hat.

In diesem ausführlichen, professionellen und analytischen Beitrag beleuchten wir die präzisen Ursachen dieser Krise, analysieren die dramatischen Fakten zur Verfügbarkeit von NAND-Flash, QLC-Speicher und HDDs und zeigen auf, welche strategischen Schritte Sie jetzt einleiten müssen, um den drohenden Datenspeicher-Engpass in Ihrer Organisation abzuwenden. Es ist Zeit, die Realität des Marktes anzuerkennen und proaktiv zu handeln, bevor kritische Infrastrukturprojekte zum Erliegen kommen.

1. Die Eskalation der Speicherkrise: Ursachen und Dimensionen

Um die aktuelle Brisanz der Speicherkrise 2025 zu verstehen, müssen wir die komplexen Interdependenzen zwischen Geopolitik, globaler Fertigung und einem revolutionären technologischen Wandel betrachten. Die Krise ist das Ergebnis einer perfekten Synergie negativer Faktoren, die den Markt gleichzeitig von der Angebots- und der Nachfrageseite unter Druck setzen.

Der KI-Hunger: Warum Hyperscaler den Markt leerkaufen

Die wohl treibendste Kraft hinter der aktuellen Knappheit ist die exponentiell steigende Nachfrage nach Hochleistungsspeichern, die durch den globalen KI-Boom ausgelöst wird. Große Technologieunternehmen und Hyperscaler (wie Google, Microsoft, Amazon) investieren Milliarden in den Aufbau und die Erweiterung ihrer KI-Infrastrukturen. Diese benötigen nicht nur extrem leistungsfähige GPUs und HBM (High Bandwidth Memory), sondern auch gewaltige Mengen an schnellem Massenspeicher, um die enormen Trainingsdatenmengen zu verarbeiten.

• Priorisierung: KI-Entwickler und -Betreiber haben die höchste Priorität bei den Herstellern. Die Hyperscaler sichern sich große Kontingente an NAND-Flash und hochkapazitiven Enterprise-HDDs, oft zu Listenpreisen oder höheren Konditionen, um ihre Infrastrukturprojekte nicht zu gefährden.
• Volumen: Die Menge an Trainingsdaten für die nächsten Generationen von Large Language Models (LLMs) ist so immens, dass sie die verfügbare Produktionskapazität für High-End-Speicher signifikant reduziert. Die SSD-Preissteigerung für den Consumer- und Business-Markt ist eine direkte Folge dieser massiven Umschichtung der Kapazitäten.

Produktionsdilemma: Erdbeben, Fabrikschließungen und die NAND-Preisentwicklung

Die physischen Produktionsstätten in Asien, die den Großteil des globalen Speichers (NAND, DRAM, HDD-Komponenten) herstellen, sind geopolitischen Risiken und Naturkatastrophen ausgesetzt. Jüngste Berichte deuten darauf hin, dass die Produktionskapazitäten durch unvorhergesehene Ereignisse weiter eingeschränkt wurden:

1. NAND-Fabrikschließungen: Meldungen über temporäre Schließungen oder reduzierte Auslastung in einigen asiatischen Fabriken, teilweise bedingt durch Erdbeben oder andere logistische Störungen, haben das ohnehin knappe Angebot weiter dezimiert.
2. Geopolitik und Rohstoffe: Wie wir bereits in unserem Artikel „Chinas Halbleiter-Hebel: Europas Weg zurück in die Steinzeit“ beleuchtet haben, spielen die geopolitischen Spannungen und die Kontrolle über Schlüsselrohstoffe eine zentrale Rolle in der Halbleiter-Versorgungskette. Diese Unsicherheit hemmt Investitionen in neue Fabriken und verschärft die Knappheit langfristig.
3. Wartungsrückstände: Hersteller wie Sandisk sehen sich gezwungen, die Produktion zu drosseln oder ihre Wartungspläne anzupassen, was sich laut Digitimes-Analysen direkt auf ihre NAND-Umsätze auswirkt. Solche Anpassungen führen unmittelbar zu einem Engpass im Markt.

2. Unverkäuflich und unersetzbar: Fakten zur Lieferzeit und Preisexplosion

Die Speicherkrise ist keine theoretische Gefahr mehr, sondern eine spürbare Realität, die sich in konkreten Kennzahlen niederschlägt. Die Analyse der Marktdaten von Computerbase und Digitimes zeigt ein dramatisches Bild der NAND-Preisentwicklung und HDD-Lieferzeiten.

Die Hiobsbotschaften im Detail

Die Kombination aus fast nicht existenten HDD-Lieferzeiten und einer explodierenden NAND-Preisentwicklung schafft einen toxischen Cocktail für die IT-Budgets und die Betriebssicherheit. Unternehmen, die auf eine schnelle Erweiterung ihrer Datenspeicher angewiesen sind, sehen sich mit absurden Wartezeiten und Kosten konfrontiert. Die Planungssicherheit ist auf null gesunken.

Die Dynamik der SSD-Preissteigerung

Die massive Erhöhung der Listenpreise durch die Hersteller ist der Anfang einer Welle. Der Preiszyklus im Speichermarkt ist träge, aber unaufhaltsam. Analysten gehen davon aus, dass die Endkundenpreise für SSDs und andere NAND-basierte Produkte in den kommenden Quartalen die 50-Prozent-Marke überschreiten werden, was direkt mit dem erhöhten KI-Speicherbedarf und der Knappheit zusammenhängt (Computerbase 94332).

Was bedeutet das konkret für Sie?

• Kapitalbindung: Der Kauf von Speichern wird zum massiven Investitionsgeschäft, das hohe Kapitalbindung erfordert.
• Ersatzteilmanagement: Die Beschaffung von Ersatzteilen oder Upgrades wird zu einem zeitkritischen und extrem teuren Lotteriespiel.
• Wettbewerbsnachteil: Unternehmen, die sich frühzeitig große Kontingente sichern konnten, haben einen enormen Wettbewerbsvorteil gegenüber denjenigen, die jetzt erst aufwachen.

3. Systemkritische Auswirkungen auf Unternehmen und Infrastruktur

Die Folgen dieser Speicherkrise reichen weit über erhöhte Hardwarekosten hinaus. Sie berühren die Grundfesten der modernen digitalen Wirtschaft und führen zu potenziell systemkritischen Auswirkungen.

Die Lücke im Data Center: Drohende Betriebsstopps

Rechenzentren und Cloud-Anbieter leben von der Skalierbarkeit und Verfügbarkeit von Massenspeichern. Eine Speicherkrise dieser Dimension führt zu:

• Verzögerte Projekte: Geplante Data Center-Erweiterungen, Cloud-Rollouts oder die Implementierung neuer Backup-Lösungen müssen gestoppt oder massiv verzögert werden, da die notwendige Hardware fehlt.
• Risikoerhöhung: Das Ersetzen von defekten Enterprise-HDDs wird zum logistischen Albtraum. Ein RAID-Verbund ohne verfügbare Ersatzplatte ist ein tickendes Risiko. Bei 2 Jahren HDD-Lieferzeiten ist der Ausfall einer kritischen Speichereinheit fast gleichbedeutend mit einem dauerhaften Betriebsstopp.
• Eingeschränkte Innovation: Unternehmen können keine neuen datenintensiven Anwendungen (z. B. IoT, Big Data Analytics) in Betrieb nehmen, da die Infrastruktur nicht wie geplant skaliert werden kann.

Kostenspirale: Wie die SSD-Preissteigerung Budgets sprengt

Die SSD-Preissteigerung und die Verknappung von Enterprise-SSDs stellen IT-Budgets vor immense Herausforderungen.

• Unvorhergesehene Mehrkosten: Ein 50-prozentiger Preisanstieg bei Speichern kann Millionen in den Budgets großer IT-Abteilungen verschlingen. Die ursprünglich geplanten Kosten für das kommende Jahr sind obsolet.
• QLC-Engpass: Da QLC-Speicher (der kostengünstigere, aber dennoch performante Speicher für Data-Center-Archivierung) ausgebucht ist, müssen Unternehmen auf teurere TLC- oder SLC-Lösungen ausweichen, was die Kosten pro Terabyte drastisch erhöht.
• Gefahr durch Graumarkt: Die Verzweiflung treibt die Preise auf dem Graumarkt in die Höhe, wo mangelhafte oder nicht garantierte Ware zu exorbitanten Preisen angeboten wird.

Es ist eine direkte wirtschaftliche Bedrohung, die die Wettbewerbsfähigkeit von Unternehmen in Europa und den USA mindert, da sie im globalen Wettbewerb um Speicher hinter den finanzstarken Hyperscalern zurückfallen. Die gesamte Wertschöpfungskette des Digitalen ist betroffen.

4. Die Marktverschiebung: DRAM, HBM und die Rolle der Zulieferer

Die Krise beschränkt sich nicht nur auf NAND und HDDs. Sie zieht auch andere Segmente des Speichermarktes in Mitleidenschaft, was die Komplexität der Halbleiter-Versorgungskette unterstreicht.

Verdrängungseffekte und DRAM-Marktanalyse

Die Konzentration der Fertigungskapazitäten auf High-End-Produkte (wie HBM, das für KI-Beschleuniger benötigt wird) hat einen Verdrängungseffekt auf den konventionellen DRAM-Markt zur Folge.

• Ressourcenverschiebung: Die gleichen Hersteller, die NAND und DRAM produzieren, nutzen ihre Ressourcen nun, um die Nachfrage nach extrem margenstarken HBM-Chips zu bedienen. Das führt zu einer reduzierten Investition in die Erweiterung von Standard-DRAM- und NAND-Kapazitäten.
• Sandisk und die Einnahmen: Berichte wie die von Digitimes (basierend auf Einnahmen von Sandisk und Memory Module Herstellern) zeigen, dass die Marktdynamik zugunsten der High-End-Speicher kippt. Obwohl NAND-Hersteller hohe Umsätze melden, liegt dies oft an gestiegenen Preisen pro Chip und nicht an gestiegener Auslieferungsmenge für den Massenmarkt. Der Fokus liegt auf der Bedienung des KI-Segments, was den traditionellen Server- und Client-Markt hungrig zurücklässt.

Die Speicherkrise ist somit ein Indikator für einen Wandel, in dem die Produktion von „Commodity“-Speichern (Standard-SSDs, HDDs) zugunsten von Spezial-Speichern (HBM, High-End Enterprise-NAND) zurückgestellt wird.

Die geopolitische Komponente

Die Abhängigkeit von wenigen Schlüsselregionen in Asien für die gesamte Halbleiter-Versorgungskette ist das größte strukturelle Risiko. Jeder Ausfall, sei es durch geopolitische Zuspitzung, Handelssanktionen oder logistische Probleme, hat sofort globale Auswirkungen. Dies haben wir bereits in unserem intern verlinkten Beitrag über die geopolitischen Herausforderungen skizziert:

Für eine tiefere Betrachtung der Abhängigkeit Europas von asiatischen Halbleiterlieferanten und die daraus resultierenden langfristigen Risiken empfehlen wir unseren detaillierten Artikel: Chinas Halbleiter-Hebel: Europas Weg zurück in die Steinzeit

Die Speicherkrise ist also auch eine Krise der strategischen Souveränität.

5. Strategien zur Risikominderung: Was Sie jetzt tun müssen

Angesichts der beunruhigenden HDD-Lieferzeiten und der massiven SSD-Preissteigerung ist reaktives Warten keine Option. Unternehmen müssen proaktive und strategische Maßnahmen ergreifen, um den drohenden Datenspeicher-Engpass zu bewältigen.

Kurzfristige Notfallstrategie (Sofortmaßnahmen)

1. Bestandssicherung und -prüfung:
   • Inventur: Ermitteln Sie präzise Ihren aktuellen Speicherbestand und -verbrauch.
   • Ersatzteilmanagement: Kaufen Sie sofort kritische Ersatzteile, insbesondere für ältere oder weniger gängige Server- und SAN-Systeme. Die HDD-Lieferzeiten machen es notwendig, alle Ersatzteile sofort auf Lager zu legen.
2. Verhandlungsstrategie:
   • Direkter Einkauf: Versuchen Sie, größere Volumina direkt bei Distributoren oder Herstellern zu fixieren – selbst zu erhöhten Preisen – um Verfügbarkeit zu sichern.
   • Ausweichprodukte: Seien Sie bereit, alternative, margenschwächere oder teurere Produkte (z. B. TLC statt QLC) zu akzeptieren, um kritische Projekte am Laufen zu halten.
3. Datenhygiene und Kompression:
   • Speicherbereinigung: Führen Sie eine aggressive Datenbereinigung durch. Archivieren Sie kalte Daten auf kostengünstigere Offline-Speicher.
   • Deduplizierung und Kompression: Maximieren Sie die Nutzung von Deduplizierungs- und Kompressionstechnologien in Ihren SANs und Backup-Systemen, um jeden Terabyte optimal auszunutzen.

Mittelfristige Infrastrukturoptimierung

1. Life-Cycle-Management verlängern:
   • Verschieben Sie geplante Hardware-Refreshs, wo es die Performance zulässt. Statt auf neue Hardware zu warten (die nicht lieferbar ist), optimieren Sie die vorhandene Infrastruktur durch Software-Upgrades oder kleinere, gezielte Performance-Verbesserungen.
2. Cloud-Strategie re-evaluieren:
   • Prüfen Sie, welche Workloads in die Cloud verlagert werden können, um von den gesicherten, wenn auch teureren, Kontingenten der Hyperscaler zu profitieren. Gleichzeitig müssen Sie systemkritische Auswirkungen vermeiden und dabei die Kosten im Griff behalten.
3. Alternative Speicherkonzepte:
   • Prüfen Sie den Einsatz von Software-Defined Storage (SDS) oder Ceph-Clustern, die eine heterogenere Mischung von Speichermedien erlauben und weniger stark von einem einzelnen Herstellermodell abhängig sind.
   • Tape-Storage (LTO): Für große Mengen an „kalten“ Archivdaten erlebt Tape-Storage aufgrund seiner Kosten- und Volumeneffizienz eine Renaissance und bietet eine exzellente Alternative zum NAND- oder HDD-basierten Datenspeicher-Engpass.

Langfristige Resilienzplanung

Die aktuelle Speicherkrise muss ein Weckruf sein, die Abhängigkeit von der globalen Halbleiter-Versorgungskette zu reduzieren.

• Diversifizierung der Hersteller: Vermeiden Sie es, alle kritischen Speicherkomponenten von einem einzigen Hersteller oder einer einzigen Region zu beziehen.
• Investition in europäische Fertigung: Unterstützen Sie aktiv Initiativen, die die Halbleiterproduktion in Europa fördern, um langfristig geopolitische Risiken zu minimieren.
• Agile Architektur: Bauen Sie IT-Architekturen, die flexibel auf Engpässe reagieren können – zum Beispiel durch die Entkopplung von Speicher und Compute (Disaggregation) oder den Einsatz von Object Storage.

Fazit: Jetzt handeln, um die Speicherkrise zu überleben

Die Speicherkrise 2025 ist real, beispiellos in ihrer Schwere und ihre systemkritischen Auswirkungen sind nicht zu unterschätzen. Die Fakten sind alarmierend: HDD-Lieferzeiten von bis zu zwei Jahren und eine SSD-Preissteigerung, die durch die massive Nachfrage der KI-Branche und Produktionsprobleme angetrieben wird. Die NAND-Preisentwicklung ist eindeutig und wird die IT-Budgets weltweit belasten.

Der Datenspeicher-Engpass betrifft nicht nur die Kaufpreise, sondern die gesamte operative Kontinuität Ihrer Organisation. Warten Sie nicht, bis Ihre Ersatzteilregale leer sind oder Ihre geplanten Projekte aufgrund nicht lieferbarer Komponenten gestoppt werden müssen.

Der Beitrag Speicherkrise: HDD- & SSD-Preise explodieren erschien zuerst auf Grams IT - Blog.

Nachdem letzte Referentenentwurf vom 26.05.2025 war, ist nun eine neue Version an die Öffentlichkeit gelangt und wieder bei der AG KRITIS zur Verfügung gestellt worden.

Nach sorgfältiger Prüfung der Dokumente

• „20250526-RefE-NIS2.pdf“ (im Folgenden „Dokument 1“) und
• „20250602-RefE-NIS2.pdf“ (im Folgenden „Dokument 2“), wobei Dokument 2 die neuere Version darstellt, sowie der Formulierungshilfe
• „241202-FH-NIS2UmsuCG-mit-Aend.BT-Druck.pdf“ (im Folgenden „Dokument 3“) als Kontext für legislative Überarbeitungen, lassen sich mehrere wichtige Änderungen in Dokument 2 im Vergleich zu Dokument 1 feststellen.

Im Folgenden finden Sie eine detaillierte Auswertung der Änderungen, die im neueren Dokument 2 zu finden sind:

I. Allgemeine und Strukturelle Änderungen

• Änderung im Titel des Referentenentwurfs:
  • Dokument 1 trägt im Titel die Bezeichnung „Referentenentwurf des Bundesministeriums des Innern und für Heimat„.
  • Dokument 2 hingegen verwendet die Bezeichnung „Referentenentwurf des Bundesministeriums des Innern“.
  • Änderung: Der Zusatz „und für Heimat“ wurde aus dem Titel des Referentenentwurfs entfernt. Diese Anpassung ist auch konsistent in den Texten beider Dokumente zu finden, wo „Bundesministerium des Innern und für Heimat“ durch „Bundesministerium des Innern“ ersetzt wird, z.B. in Verordnungsermächtigungen und Berichtspflichten.
• Streichung eines gesamten Änderungsartikels und kaskadierende Neunummerierung:
  • Dokument 1 enthielt als Artikel 4 die „Änderung der Besonderen Gebührenverordnung des Bundesministeriums des Innern, für Bau und Heimat…“.
  • Dokument 2 enthält diesen spezifischen Artikel 4 nicht mehr in seiner Auflistung der Änderungsartikel. Stattdessen wird der ursprüngliche Artikel 5 in Dokument 1 zu Artikel 4 in Dokument 2.
  • Änderung: Dieser Artikel wurde vollständig aus dem Entwurf entfernt. Dies führt zu einer kaskadierenden Neunummerierung aller nachfolgenden Artikel im gesamten Gesetzestext von Dokument 2 im Vergleich zu Dokument 1 (z.B. wird Artikel 5 in Dokument 1 zu Artikel 4 in Dokument 2, Artikel 6 zu Artikel 5, und so weiter). Dokument 3 bestätigt die Aufhebung von Artikel 4 in der neueren Version.
• Umfassende Streichung von Schlussartikeln zur KRITIS-Umsetzung:
  • Dokument 1 listete am Ende der Änderungsartikel zusätzliche Bestimmungen wie „Artikel 30 Weitere Änderung des Telekommunikationsgesetzes“, „Artikel 31 Weitere Änderung der Außenwirtschaftsverordnung“ und „Artikel 32 Weitere Änderung des BSI-Gesetzes“ auf, gefolgt von „Artikel 33 Inkrafttreten, Außerkrafttreten“.
  • Dokument 2 streicht diese Artikel vollständig. Der Artikel „Inkrafttreten, Außerkrafttreten“ wird zum neuen und einzigen Artikel 30 am Ende des Gesetzes.
  • Änderung: Diese signifikante Änderung bedeutet, dass die Implementierung des KRITIS-Dachgesetzes und die damit verbundenen Anpassungen nicht mehr innerhalb dieses spezifischen Entwurfs des NIS-2-Umsetzungsgesetzes erfolgen. Die Begründung in Dokument 3 bestätigt, dass frühere Vorschriften zur Bestimmung von Betreibern kritischer Anlagen entfallen sind, da sie nun über Verweise in das KRITIS-Dachgesetz geregelt werden.

II. Spezifische Inhaltsänderungen

• Erweiterung der Anordnungsbefugnis in § 10 BSI-Gesetz (Artikel 1):
  • Obwohl § 10 „Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen“ in den bereitgestellten Inhaltsübersichten der Dokumente 1 und 2 nicht explizit aufgeführt ist, deutet die Begründung in Dokument 3 auf seine Existenz und eine wesentliche Änderung hin.
  • Dokument 3 beschreibt eine Ausweitung der Anordnungsbefugnis des Bundesamtes auf Sicherheitsvorfälle allgemein, statt der Begrenzung auf „gegenwärtige“ Sicherheitsvorfälle in § 10 BSI-Gesetz. Diese Ausweitung entspricht den Vorgaben von Artikel 32 Absatz 4 Buchstabe b der NIS-2-Richtlinie.
  • Änderung: Die Befugnisse des Bundesamtes, Anordnungen zur Abwehr oder Behebung von Sicherheitsvorfällen zu erlassen, wurden in ihrer Reichweite deutlich vergrößert, von „gegenwärtigen“ auf „allgemeine“ Sicherheitsvorfälle.
• Erweiterung der IT-Sicherheitsanforderungen in § 44 Absatz 1 (BSI-Gesetz):
  • Dokument 1 forderte in § 44 Absatz 1, dass „Die Einrichtungen der Bundesverwaltung Mindestanforderungen… erfüllen. Die Mindestanforderungen ergeben sich aus den BSI-Standards und dem IT-Grundschutz Kompendium… sowie die jeweils geltenden Fassungen aus denr Mindeststandards für die Sicherheit in der Informationstechnik des Bundes…“. Zudem enthielt § 44 Absatz 2 eine spezifische Verpflichtung für „Das Bundeskanzleramt und die Bundesministerien“, die BSI-Standards und das IT-Grundschutz-Kompendium einzuhalten. Für Gerichte und Verfassungsorgane hatten die Vorschriften empfehlenden Charakter.
  • Dokument 2 strafft in § 44 Absatz 1 die Formulierung und legt fest, dass „Die Einrichtungen der Bundesverwaltung Mindestanforderungen… erfüllen. Die Mindestanforderungen ergeben sich aus den BSI-Standards und dem IT-Grundschutz Kompendium (IT-Grundschutz) sowie aus den Mindeststandards für die Sicherheit in der Informationstechnik des Bundes (Mindeststandards).“. Der Absatz 2, der spezifische Anforderungen für das Bundeskanzleramt und die Bundesministerien enthielt, ist in Dokument 2 nicht mehr vorhanden. Die Begründung in Dokument 2 stellt klar, dass der IT-Grundschutz nun für „die Einrichtungen der Bundesverwaltung mittelbar Gesetzesrang“ erhält, wohingegen in Dokument 1 dies noch auf „die Bundesministerien und das Bundeskanzleramt“ begrenzt war. Zudem wird der Satz, der Gerichten und Verfassungsorganen einen empfehlenden Charakter einräumte, in Dokument 2 gestrichen.
  • Änderung: Dies stellt eine wesentliche Ausweitung der verbindlichen IT-Sicherheitsvorgaben auf die gesamte Bundesverwaltung dar, nicht nur auf die höchsten Behörden. Die Mindeststandards und der IT-Grundschutz erhalten für alle Einrichtungen der Bundesverwaltung mittelbar Gesetzesrang. Auch die vorherige Ausnahmeregelung für Gerichte und Verfassungsorgane entfällt, was ihre Position bezüglich der Verbindlichkeit dieser Vorgaben ändert.
• Einführung eines neuen Absatzes zur Meldebestätigung und Unterstützung in § 168 Telekommunikationsgesetz (TKG) (Artikel 26):
  • Dokument 1 enthält detaillierte Regelungen zur Meldung von Sicherheitsvorfällen in § 168 Absatz 1 bis 3 TKG, einschließlich Fristen für Erst- und Abschlussmeldungen. Es fehlt jedoch eine explizite Regelung zur Bestätigung des Meldungseingangs oder zur Unterstützung durch das BSI.
  • Dokument 2 fügt einen neuen Absatz 5 in § 168 TKG ein: Dieser verpflichtet die Bundesnetzagentur, den Meldepflichtigen unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach der frühen Erstmeldung eine Bestätigung über den Eingang der Meldung zu übermitteln. Zudem kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Ersuchen der Verpflichteten zusätzliche technische Unterstützung, Orientierungshilfen oder operative Beratung zu Abhilfemaßnahmen leisten.
  • Änderung: Diese Ergänzung stellt eine Verbesserung des Meldeverfahrens dar, indem sie die Bestätigung des Meldungseingangs standardisiert und die Möglichkeit der technischen Unterstützung durch das BSI bei der Bewältigung von Sicherheitsvorfällen formalisiert.
• Erweiterung der Bußgeldtatbestände in § 65 Absatz 2 (BSI-Gesetz):
  • Dokument 1 listet in § 65 Absatz 2 verschiedene Ordnungswidrigkeiten auf.
  • Dokument 2 erweitert und präzisiert mehrere Bußgeldtatbestände:
    • Erweiterung von Nummer 1: Die Liste der Verweise auf Vorschriften, deren Zuwiderhandlung eine Ordnungswidrigkeit darstellt, wird in Dokument 2 unter Nummer 1 erheblich ausgedehnt, um Verstöße gegen Anweisungen zur Umsetzung von Risikomanagementmaßnahmen oder Berichtspflichten gemäß NIS-2-Richtlinie zu ahnden.
    • Strukturelle Änderung bei der Meldung von Registrierungsdaten: Der eigenständige Bußgeldtatbestand aus Dokument 1, Nummer 8 („entgegen § 34 Absatz 2 das Bundesamt nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet“), wird in Dokument 2 entfernt. Die Pflicht zur Übermittlung von Änderungen der Registrierungsdaten gemäß § 34 Absatz 1 ist nun explizit in Nummer 6 enthalten, die bereits die Registrierungspflichten abdeckt. Dies ist eine Konsolidierung der Tatbestände.
    • Einführung eines neuen Tatbestands zur Zertifikatsnutzung: Dokument 2 führt die neue Nummer 14 in § 65 Absatz 2 ein. Diese sanktioniert die Verwendung von Zertifikaten, Erklärungen oder Kennzeichen entgegen den Vorschriften, z.B. widerrufenen Cybersicherheitszertifikaten oder ungültig erklärten EU-Konformitätserklärungen gemäß § 52 Absatz 2 Satz 4, § 53 Absatz 1 Satz 4, § 54 Absatz 6 Satz 2 oder § 55 Absatz 4 Satz 1 BSI-Gesetz. Die Begründung bestätigt, dass dies ein neuer Bußgeldtatbestand ist, der das Missbrauchspotenzial ahnden soll.
  • Änderung: Diese Erweiterungen der Bußgeldvorschriften zielen darauf ab, die Durchsetzung der neuen und präzisierten Cybersicherheitsanforderungen, Anweisungsbefugnisse und Meldepflichten sowie die korrekte Nutzung von Zertifizierungen zu stärken.

III. Änderungen, die im Vergleich zu späteren Entwürfen/Dokument 3 relevant wären, aber nicht zwischen Dokument 1 und 2 sichtbar sind (da Dokument 2 noch zu früh datiert ist)

Es ist wichtig zu betonen, dass die in Dokument 3 sichtbaren, teils weitreichenden Änderungen (z.B. im Detail von § 41 (Prüfung des Einsatzes kritischer Komponenten) oder der Vorrangigkeit des Atomgesetzes) nicht in Dokument 2 enthalten sind. Dokument 2 ist ein früherer Referentenentwurf als der „Entwurf“ im Vergleich von Dokument 3. Daher reflektiert Dokument 2 noch nicht alle späteren legislativen Anpassungen, die in Dokument 3 als „Beschlüsse des 4. Ausschusses“ dargestellt werden.

Zusammenfassend zeigen die Änderungen in Dokument 2 im Vergleich zu Dokument 1 eine Konsolidierung und Präzisierung der Zuständigkeiten und Pflichten, eine deutliche Ausweitung der IT-Sicherheitsvorgaben innerhalb der Bundesverwaltung und eine Verschärfung der Sanktionen bei Nichteinhaltung, während größere strukturelle Verschiebungen im Zusammenhang mit dem KRITIS-Dachgesetz aus diesem spezifischen Entwurf herausgenommen wurden.

Der Beitrag Neuer Entwurf: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG erschien zuerst auf Grams IT - Blog.