Quelle: ec.europa.eu

Die digitale Welt von 2026 ist nicht mehr die von 2019. Wo früher einfache Malware dominierte, stehen heute staatlich gesteuerte Ransomware-Gruppen, KI-gestützte Angriffe und die Bedrohung durch Quantencomputer im Vordergrund. Als Reaktion darauf hat die Europäische Kommission am 20. Januar 2026 den Vorschlag für den Cybersecurity Act 2 (CSA 2) vorgelegt.

Wie es im Vorschlag (COM(2026) 11) heißt:

„The cybersecurity threat landscape has significantly evolved in an increasingly complex geopolitical reality. Cyberattacks have surged and became more sophisticated, targeting critical infrastructure.“ > (Die Bedrohungslandschaft der Cybersicherheit hat sich in einer zunehmend komplexen geopolitischen Realität erheblich weiterentwickelt. Cyberangriffe haben zugenommen und sind anspruchsvoller geworden…)

Dieser Artikel analysiert, warum der CSA 2 weit mehr ist als nur ein Update – er ist das Fundament für die digitale Souveränität Europas.

Die 4 Säulen des Cybersecurity Act 2

Der neue Entwurf zielt darauf ab, die Schwachstellen der ersten Verordnung zu beheben und gleichzeitig neue Schutzwälle hochzuziehen.

1. Ein erweitertes Mandat für die ENISA

Die ENISA (EU-Agentur für Cybersicherheit) wird von einer beratenden Rolle stärker in die operative Verantwortung gerückt. Sie soll nicht mehr nur koordinieren, sondern aktiv bei der Identifizierung kritischer Abhängigkeiten helfen.

2. Reform des Zertifizierungsrahmens (ECCF)

Die bisherige Zertifizierung galt oft als zu träge. Der CSA 2 verspricht eine Straffung. Das Ziel ist klar: Sicherheit „by Design“ muss schneller marktfähig sein, ohne die Qualität zu vernachlässigen. Ein wesentlicher Bestandteil ist hier die Einführung von Peer-Reviews zwischen nationalen Behörden.

3. Sicherheit der IKT-Lieferkette: Kampf gegen Hochrisiko-Anbieter

Dies ist das wohl politischste Element des CSA 2. Der Gesetzgeber erkennt an, dass technische Sicherheit allein nicht ausreicht, wenn die Hardware oder Software aus unsicheren Quellen stammt. Der Text betont:

„There is a need to establish a framework to identify and manage ICT supply chain risks related to high-risk suppliers.“ (Es besteht die Notwendigkeit, einen Rahmen zur Identifizierung und Bewältigung von Risiken in der IKT-Lieferkette im Zusammenhang mit Hochrisiko-Anbietern zu schaffen.)

Unternehmen müssen sich darauf einstellen, dass Anbieter, die unter der Kontrolle von Drittstaaten mit Sicherheitsbedenken stehen, in kritischen Sektoren verboten werden könnten.

4. Harmonisierung und „One-in, One-out“

Um den administrativen Aufwand zu begrenzen, wird der CSA 2 eng mit der NIS2-Richtlinie verzahnt. Zertifizierungen unter dem CSA 2 sollen künftig als direkter Nachweis für die Compliance-Anforderungen der NIS2 dienen.

Vergleich: Was ändert sich konkret?

Warum der CSA 2 für Unternehmen entscheidend ist

Besonders für Betreiber kritischer Anlagen und große IKT-Anbieter bedeutet der CSA 2 einen erhöhten Prüfaufwand. Der Impact Assessment Report (SWD(2026) 11) hebt hervor, dass insbesondere die De-Risking-Strategie von entscheidender Bedeutung ist:

„De-risk critical ICT supply chains from entities established in or controlled by entities from third countries posing cybersecurity concerns.“ (Kritische IKT-Lieferketten von Unternehmen entkoppeln, die in Drittländern mit Sicherheitsbedenken ansässig sind oder von dort kontrolliert werden.)

Erleichterungen für KMU

Gleichzeitig gibt es gute Nachrichten für den Mittelstand. Durch vereinfachte Selbstbewertungen für niedrigere Vertrauensstufen sollen die Kosten für Zertifizierungen gesenkt werden. Die Kommission verfolgt hier den „Digital by Default“-Ansatz, um Prozesse schlanker zu gestalten.

Fazit: Ein notwendiger Schritt für Europa

Der Cybersecurity Act 2 ist die Antwort auf eine Welt, in der Technologie zunehmend als geopolitische Waffe eingesetzt wird. Während der alte CSA den Binnenmarkt ordnete, soll der neue CSA die Union verteidigen. Für Unternehmen bedeutet dies: Die Auswahl der Partner in der IKT-Lieferkette wird künftig genauso wichtig wie die technische Firewall.

Der Beitrag EU Cybersecurity Act 2 (2026): So rüstet sich Europa gegen neue Cyber-Bedrohungen erschien zuerst auf Grams IT - Blog.

Die Stabilität der Energieversorgung bildet das Rückgrat moderner Industriegesellschaften und ist die fundamentale Voraussetzung für das Funktionieren urbaner Agglomerationen. In Deutschland wurde diese Stabilität traditionell auf einem weltweit führenden Niveau gewahrt, wobei Berlin mit einer durchschnittlichen Ausfallzeit von etwa 13 Minuten pro Jahr bisher im stabilen Mittelfeld rangierte. Der massive Stromausfall im Südwesten Berlins im Januar 2026 markiert jedoch eine dramatische Zäsur in der Bewertung der nationalen Infrastrukturresilienz. Es handelte sich nicht um ein zufälliges technisches Versagen oder eine atmosphärische Einwirkung, sondern um einen vorsätzlichen Akt der Sabotage, der die Verwundbarkeit hochgradig zentralisierter Versorgungsknoten offenlegte. Mit einer Dauer von rund einhundert Stunden und Auswirkungen auf über 100.000 Menschen stellt dieses Ereignis den schwersten und am längsten andauernden Stromausfall in der deutschen Hauptstadt seit dem Ende des Zweiten Weltkriegs dar.   

Die vorliegende Analyse untersucht die multidimensionalen Aspekte dieses Blackouts. Sie rekonstruiert die Chronologie der Ereignisse, analysiert die technischen Mechanismen des Systemversagens, beleuchtet die ideologischen Hintergründe der Täterschaft und evaluiert die Wirksamkeit der staatlichen Krisenreaktion. Abschließend werden strategische Empfehlungen zur Härtung kritischer Infrastrukturen (KRITIS) abgeleitet, die im Kontext der aktuellen gesetzgeberischen Initiativen wie dem KRITIS-Dachgesetz stehen.   

Chronologie und Phänomenologie des Systemausfalls

Der initiale Störungsfall ereignete sich in den frühen Morgenstunden des 3. Januar 2026. Um 05:44 Uhr verzeichnete die Netzleitstelle der Stromnetz Berlin GmbH einen massiven Spannungsabfall in mehreren 110-kV-Hochspannungssystemen sowie in untergeordneten Mittelspannungsleitungen. Das betroffene Gebiet umfasste primär die Ortsteile Nikolassee, Zehlendorf, Wannsee und Lichterfelde im Bezirk Steglitz-Zehlendorf. Zu diesem Zeitpunkt herrschten in Berlin winterliche Temperaturen um den Gefrierpunkt bei leichtem Schneefall, was die unmittelbaren Folgen des Stromausfalls – insbesondere den Ausfall von Heizungssystemen – massiv verschärfte.   

Der erste Einsatztag: 3. Januar 2026

Kurz nach der Alarmierung durch das interne Überwachungssystem gegen 05:44 Uhr meldete die Berliner Feuerwehr um 06:12 Uhr einen Brand an einer Kabelbrücke über den Teltowkanal in unmittelbarer Nähe des Heizkraftwerks Lichterfelde. Diese Brücke fungierte als neuralgischer Punkt, an dem mehrere Versorgungsstränge verschiedener Spannungsebenen gebündelt verliefen. Das Feuer, das vorsätzlich gelegt wurde, zerstörte die Isolierung und die Leiterstruktur der Kabel vollständig, was zu einem unmittelbaren Zusammenbruch der Versorgung für rund 45.400 Haushalte und 2.200 Gewerbebetriebe führte.   

Gegen 12:20 Uhr am selben Tag gelang es den Technikern durch komplexe Umschaltmaßnahmen in der Mittelspannungsebene (10 kV), die ersten 10.000 Haushalte in Lichterfelde wieder an das Netz zu bringen. Dennoch blieb die Lage in Zehlendorf und Wannsee prekär. Da das 110-kV-Netz an dieser Stelle massiv geschädigt war, reichten einfache Umschaltungen nicht aus, um die Last für das gesamte Gebiet zu übernehmen.   

Die Eskalationsphase: 4. bis 6. Januar 2026

In den darauffolgenden Tagen wurde das Ausmaß des Schadens deutlich. Während am 4. Januar weitere 7.000 Haushalte durch provisorische Verbindungen versorgt werden konnten, verharrten am Abend des 5. Januar immer noch rund 27.200 Haushalte und 1.425 Gewerbebetriebe in der Dunkelheit. Die Kälte führte dazu, dass öffentliche Einrichtungen wie das Cole-Sport-Center in Zehlendorf und das Rathaus Zehlendorf als Notunterkünfte eingerichtet wurden.   

Die Berliner Innenverwaltung reagierte in der Nacht zum 5. Januar mit der Ausrufung einer Großschadenslage nach dem Berliner Katastrophenschutzgesetz. Dies ermöglichte die Anforderung von Amtshilfe bei der Bundeswehr, die ab dem 6. Januar logistische Unterstützung leistete, Truppenküchen zur Verfügung stellte und Unterkünfte für zivile Helfer in der General-Steinhoff-Kaserne bereitstellte.   

Die Wiederherstellung: 7. bis 10. Januar 2026

Die entscheidende Wende trat am Mittwoch, dem 7. Januar, ein. Nach intensiven Arbeiten an zwei provisorischen Hochspannungsleitungen konnte ab 11:00 Uhr mit der schrittweisen Wiederzuschaltung begonnen werden. Zuvor war per Cell Broadcast eine Warnung an alle Berliner Haushalte geschickt worden, private Notstromaggregate vom Netz zu trennen und stromintensive Geräte zu meiden, um die Stabilität des Netzes beim Hochfahren nicht zu gefährden. Bis 20:30 Uhr war die Wiederversorgung aller Kunden offiziell abgeschlossen. Am 9. und 10. Januar wurden zusätzliche Sicherungsmaßnahmen durchgeführt, indem eine zweite provisorische Leitung in Betrieb genommen wurde, um die Redundanz während der monatelangen finalen Reparaturarbeiten zu gewährleisten.   

Technische Ursachenanalyse und systemische Schwachstellen

Der Vorfall im Januar 2026 offenbart eine kritische Diskrepanz zwischen dem theoretischen Sicherheitskonzept des Stromnetzes und der praktischen Anfälligkeit gegenüber gezielter Sabotage. Das Berliner Stromnetz ist nach dem sogenannten N−1-Prinzip aufgebaut. Dieses besagt, dass beim Ausfall einer beliebigen Komponente – etwa eines Transformators oder einer Leitung – die verbleibenden Komponenten die Last ohne Unterbrechung übernehmen können müssen.   

Das Versagen des N-1-Prinzips

Im Fall der Kabelbrücke am Teltowkanal wurde dieses Prinzip durch die räumliche Bündelung mehrerer Systeme ausgehebelt. Wenn zwei oder mehr voneinander unabhängige Leitungssysteme auf derselben Trasse geführt werden, führt ein Brand an diesem Punkt zum gleichzeitigen Ausfall beider Pfade. Technisch betrachtet liegt hier ein „Common Mode Failure“ vor. Da die Sabotage gezielt die Zuleitungen für mehrere Umspannwerke zerstörte, war der gesamte Südwesten faktisch vom 110-kV-Übertragungsnetz abgetrennt.   

Die Reparaturarbeiten gestalteten sich deshalb so langwierig, weil Hochspannungskabel eine komplexe Struktur aufweisen. Ein bloßes „Zusammenflicken“ ist bei 110.000 Volt nicht möglich. Es müssen spezielle Verbindungselemente, sogenannte Muffen, in Handarbeit und unter absolut schmutzfreien Bedingungen installiert werden. In Lichterfelde handelte es sich zudem um eine beträchtliche Anzahl von Kabeln: Das Bekennerschreiben erwähnte spezifisch 64 Rohre unter der Brücke, von denen ein Großteil mit Starkstromkabeln belegt war.   

Infrastruktur-Mapping und Zugänglichkeit

Ein wesentlicher Faktor für den Erfolg des Anschlags war die leichte Identifizierbarkeit des Ziels. Experten wiesen darauf hin, dass die betroffene Kabelbrücke auf öffentlich zugänglichen Satellitenbildern deutlich erkennbar und in einer relativ entlegenen Lage situiert war, was eine unbemerkte Tatausführung begünstigte. Hier kollidieren die Anforderungen an Transparenz im Energiemarkt mit den Erfordernissen des Sabotageschutzes. Kritiker bemängeln, dass sensible Netzdaten oft „auf dem Silbertablett“ präsentiert werden.   

Die ideologische Dimension: Analyse der „Vulkangruppe“

Am 4. Januar 2026 wurde ein Bekennerschreiben einer Gruppe veröffentlicht, die sich als „Vulkangruppe“ identifizierte. Diese Bezeichnung wird seit 2011 von verschiedenen, teils lose assoziierten linksextremistischen Gruppierungen verwendet, die durch Sabotageakte gegen Infrastruktureinrichtungen wie die Bahn, Stromnetze oder Industrieanlagen (etwa Tesla) in Erscheinung getreten sind.   

Motive und Zielsetzung

Das Bekennerschreiben zum Anschlag in Lichterfelde zeichnete sich durch eine ausgeprägte Systemkritik aus. Die Täter rechtfertigten den Angriff als Schlag gegen die „klimazerstörende Normalität“ und die „fossil-kapitalistische Infrastruktur“. Ein bemerkenswerter neuer Aspekt in der Argumentation war der Bezug auf Rechenzentren für Künstliche Intelligenz (KI). Die Gruppe kritisierte den enormen Energiehunger dieser Zentren und deren Rolle bei der „Massenüberwachung“.   

Die Wahl des Zeitpunkts – mitten im Winter bei Frosttemperaturen – wurde im Schreiben mit einer gewissen Ambivalenz kommentiert. Während man sich bei den „weniger wohlhabenden Menschen“ für die Unannehmlichkeiten entschuldigte, hielt sich das Mitleid für die „Besitzer von Villen“ in Steglitz-Zehlendorf laut Text in Grenzen. Diese soziale Komponente unterstreicht die klassenkämpferische Ausrichtung der Gruppierung.   

Forensische Linguistik und die „False Flag“-Debatte

Aufgrund der Schwere des Anschlags und der geopolitischen Lage kursierten unmittelbar Spekulationen über eine Beteiligung ausländischer Akteure, insbesondere Russlands. Es wurde vermutet, dass es sich um eine Operation unter falscher Flagge handeln könnte, um die soziale Instabilität in Deutschland zu befeuern.   

Die forensische Linguistin Müller analysierte das erste Schreiben jedoch als authentisch für das linksextremistische Spektrum. Sie verwies auf den „akademischen, kosmopolitischen Hintergrund“ der Verfasser, die Verwendung von spezifischen Gendering-Mustern (positive Konnotation weiblicher Formen, negative Konnotation männlicher Formen) und den Bezug auf internationale Themen wie die Situation der Uiguren. Zwar gab es Hinweise auf potenziell maschinell übersetzte Passagen oder untypische Satzstrukturen, doch die Berliner Sicherheitsbehörden und der Verfassungsschutz stuften die Urheberschaft der Vulkangruppe als „sehr deutlich“ ein.   

Interessanterweise kam es innerhalb der Szene zu Spaltungen. Ein drittes Schreiben am 7. Januar distanzierte sich von dem Anschlag und behauptete, die ursprüngliche Vulkangruppe habe einen „defensiven“ Ansatz verfolgt, der auf Störung statt auf Zerstörung ausgelegt war. Dies deutet auf eine Radikalisierung neuerer Zellen hin, die bereit sind, die Gefährdung von Menschenleben (etwa durch den Ausfall von Medizintechnik) billigend in Kauf zu nehmen.   

Auswirkungen auf das Gesundheitswesen und die Zivilgesellschaft

Der Stromausfall traf das Gesundheitswesen in einer Phase hoher Belastung. In dem betroffenen Gebiet liegen nicht nur fünf große Kliniken, darunter das Krankenhaus Waldfriede und das Theodor-Wenzel-Werk, sondern auch über 200 Arztpraxen und zahlreiche Pflegeheime.   

Klinische Versorgung unter Notstrombedingungen

Krankenhäuser sind gesetzlich verpflichtet, Notstromaggregate vorzuhalten. Diese sichern jedoch oft nur die überlebenswichtigen Funktionen (Intensivstation, OP-Säle) ab. Ein regulärer Vollbetrieb über mehrere Tage ist damit kaum möglich. Die Deutsche Krankenhausgesellschaft (DKG) wies darauf hin, dass der Schutz vor Sabotage und Cyberangriffen Investitionen in Milliardenhöhe erfordert, um die Resilienz langfristig zu sichern. Während des Blackouts mussten einige Pflegebedürftige evakuiert und in Krankenhäuser außerhalb des betroffenen Gebiets verlegt werden.   

Die Rolle der „Katastrophenschutz-Leuchttürme“

Ein Erfolg im Krisenmanagement war die Aktivierung der sogenannten Katastrophenschutz-Leuchttürme. Dabei handelt es sich um Anlaufstellen bei der Feuerwehr oder in öffentlichen Gebäuden, an denen Bürger Notrufe absetzen können, Informationen erhalten oder Mobiltelefone laden können. Da das Mobilfunknetz aufgrund erschöpfter Pufferbatterien an vielen Standorten nach wenigen Stunden ausfiel, bildeten diese Leuchttürme die einzige verbliebene Kommunikationsbrücke zum Staat.   

Politische Aufarbeitung und Krisenkommunikation

Die politische Reaktion auf den Blackout wurde von heftigen Kontroversen begleitet. Der Regierende Bürgermeister Kai Wegner (CDU) geriet in die Kritik, weil er am Tag des Anschlags nicht unmittelbar vor Ort präsent war. Berichte über seine Abwesenheit wurden von der Opposition instrumentalisiert, um ein „politisches Versagen“ zu konstatieren. Wegner betonte hingegen, er habe die Lage koordiniert und bewusst die Experten der Feuerwehr und des Netzbetreibers agieren lassen.   

Rechtliche Einordnung: Sabotage oder Terrorismus?

Die Generalbundesanwaltschaft übernahm am 6. Januar 2026 die Ermittlungen. Der Vorwurf lautet unter anderem auf Mitgliedschaft in einer terroristischen Vereinigung (§ 129a StGB) sowie verfassungsfeindliche Sabotage. Diese Einstufung markiert eine Eskalation in der juristischen Bewertung solcher Taten. Während frühere Anschläge oft als „Sachbeschädigung“ oder „Störung öffentlicher Betriebe“ gewertet wurden, erkennt der Staat nun die strategische Absicht an, die Funktionsfähigkeit des Gemeinwesens zu untergraben.   

Die „Tennis-Kontroverse“ und das Vertrauensmanagement

Ein spezifisches Problem der Krisenkommunikation war die Nachricht, dass Wegner wenige Stunden nach Beginn des Stromausfalls Tennis gespielt habe. Auch wenn dies die operative Arbeit der Techniker nicht beeinflusste, war der symbolische Schaden immens. In einer Krise dieses Ausmaßes wird von der politischen Führung eine „Allgegenwärtigkeit“ erwartet. Die Unzufriedenheit der Bürger entlud sich später bei Besuchen von Wegner und Innensenatorin Spranger in Notunterkünften. Um den sozialen Frieden zu wahren, entschied der Senat schließlich, Hotelkosten für Betroffene zu erstatten – ein Schritt, der finanziell und organisatorisch beispiellos war.   

Präventionsstrategien und die Zukunft der KRITIS-Sicherheit

Um künftige Vorfälle dieser Art zu vermeiden, ist ein Paradigmenwechsel in der Infrastrukturplanung erforderlich. Die bisherige Optimierung auf Kosteneffizienz muss einer Optimierung auf Resilienz weichen.

Das KRITIS-Dachgesetz (KRITIS-DachG)

Das im September 2025 vom Bundeskabinett beschlossene Gesetz soll ab 2026 verbindliche Mindeststandards für den physischen Schutz kritischer Anlagen festlegen. Es setzt die EU-Richtlinie 2022/2557 (CER) um und definiert Sektoren wie Energie, Transport, Gesundheit und Wasser als besonders schützenswert.   

Die zentralen Säulen des Gesetzes sind:

1. Risikoanalysen: Betreiber müssen alle vier Jahre eine Bewertung ihrer Schwachstellen vorlegen.   
2. Physische Härtung: Dazu gehören Zäune, Videoüberwachung, Zugangskontrollen und Drohnenabwehr.   
3. Redundanz-Vorgaben: Die Vermeidung von „Single Points of Failure“ durch geografisch getrennte Trassenführung.   
4. Resilienzpläne: Dokumentation von Maßnahmen zur schnellen Wiederherstellung nach einem Vorfall.   

Ein Kritikpunkt bleibt die Erheblichkeitsschwelle. Das Gesetz gilt primär für Anlagen, die mehr als 500.000 Menschen versorgen. Sabotageexperten warnen, dass auch Angriffe auf kleinere Knotenpunkte – wie die Brücke in Lichterfelde – massive Kaskadeneffekte auslösen können.   

Technische Innovationen im Sabotageschutz

Neben gesetzlichen Vorgaben bietet die Technik neue Möglichkeiten zur Überwachung weitläufiger Netze.

• LiDAR und Drohnen: Automatisierte Patrouillen entlang von Stromtrassen können Unregelmäßigkeiten oder Vorbereitungen für Anschläge erkennen.   
• DAS (Distributed Acoustic Sensing): Glasfaserkabel, die parallel zu Stromleitungen verlaufen, können als „Mikrofone“ fungieren und Erschütterungen oder Grabungsarbeiten in Echtzeit melden.   
• Intelligente Netzsteuerung: Durch Digitalisierung der Umspannwerke können Lasten schneller und flexibler umverteilt werden, was die Dauer eines Ausfalls verkürzt.   

Dezentralisierung und „Inselbildung“

Ein langfristiger Schutz besteht in der Dezentralisierung der Erzeugung. Wenn Stadtquartiere über eigene Energiequellen (Photovoltaik, KWK-Anlagen) und Speicher verfügen, können sie im Falle eines Blackouts im Hauptnetz vorübergehend in einen „Inselbetrieb“ gehen. Dies würde die Last für die Rettungskräfte massiv reduzieren, da die Grundversorgung (Licht, Kochen, Kommunikation) lokal gesichert wäre.   

Vergleichsanalyse: Johannisthal vs. Lichterfelde

Die Wiederholung eines massiven Stromausfalls innerhalb weniger Monate (September 2025 in Johannisthal und Januar 2026 in Lichterfelde) verdeutlicht ein Muster. In beiden Fällen war die Ursache Brandstiftung an exponierten Stellen der Hochspannungsinfrastruktur (Masten bzw. Brücken).   

In Johannisthal traf es zwei 110-kV-Leitungen an Endmasten. Der Ausfall dauerte 60 Stunden. In Lichterfelde war die Komplexität höher, da auch Mittelspannungskabel betroffen waren und die Witterung die Reparatur erschwerte, was zu einer Ausfalldauer von 100 Stunden führte. Die Erkenntnis aus beiden Vorfällen ist identisch: Das Berliner Netz ist zwar N−1-sicher gegen zufällige Fehler, aber nicht gegen gezielte, simultane Angriffe auf gebündelte Infrastruktur.   

Zusammenfassung und strategische Schlussfolgerungen

Der Stromausfall in Berlin im Januar 2026 war ein Weckruf für die deutsche Sicherheitsarchitektur. Er hat gezeigt, dass eine hochtechnisierte Metropole innerhalb weniger Stunden an den Rand eines katastrophalen Zustands geraten kann, wenn die Lebensadern der Energieversorgung durchtrennt werden.

Zentrale Erkenntnisse

1. Physische Schwachstellen: Die räumliche Bündelung von Versorgungsleitungen an Engpässen wie Brücken stellt ein inakzeptables Risiko dar. Die Netzplanung muss Diversität vor Kostenersparnis stellen.   
2. Neue Täterschaft: Die Radikalisierung linksextremistischer Gruppen wie der Vulkangruppe hat eine Qualität erreicht, die vor massiven Beeinträchtigungen der Zivilbevölkerung nicht mehr zurückschreckt. Die Einstufung als Terrorismus ist die logische rechtliche Konsequenz.   
3. Abhängigkeiten im Gesundheitswesen: Die Resilienz von Krankenhäusern und Arztpraxen ist unzureichend. Notstromkonzepte müssen den Ausfall der gesamten umgebenden Infrastruktur (Kommunikation, Logistik) stärker einbeziehen.   
4. Krisenkommunikation: Die Bevölkerung ist auf staatliche Informationen angewiesen. Der Ausfall des Mobilfunks muss durch robuste, stromunabhängige Kommunikationswege (Sirenen, Leuchttürme, Analogfunk) kompensiert werden.   

Empfehlungen für Politik und Wirtschaft

Der Staat muss die Resilienzstrategie als Daueraufgabe begreifen. Dies bedeutet eine verlässliche Finanzierung für den Bevölkerungsschutz und eine klare Priorisierung von Härtungsmaßnahmen. Die Netzbetreiber müssen verpflichtet werden, ihre Investitionen (in Berlin geplant: 2,9 Milliarden Euro bis 2030) gezielt in die Erhöhung der Redundanz und den Sabotageschutz zu lenken.   

Abschließend lässt sich festhalten, dass absolute Sicherheit in einer offenen Gesellschaft nicht möglich ist. Aber eine resiliente Gesellschaft zeichnet sich dadurch aus, dass sie Störungen antizipiert, ihre Folgen begrenzt und schnell zum Normalzustand zurückkehrt. Der Berliner Blackout 2026 liefert das notwendige Datenmaterial, um diese Widerstandsfähigkeit für die Zukunft auf ein neues Niveau zu heben. Die Umsetzung des KRITIS-Dachgesetzes und die Transformation des Stromnetzes sind hierbei keine technischen Randthemen, sondern Kernfragen der nationalen Sicherheit.

Die Stabilisierung der Versorgung im Südwesten Berlins durch provisorische Leitungen ist nur ein vorübergehender Erfolg. Die eigentliche Arbeit – der Umbau der Netze und die Anpassung der Sicherheitskonzepte an eine neue Bedrohungslage – hat gerade erst begonnen. Der Fall Lichterfelde wird in die Lehrbücher des Katastrophenmanagements eingehen, als das Ereignis, das die Verwundbarkeit der Moderne im 21. Jahrhundert definierte.   

Der Beitrag Analyse der Resilienz urbaner Energieinfrastrukturen: Der Berliner Stromausfall vom Januar 2026 als sicherheitspolitische Zäsur erschien zuerst auf Grams IT - Blog.

Stellen Sie sich vor, Sie stellen einen Asylantrag, reichen Ihre Gehaltsnachweise ein oder korrespondieren vertraulich mit Ihrer Gemeindeverwaltung – und Monate später tauchen genau diese Daten auf einer gebrauchten Festplatte auf, die jeder auf eBay kaufen kann, oder liegen jahrelang ungesichert im Heizungskeller eines Wohnhauses herum. Ein Szenario wie aus einem Albtraum, das jedoch für die Bürger der bayerischen Gemeinde Kipfenberg Realität wurde.

Die aktuellen Fälle, bei denen ungelöschte Festplatten aus dem Rathaus in den freien Handel gelangten oder in unverschlossenen Kellern „vergessen“ wurden, sind weit mehr als bedauerliche Einzelfälle. Sie sind Symptome für ein tiefgreifendes, strukturelles Problem in der deutschen Verwaltungslandschaft. Während wir über Digitalisierung sprechen, scheitern viele Kommunen bereits an den analogen Grundlagen der IT-Sicherheit.

In diesem Artikel analysieren wir, warum gerade kleine Gemeinden mit dem Datenschutz in der Verwaltung überfordert sind, welche Rolle fehlendes Fachpersonal spielt und warum ein Kulturwandel unumgänglich ist. Zudem erfahren Sie, wie Sie selbst proaktiv werden können, um zumindest Ihre digitalen Spuren im Netz zu verwischen.

Der Fall Kipfenberg: Ein Weckruf für den Datenschutz

Wie das Magazin heise online berichtete, gelangten interne Festplatten der Gemeinde Kipfenberg über einen Umweg in den Verkauf auf eBay. Der Käufer, ein IT-Fachmann, traute seinen Augen kaum: Die Datenträger waren nicht etwa professionell bereinigt, sondern enthielten noch sensible Betriebssystemdaten, E-Mail-Archive und Dokumente.

„Ein IT-Dienstleister hatte die Hardware ausgemustert, aber offenbar nicht sicher gelöscht. So landeten die Datenträger samt sensibler Inhalte auf dem freien Markt.“ > (Vgl. heise.de: Wie Festplattenfunde Datenschutzprobleme in einer Gemeinde offenbaren)

Der zweite Skandal: Das Archiv im Heizungskeller

Doch der eBay-Verkauf war nur die Spitze des Eisbergs. Fast zeitgleich wurde ein weiterer, fast noch gravierenderer Vorfall bekannt: Im Heizungskeller eines gemeindeeigenen Wohnhauses lagerten kistenweise ungesicherte Datenträger. Ein Mieter entdeckte bereits 2023 rund 30 bis 40 Festplatten und Sicherungsbänder, die offenbar aus einer Rathaus-Sanierung stammten und dort zwischengelagert wurden.

Das Erschreckende: Trotz Meldung an den Bürgermeister wurden die Datenträger offenbar nicht fachgerecht gesichert oder entsorgt. Berichten zufolge tauchten sie 2025 erneut in einem unverschlossenen Kellerraum auf – zugänglich für jedermann. Brisant ist dabei der Inhalt: Die Bänder trugen Beschriftungen wie „EWO“ (Einwohnermeldeamt) und enthielten Ordnerstrukturen zu „Personalwesen“, „Standesamt“ sowie Protokolle nicht-öffentlicher Sitzungen über einen Zeitraum von mehr als 20 Jahren.

Das Brisante an diesen Vorfällen ist nicht nur das technische Versagen beim Löschen der Daten („wiping“) oder noch besser die Datenträger durch spezialisiert Entsorgungsunternehmen entsorgen lassen („schreddern“), sondern die Kette der Verantwortlichkeiten. Wenn eine Behörde Hardware ausmustert, bleibt sie bis zur vernichtenden Löschung für die Daten verantwortlich – eine Pflicht, die hier eklatant verletzt wurde.

Die Strukturkrise: IT-Sicherheit vs. Gemeindegröße

Um zu verstehen, warum solche Fehler passieren, müssen wir einen Blick auf die Struktur der deutschen Kommunen werfen. Datenschutz ist oft eine Frage der Ressourcen, und genau hier liegt das Problem.

Statistische Analyse: Deutschland, das Land der kleinen Gemeinden

Eine Analyse der Gemeindestrukturen in Deutschland (basierend auf Daten zum Gemeindeverzeichnis des Statistischen Bundesamtes Stand Ende 2024) zeichnet ein eindeutiges Bild:

• Gesamtzahl der Gemeinden: Deutschland hat über 10.700 Gemeinden.
• Gemeinden unter 20.000 Einwohner: Dies betrifft die überwältigende Mehrheit, nämlich über 93 % aller Kommunen in Deutschland.
• Gemeinden über 20.000 Einwohner: Nur ein kleiner Bruchteil (weniger als 7 %) erreicht eine Größe, die in der Regel eigene, professionelle IT-Abteilungen rechtfertigt.

Das bedeutet im Umkehrschluss: In über 90 % der deutschen Rathäuser wird IT-Sicherheit nicht von studierten Informatikern oder zertifizierten CISOs (Chief Information Security Officers) gemanagt, sondern „nebenbei“ erledigt.

Der „Zufalls-Admin“: Wenn Verwaltungskräfte IT machen

Kipfenberg selbst ist ein klassisches Beispiel. Mit 6.239 Einwohnern fällt die Gemeinde genau in das Raster jener Kommunen, die zu klein für eine eigene IT-Abteilung, aber komplexe Datenverarbeitung betreibt, wie alle Kommunen egal welche Größe Sie sind.

Ein Blick auf die Webseite der Gemeinde zeigt ca. 30 Mitarbeitende in der Kernverwaltung. Auffällig dabei: Für eine Gemeinde dieser Größe ist das eine ungewöhnlich hohe Personaldecke. In vergleichbaren Kommunen liegt der Schnitt eher bei 15 bis 20 Verwaltungsmitarbeitenden (ohne Außenbetriebe wie Bauhof oder Kita).

Trotz dieser Personalstärke fehlt oft eines: Gelerntes IT-Personal. In Gemeinden unter 20.000 Einwohnern wird die IT-Administration häufig einem Verwaltungsfachangestellten übertragen, der „eine Affinität zu Computern“ hat. Die Aufgaben werden on top zum Tagesgeschäft erledigt. Die Folgen sind fatal:

1. Fehlendes Fachwissen: Es fehlt an Kenntnissen über forensisch sicheres Löschen von Datenträgern, Netzwerksegmentierung oder Intrusion Detection.
2. Überlastung: Zwischen Bauanträgen und Passwesen bleibt keine Zeit für Sicherheitsupdates oder Log-Analysen.
3. Mangelnde Sensibilisierung: IT-Sicherheit wird als lästiges Hindernis gesehen, nicht als Kernaufgabe.

Der Faktor Mensch: Sicherheitskultur als Fremdwort

Das Problem ist jedoch nicht rein technischer Natur. Es ist ein kulturelles Versagen, das tief in den Strukturen des öffentlichen Dienstes verankert ist.

Der „Gläserne Bürger“ im Bürgerbüro

Jeder kennt die Situation: Sie sitzen im Bürgerbüro, ein großer Raum, mehrere Schreibtische. Während Sie Ihr Anliegen vortragen, können Sie problemlos mithören, warum der Herr am Nachbartisch eine Gewerbeuntersagung erhält. Schlimmer noch ist die physische IT-Sicherheit:

• Bildschirme sind oft so ausgerichtet, dass Wartende den Inhalt mitlesen können.
• Verlassen Mitarbeitende den Platz, wird der PC nicht gesperrt (Windows-Taste + L ist vielen unbekannt).
• Bürotüren stehen offen, während sensible Akten auf den Tischen liegen.

Datenschutzbelehrungen finden zwar statt, werden aber oft als bürokratische Pflichtübung wahrgenommen. Es fehlt das Verständnis, dass Datenschutz kein Formular ist, das man abheftet, sondern eine tägliche Praxis. Eine Ausrede die auch gerne genutzt wird ist, dass die Mitarbeitenden ja alle zur Verschwiegenheit verpflichtet sind.

Zitate und Expertenmeinungen zur Verwaltungskultur

Die Defizite in der digitalen Kompetenz und der Kultur der öffentlichen Verwaltung sind bekannt. In meinem Artikel „Wir brauchen einen Kulturwandel in der Verwaltung“ habe ich bereits darauf hingewiesen, dass Technik allein keine Probleme löst, wenn das Mindset fehlt:

„Es reicht nicht, analoge Prozesse einfach nur digital abzubilden. Wir müssen verstehen, dass Digitalisierung eine Änderung der Arbeitsweise erfordert.“ > (Vgl. Blog Grams-IT: Kulturwandel in der Verwaltung)

Auch die starre Haltung, Veränderungen abzuwehren, trägt zur Unsicherheit bei. Der Satz „Das haben wir schon immer so gemacht“ ist der größte Feind der IT-Sicherheit. Veraltete Prozesse werden beibehalten, weil man sie kennt – auch wenn sie unsicher sind.

„Der Digitalisierungskiller Nr. 1 ist die Weigerung, alte Zöpfe abzuschneiden. Fortschritt wird aktiv ausgebremst.“ > (Vgl. Blog Grams-IT: Der Digitalisierungskiller)

Eine tickende Zeitbombe

Die Kombination aus veralteter Technik, ungeschultem Personal und einer Kultur der Sorglosigkeit macht kleine Kommunen zum idealen Ziel für Cyberangriffe. Wir stehen hier an einem Scheideweg. Ohne massive Investitionen in Schulung und Professionalisierung (z.B. durch interkommunale Zusammenarbeit bei der IT) steuern wir auf den Kollaps der digitalen Daseinsvorsorge zu.

„Der öffentliche Dienst steht am Scheideweg. Es ist eine tickende Zeitbombe, wenn wir Personal und Sicherheit nicht endlich priorisieren.“ > (Vgl. Blog Grams-IT: Die tickende Zeitbombe)

Weitere Hintergründe zur schleppenden Digitalisierung finden Sie auch in meiner Analyse: Die öffentliche Verwaltung – ein Schlusslicht in der Digitalisierung.

Fazit: Es muss sich etwas ändern

Der Vorfall in Kipfenberg ist peinlich für die Gemeinde, aber er ist symptomatisch für ganz Deutschland. Solange wir in über 90 % der Kommunen Verwaltungsfachangestellte dazu zwingen, nebenbei IT-Admin zu spielen, werden wir solche Schlagzeilen immer wieder lesen.

Was muss passieren?

1. Professionalisierung: IT gehört in die Hände von Fachpersonal, notfalls durch Zusammenschluss mehrerer kleiner Gemeinden zu IT-Zweckverbänden.
2. Schulung: Datenschutzschulungen dürfen keine Alibi-Veranstaltungen sein.
3. Mentalitätswandel: IT-Sicherheit muss Chefsache werden und darf nicht als Kostenfaktor, sondern als Daseinsvorsorge begriffen werden.

Der Beitrag Datenschutz-GAU in der Verwaltung: Warum Festplattenfunde nur die Spitze des Eisbergs sind erschien zuerst auf Grams IT - Blog.

Nachdem letzte Referentenentwurf vom 26.05.2025 war, ist nun eine neue Version an die Öffentlichkeit gelangt und wieder bei der AG KRITIS zur Verfügung gestellt worden.

Nach sorgfältiger Prüfung der Dokumente

• „20250526-RefE-NIS2.pdf“ (im Folgenden „Dokument 1“) und
• „20250602-RefE-NIS2.pdf“ (im Folgenden „Dokument 2“), wobei Dokument 2 die neuere Version darstellt, sowie der Formulierungshilfe
• „241202-FH-NIS2UmsuCG-mit-Aend.BT-Druck.pdf“ (im Folgenden „Dokument 3“) als Kontext für legislative Überarbeitungen, lassen sich mehrere wichtige Änderungen in Dokument 2 im Vergleich zu Dokument 1 feststellen.

Im Folgenden finden Sie eine detaillierte Auswertung der Änderungen, die im neueren Dokument 2 zu finden sind:

I. Allgemeine und Strukturelle Änderungen

• Änderung im Titel des Referentenentwurfs:
  • Dokument 1 trägt im Titel die Bezeichnung „Referentenentwurf des Bundesministeriums des Innern und für Heimat„.
  • Dokument 2 hingegen verwendet die Bezeichnung „Referentenentwurf des Bundesministeriums des Innern“.
  • Änderung: Der Zusatz „und für Heimat“ wurde aus dem Titel des Referentenentwurfs entfernt. Diese Anpassung ist auch konsistent in den Texten beider Dokumente zu finden, wo „Bundesministerium des Innern und für Heimat“ durch „Bundesministerium des Innern“ ersetzt wird, z.B. in Verordnungsermächtigungen und Berichtspflichten.
• Streichung eines gesamten Änderungsartikels und kaskadierende Neunummerierung:
  • Dokument 1 enthielt als Artikel 4 die „Änderung der Besonderen Gebührenverordnung des Bundesministeriums des Innern, für Bau und Heimat…“.
  • Dokument 2 enthält diesen spezifischen Artikel 4 nicht mehr in seiner Auflistung der Änderungsartikel. Stattdessen wird der ursprüngliche Artikel 5 in Dokument 1 zu Artikel 4 in Dokument 2.
  • Änderung: Dieser Artikel wurde vollständig aus dem Entwurf entfernt. Dies führt zu einer kaskadierenden Neunummerierung aller nachfolgenden Artikel im gesamten Gesetzestext von Dokument 2 im Vergleich zu Dokument 1 (z.B. wird Artikel 5 in Dokument 1 zu Artikel 4 in Dokument 2, Artikel 6 zu Artikel 5, und so weiter). Dokument 3 bestätigt die Aufhebung von Artikel 4 in der neueren Version.
• Umfassende Streichung von Schlussartikeln zur KRITIS-Umsetzung:
  • Dokument 1 listete am Ende der Änderungsartikel zusätzliche Bestimmungen wie „Artikel 30 Weitere Änderung des Telekommunikationsgesetzes“, „Artikel 31 Weitere Änderung der Außenwirtschaftsverordnung“ und „Artikel 32 Weitere Änderung des BSI-Gesetzes“ auf, gefolgt von „Artikel 33 Inkrafttreten, Außerkrafttreten“.
  • Dokument 2 streicht diese Artikel vollständig. Der Artikel „Inkrafttreten, Außerkrafttreten“ wird zum neuen und einzigen Artikel 30 am Ende des Gesetzes.
  • Änderung: Diese signifikante Änderung bedeutet, dass die Implementierung des KRITIS-Dachgesetzes und die damit verbundenen Anpassungen nicht mehr innerhalb dieses spezifischen Entwurfs des NIS-2-Umsetzungsgesetzes erfolgen. Die Begründung in Dokument 3 bestätigt, dass frühere Vorschriften zur Bestimmung von Betreibern kritischer Anlagen entfallen sind, da sie nun über Verweise in das KRITIS-Dachgesetz geregelt werden.

II. Spezifische Inhaltsänderungen

• Erweiterung der Anordnungsbefugnis in § 10 BSI-Gesetz (Artikel 1):
  • Obwohl § 10 „Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen“ in den bereitgestellten Inhaltsübersichten der Dokumente 1 und 2 nicht explizit aufgeführt ist, deutet die Begründung in Dokument 3 auf seine Existenz und eine wesentliche Änderung hin.
  • Dokument 3 beschreibt eine Ausweitung der Anordnungsbefugnis des Bundesamtes auf Sicherheitsvorfälle allgemein, statt der Begrenzung auf „gegenwärtige“ Sicherheitsvorfälle in § 10 BSI-Gesetz. Diese Ausweitung entspricht den Vorgaben von Artikel 32 Absatz 4 Buchstabe b der NIS-2-Richtlinie.
  • Änderung: Die Befugnisse des Bundesamtes, Anordnungen zur Abwehr oder Behebung von Sicherheitsvorfällen zu erlassen, wurden in ihrer Reichweite deutlich vergrößert, von „gegenwärtigen“ auf „allgemeine“ Sicherheitsvorfälle.
• Erweiterung der IT-Sicherheitsanforderungen in § 44 Absatz 1 (BSI-Gesetz):
  • Dokument 1 forderte in § 44 Absatz 1, dass „Die Einrichtungen der Bundesverwaltung Mindestanforderungen… erfüllen. Die Mindestanforderungen ergeben sich aus den BSI-Standards und dem IT-Grundschutz Kompendium… sowie die jeweils geltenden Fassungen aus denr Mindeststandards für die Sicherheit in der Informationstechnik des Bundes…“. Zudem enthielt § 44 Absatz 2 eine spezifische Verpflichtung für „Das Bundeskanzleramt und die Bundesministerien“, die BSI-Standards und das IT-Grundschutz-Kompendium einzuhalten. Für Gerichte und Verfassungsorgane hatten die Vorschriften empfehlenden Charakter.
  • Dokument 2 strafft in § 44 Absatz 1 die Formulierung und legt fest, dass „Die Einrichtungen der Bundesverwaltung Mindestanforderungen… erfüllen. Die Mindestanforderungen ergeben sich aus den BSI-Standards und dem IT-Grundschutz Kompendium (IT-Grundschutz) sowie aus den Mindeststandards für die Sicherheit in der Informationstechnik des Bundes (Mindeststandards).“. Der Absatz 2, der spezifische Anforderungen für das Bundeskanzleramt und die Bundesministerien enthielt, ist in Dokument 2 nicht mehr vorhanden. Die Begründung in Dokument 2 stellt klar, dass der IT-Grundschutz nun für „die Einrichtungen der Bundesverwaltung mittelbar Gesetzesrang“ erhält, wohingegen in Dokument 1 dies noch auf „die Bundesministerien und das Bundeskanzleramt“ begrenzt war. Zudem wird der Satz, der Gerichten und Verfassungsorganen einen empfehlenden Charakter einräumte, in Dokument 2 gestrichen.
  • Änderung: Dies stellt eine wesentliche Ausweitung der verbindlichen IT-Sicherheitsvorgaben auf die gesamte Bundesverwaltung dar, nicht nur auf die höchsten Behörden. Die Mindeststandards und der IT-Grundschutz erhalten für alle Einrichtungen der Bundesverwaltung mittelbar Gesetzesrang. Auch die vorherige Ausnahmeregelung für Gerichte und Verfassungsorgane entfällt, was ihre Position bezüglich der Verbindlichkeit dieser Vorgaben ändert.
• Einführung eines neuen Absatzes zur Meldebestätigung und Unterstützung in § 168 Telekommunikationsgesetz (TKG) (Artikel 26):
  • Dokument 1 enthält detaillierte Regelungen zur Meldung von Sicherheitsvorfällen in § 168 Absatz 1 bis 3 TKG, einschließlich Fristen für Erst- und Abschlussmeldungen. Es fehlt jedoch eine explizite Regelung zur Bestätigung des Meldungseingangs oder zur Unterstützung durch das BSI.
  • Dokument 2 fügt einen neuen Absatz 5 in § 168 TKG ein: Dieser verpflichtet die Bundesnetzagentur, den Meldepflichtigen unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach der frühen Erstmeldung eine Bestätigung über den Eingang der Meldung zu übermitteln. Zudem kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Ersuchen der Verpflichteten zusätzliche technische Unterstützung, Orientierungshilfen oder operative Beratung zu Abhilfemaßnahmen leisten.
  • Änderung: Diese Ergänzung stellt eine Verbesserung des Meldeverfahrens dar, indem sie die Bestätigung des Meldungseingangs standardisiert und die Möglichkeit der technischen Unterstützung durch das BSI bei der Bewältigung von Sicherheitsvorfällen formalisiert.
• Erweiterung der Bußgeldtatbestände in § 65 Absatz 2 (BSI-Gesetz):
  • Dokument 1 listet in § 65 Absatz 2 verschiedene Ordnungswidrigkeiten auf.
  • Dokument 2 erweitert und präzisiert mehrere Bußgeldtatbestände:
    • Erweiterung von Nummer 1: Die Liste der Verweise auf Vorschriften, deren Zuwiderhandlung eine Ordnungswidrigkeit darstellt, wird in Dokument 2 unter Nummer 1 erheblich ausgedehnt, um Verstöße gegen Anweisungen zur Umsetzung von Risikomanagementmaßnahmen oder Berichtspflichten gemäß NIS-2-Richtlinie zu ahnden.
    • Strukturelle Änderung bei der Meldung von Registrierungsdaten: Der eigenständige Bußgeldtatbestand aus Dokument 1, Nummer 8 („entgegen § 34 Absatz 2 das Bundesamt nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet“), wird in Dokument 2 entfernt. Die Pflicht zur Übermittlung von Änderungen der Registrierungsdaten gemäß § 34 Absatz 1 ist nun explizit in Nummer 6 enthalten, die bereits die Registrierungspflichten abdeckt. Dies ist eine Konsolidierung der Tatbestände.
    • Einführung eines neuen Tatbestands zur Zertifikatsnutzung: Dokument 2 führt die neue Nummer 14 in § 65 Absatz 2 ein. Diese sanktioniert die Verwendung von Zertifikaten, Erklärungen oder Kennzeichen entgegen den Vorschriften, z.B. widerrufenen Cybersicherheitszertifikaten oder ungültig erklärten EU-Konformitätserklärungen gemäß § 52 Absatz 2 Satz 4, § 53 Absatz 1 Satz 4, § 54 Absatz 6 Satz 2 oder § 55 Absatz 4 Satz 1 BSI-Gesetz. Die Begründung bestätigt, dass dies ein neuer Bußgeldtatbestand ist, der das Missbrauchspotenzial ahnden soll.
  • Änderung: Diese Erweiterungen der Bußgeldvorschriften zielen darauf ab, die Durchsetzung der neuen und präzisierten Cybersicherheitsanforderungen, Anweisungsbefugnisse und Meldepflichten sowie die korrekte Nutzung von Zertifizierungen zu stärken.

III. Änderungen, die im Vergleich zu späteren Entwürfen/Dokument 3 relevant wären, aber nicht zwischen Dokument 1 und 2 sichtbar sind (da Dokument 2 noch zu früh datiert ist)

Es ist wichtig zu betonen, dass die in Dokument 3 sichtbaren, teils weitreichenden Änderungen (z.B. im Detail von § 41 (Prüfung des Einsatzes kritischer Komponenten) oder der Vorrangigkeit des Atomgesetzes) nicht in Dokument 2 enthalten sind. Dokument 2 ist ein früherer Referentenentwurf als der „Entwurf“ im Vergleich von Dokument 3. Daher reflektiert Dokument 2 noch nicht alle späteren legislativen Anpassungen, die in Dokument 3 als „Beschlüsse des 4. Ausschusses“ dargestellt werden.

Zusammenfassend zeigen die Änderungen in Dokument 2 im Vergleich zu Dokument 1 eine Konsolidierung und Präzisierung der Zuständigkeiten und Pflichten, eine deutliche Ausweitung der IT-Sicherheitsvorgaben innerhalb der Bundesverwaltung und eine Verschärfung der Sanktionen bei Nichteinhaltung, während größere strukturelle Verschiebungen im Zusammenhang mit dem KRITIS-Dachgesetz aus diesem spezifischen Entwurf herausgenommen wurden.

Der Beitrag Neuer Entwurf: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG erschien zuerst auf Grams IT - Blog.