HiSolutions KRITIS-News August 2025
Die Themen: Neuigkeiten zu NIS-2 | Deutschland drohen hohe EU Bußgelder wegen mangelnder Umsetzung von Cybersicherheit | Blackout in Spanien | Cyberangriff auf ein großes Werk der Molkerei von Arla erzeugt Lieferengpässe | Erster offiziell anerkannter Todesfall infolge eines Cyberangriffs
Liebe Leserinnen und Leser,
herzlich willkommen zur August-Ausgabe unseres KRITIS-Newsletters. Wir melden uns wie gewohnt mit Neuigkeiten aus der Welt der Kritischen Infrastrukturen.
Es gibt einen Fahrplan für NIS-2! Auf der Fachkreise- und Verbändeanhörung hatte das Bundesinnenministerium einen Zeitplan für die deutsche Umsetzung der EU-NIS-2-Richtlinie verkündet, der mit Stand vom 11. Juli 2025 wie folgt überarbeitet wurde:
- Kabinettsbeschluss: Juli
- Zuleitung Bundesrat: 15. August
- Bundesrat 1. Durchgang: 26.September
- Kabinettsbeschluss über Gegenäußerungen: 1. Oktober mit Nachmeldung
- Bundestag 1. Lesung: 11./12. September mit Eilbedürftigkeit
- Abschluss IA: 15. Oktober
- Bundestag 2./3. Lesung: 6./7. November
- Bundesrat 2. Durchgang: 21. November mit FVB durch Fraktion ansonsten 19. Dezember
- Verkündung/Inkrafttreten: Dezember 2025 oder Januar 2026
Zum KRITIS-Dachgesetz wurde auf der Fachkreise- und Verbändeanhörung angemerkt, dass dieses ebenfalls Ende 2025 in Kraft treten soll. Es konnte aber weder ein Entwurf noch ein grober Zeitplan kommuniziert werden. Wir bleiben für euch am Ball.
Das BMI hat aktuelle Entwürfe der deutschen NIS-2-Umsetzung veröffentlicht und die über 60 erhaltenen Stellungnahmen – überwiegend von allen betroffenen Verbänden – zur Fachkreise- und Verbändeanhörung von Anfang Juli 2025 ebenfalls bereitgestellt.
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html
Deutschland drohen hohe EU-Bußgelder wegen mangelnder Umsetzung von Cybersicherheit
Da Deutschland die EU-NIS-2-Richtlinie als auch die EU-CER-Richtlinie immer noch nicht umgesetzt hat, drohen EU-Strafen, die mit jedem weiteren Tag Verzug einen Schritt näher rücken. Denn die EU-Kommission hat die zweite Stufe des Vertragsverletzungsverfahrens gegen Deutschland eingeleitet.
Deutschland ist mit fast 20 weiteren EU-Staaten leider in bester Gesellschaft. Defensive und konsequente Cybersicherheit zur Steigerung der Cyberresilienz scheint nicht die höchste Priorität darzustellen, obwohl sie in aller Munde ist.
In Kombination mit den Streichungen der nachgelagerten Behörden bei der verpflichtenden Umsetzung des BSI IT-Grundschutz scheint die Regierung wenig Interesse an Cybersicherheit zu zeigen. Unser Vorstand Prof. Timo Kob hatte es daher bereits als das Cybersicherheitsschwächungsgesetz betitelt.
HiGuide: Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie
In diesem HiGuide gehen wir nochmal ausführlicher auf die zu erwartenden Änderungen, den Anwendungsbereich, aber auch das Risikomanagement und die besonderen Anforderungen an die Risikomanagementmaßnahmen von Betreibenden kritischer Anlagen (KRITIS) ein. Außerdem beleuchten wir die Fragestellung, was die Unterschiede zur CER-Richtlinie (KRITIS-Dachgesetz) sind.
https://www.hisolutions.com/detail/higuide-nis-2
Heise online: Was sich im Entwurf der NIS-2-Richtlinie verändert hat
Für heise online haben wir bewertet, welche Inhalte sich im Vergleich zum alten Gesetzesentwurf der Ampelkoalition geändert haben und wie die Änderungen zu bewerten sind.
Umfassende Analyse aller EU-Länder zu NIS-2
In diesem Beitrag wurde der Stand aller EU-Länder zur NIS-2 Umsetzung analysiert, was einen guten Überblick gibt.
Blackout in Spanien
Der Blackout in Spanien hat tatsächlich Satellitenverbindungen in Grönland gekappt. Ursache soll wohl unter anderem eine Störung in einem Umspannwerk gewesen sein. Der Verband Europäischer Übertragungsnetzbetreiber entso-e stellt umfassende Zwischenergebnisse der Ermittlungen bereit. Die Komplexität der Vernetzung ist auch in Kritischen Infrastrukturen immer wieder Thema, daher sollte dies im Rahmen des BCM und ITSCM immer wieder Berücksichtigung finden. So würden die Szenarien während der Risiko- und Business Impact Analysen auffallen und Maßnahmen zur Steigerung der Resilienz könnten etabliert werden.
https://www.tagesschau.de/ausland/europa/spanien-stromausfall-102.html
https://www.entsoe.eu/publications/blackout/28-april-2025-iberian-blackout/
Cyberangriff auf ein großes Werk der Molkerei von Arla erzeugt Lieferengpässe
Die IT eines Arla-Standortes in Deutschland wurde erfolgreich attackiert und die Produktion dadurch beeinträchtigt. Dies führte zu Lieferengpässen im KRITIS Sektor Ernährung.
Erster offiziell anerkannter Todesfall infolge eines Cyberangriffs
Aufgrund eines Cyberangriffs auf einen Pathologiedienstleister 2024 wurden in London zahlreiche Kliniken und Praxen lahmgelegt. In der Folge kam es auch zum Tod eines Patienten, da die Blutergebnisse aufgrund des IT-Ausfalls nicht rechtzeitig bereitgestellt werden konnten und dies nachweislich zu einer Verzögerung der Patientenversorgung und damit zum Tod des Patienten führte.
IT-Sicherheitsregulierung in Gegenwart und Zukunft - KRITIS, NIS-2 & DORA
Kürzlich fand im Berliner Büro von HiSolutions ein Wissensfrühstück zu KRITIS, NIS-2 und DORA statt.
Die Aufzeichnungen und Foliensätze zu den vier Vorträgen sind zum Nachschauen und Nachlesen verfügbar:
- Gesetzeslage aktuell
https://www.youtube.com/watch?v=U6qTYuvdGhs - NIS-2: Viele Anforderungen, wenig Neues
https://www.youtube.com/watch?v=23UGOBwjMwA - Souveränitätsaspekte und Compliance Automation: Cloud-Einsatz
https://www.youtube.com/watch?v=G1PfnkoF1S0 - IKT-Drittdienstleister: Kollateralschäden der DORA?
https://www.youtube.com/watch?v=l28EpxuNsEY
Und hier: https://www.hisolutions.com/detail/knowhow-sicherheitsregulierung
Tech-Abhängigkeiten der EU von den USA
Was die EU, Regierungen, BMI und BSI, aber auch KRITIS und Wirtschaft im Kontext der Tech-Abhängigkeiten der EU von den USA machen sollten und vor allem auch warum, haben Matthias Schulze und ich für heise online im untenstehenden Beitrag aufgeschrieben. Matthias leitet den Forschungsschwerpunkt Internationale Cybersicherheit am Institut für Friedensforschung und Sicherheitspolitik in Hamburg (IFSH) und hostet den Percepticon.de Podcast, den ich euch allen empfehlen kann!
https://www.heise.de/hintergrund/US-Autoritarismus-und-die-Techabhaengigkeiten-der-EU-10383267.html
Keine digitale Souveränität aufgrund von Vendor Lock-in
Broadcom trifft EU-Cloudanbieter hart. Eine Analyse zeigt, dass Broadcom die VMware-Hypervisor-Lizenzen um 800 bis 1.500 Prozent verteuert hat. Digitale Souveränität ist aufgrund von Vendor Lock-ins nicht möglich, dafür kann das im Gegenzug sehr teuer werden. Was genau es mit dem Vendor Lock-in auf sich hat, wurde vor einiger Zeit schon genauer dargelegt.
https://www.heise.de/tipps-tricks/Vendor-Lock-in-was-ist-das-6166269.html
Die KRITIS Dystopie – Düstere Aussichten für zukünftige Generationen
Auf der re:publica25 habe ich einen privaten, aber dystopischen Ausblick aus dem Maschinenraum gegeben. Ich zeigte plakativ, wie düster die Aussichten für zukünftige Generationen sind, wenn Digitalpolitik und Gesetzgebung bei Kritischen Infrastrukturen (KRITIS) weiter so agieren, wie bisher.
BSI-Positionspapier: Cybersicherheit im Energiesektor Deutschlands
Das BSI hat ein Positionspapier zum Energiesektor einschließlich der erneuerbaren Energien veröffentlicht, in dem zentrale Herausforderungen und Handlungsfelder für eine robuste Cybersicherheitsstrategie im deutschen Energiesektor formuliert wurden.
HiSolutions Know-how to go: KI verstehen und sicher gestalten
Künstliche Intelligenz verändert unsere Arbeitswelt – rasant und tiefgreifend. Diese Veranstaltung beleuchtet aktuelle Entwicklungen rund um LLMs, Chatbots und den EU AI Act aus technischer, regulatorischer und sicherheitsrelevanter Perspektive.
In vier praxisnahen Vorträgen zeigen Experten, wie Unternehmen KI sicher einsetzen, Risiken erkennen und regulatorische Anforderungen erfüllen können. Ein Muss für alle, die KI nicht nur nutzen, sondern auch verantwortungsvoll gestalten wollen.
Die Teilnahme an unserem Wissensfrühstück ist kostenfrei.
Wann: 24.09.2025 | Wo: Berlin
Ich werde ebenfalls vor Ort mit dabei sein und freue mich auf interessante Gespräche mit euch!
https://www.hisolutions.com/knowhow
Vorgeschmack zu KI
Wir haben für euch als Vorgeschmack zum Thema KI einen HiSolutions HiWay Podcast veröffentlicht: "Gute KI – Schlechte KI" – Rengbar Hardam über Chancen, Risiken und Verantwortung im KI-Einsatz: https://www.youtube.com/watch?v=MmzO6fsD9ts
E-Mail-Sicherheitsjahr 2025: Mitmachen ausdrücklich erwünscht!
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit dem eco-Verband und Bitkom das E-Mail-Sicherheitsjahr 2025 ausgerufen. Wer sich noch bis zum 15. August beim BSI meldet und zwei technische Richtlinien zum sicheren E-Mail-Transport (BSI TR-03108) und zur E-Mail-Authentifizierung (BSI TR-03182) umsetzen will, darf auf der BSI Hall of Fame gelistet werden.
Das BSI setzt dabei nicht voraus, dass die Organisationen schon jetzt alle Kriterien erfüllen. Das verbindliche Zugeständnis, diese bald umzusetzen und schon gestartet zu haben, reicht aus, um auf die Hall of Fame zu kommen.
Das BSI kann für Rückfragen und Anregungen unter der E-Mail-Adresse emailsicherheit@bsi.bund.de erreicht werden. Am 23. und 24. August wird die Hall of Fame des E-Mail-Sicherheitsjahres 2025 zum Tag der offenen Tür der Bundesregierung veröffentlicht.
Soweit so gut – bleiben Sie weiterhin safe and secure!
Herzliche Grüße
Ihr Manuel „HonkHase" Atug
Unser nächster KRITIS-Newsletter erscheint Ende Oktober 2025.