Angriffe auf lebenswichtige Infrastruktur sorgen in der EU für erhöhte Alarmbereitschaft. Bei der Abwehr stoßen einzelne Länder manchmal an ihre Grenzen. Die EU-Kommission begegnet dem mit zahlreichen Maßnahmen, die letztlich eine umfassende europäische Cybersecurity-Architektur ergeben.
Bei einem Cyberangriff auf einen Abrechnungsdienstleister kamen kürzlich die Daten von zehntausenden Patienten abhanden. Aus diesen Daten lassen sich Diagnosen und Therapien ableiten. Es soll sich dabei ausschließlich um die Daten von Privatpatienten und Selbstzahlern handeln. Das betroffene Abrechnungsunternehmen betreut nach eigenen Angaben 95 Prozent aller Universitätskliniken in Deutschland sowie 51 Prozent aller größeren Kliniken, darunter die Universitätskliniken Freiburg, Köln, Düsseldorf, Tübingen, Heidelberg und Ulm. Krankenhäuser und Gesundheitseinrichtungen sind seit längerer Zeit ein beliebtes Angriffsziel, erst kurz zuvor flossen Patientendaten bei einem Angriff in Niedersachsen ab. Beide Angriffe zeichnen sich dadurch aus, dass die Krankenhäuser nicht direkt angegriffen wurden, sondern deren Dienstleister. Es handelt sich also um Supply-Chain- oder Lieferkettenangriffe.
Die sind häufig einfacher durchzuführen, da Opfer in der Supply-Chain oftmals weniger gut gesichert sind als die eigentlichen Ziele. Dies betrifft besonders den stark regulierten Sektor der Kritischen Infrastruktur (KRITIS). Hier steigen die Angriffszahlen stärker als die anderer Wirtschaftssektoren.
Von der SPOM zu PBOM: Supply-Chain-Angriffe abwehren
KRITIS-Angriffe steigen EU-weit
Diese Entwicklung ist nicht nur in Deutschland zu beobachten, EU-weit steigt also die Bedrohungslage, nicht zuletzt durch internationale Konflikte. Die Europäische Kommission plant daher zahlreiche Aktionen zur Verbesserung der Cybersecurity, insbesondere im KRITIS-Sektor. Dazu zählen Maßnahmen wie die NIS2-Richtlinie oder der Cyber Resilience Act (CRA), aber auch der Cyber Solidarity Act, der Cyber Blueprint sowie ein verbesserter Schutz kritischer Lieferketten. Einiges davon befindet sich bereits in Umsetzung.
Vortrag: KRISE oder KRITIS? NIS-2 ist da – Sind Sie bereit?
Die NIS2-Richtlinie ist in Deutschland seit dem 6. Dezember 2025 in Kraft. Betroffene Unternehmen und Behörden müssen verschärfte Cybersicherheitsstandards, strengere Meldepflichten sowie neue Vorgaben für das Risikomanagement umsetzen. Außerdem erweitert sich damit der Kreis der betroffenen Unternehmen unter anderem auf die Abfallwirtschaft, Post- und Kurierdienste sowie Lebensmittelhersteller. Durch die neu aufgenommene Kategorie indirekte Betroffenheit werden auch Zulieferer und Dienstleister, wie etwa die oben erwähnten Abrechnungsunternehmen im Gesundheitsbereich, erfasst. NIS2 verlangt von größeren, direkt betroffenen Unternehmen sogar die Absicherung der gesamten Lieferkette. Um zu prüfen, inwieweit das eigene Unternehmen betroffen ist, stehen im Internet zahlreiche Tools zur Verfügung, etwa vom BSI.
Vortrag: Cyber Resilience Act ab Dezember 2027: Was Hersteller JETZT wissen müssen!
Der CRA ist bereits Ende 2024 in Kraft getreten und richtet sich an Hersteller digitaler Produkte. Der Grundsatz „Security by Design“ soll bei vernetzten Geräten stärker zum Tragen kommen. Dazu zählen sichere Standardkonfigurationen, regelmäßige Sicherheitsupdates, Schwachstellenmanagement und Meldepflichten bei Sicherheitslücken. Dabei gelten Übergangsfristen bis Ende 2027.
Welche IT-Gesetze sollten Sie 2026 im Blick haben?
Gemeinsame operative Cyberverteidigung
Der Cyber Solidarity Act wurde bereits Anfang letzten Jahres verabschiedet und ist inzwischen in Kraft getreten. Er soll dafür sorgen, dass die Mitgliedstaaten bei großen Cyberangriffen nicht mehr isoliert reagieren müssen, sondern als gemeinsames europäisches Cyber-Abwehrnetz zusammenarbeiten. Die EU baut damit eine gemeinsame operative Cyberverteidigung auf. Auslöser waren unter anderem hybride russische Angriffe seit Beginn des Ukrainekriegs sowie zunehmende Angriffe auf Krankenhäuser und Energieversorgung. Insbesondere kleinere Staaten können große koordinierte Cyberangriffe allein kaum noch bewältigen. Grenzüberschreitende Cyberabwehr-Hubs und ein europäisches Security Operations Center (SOC) sollen Abhilfe schaffen. Ergänzend dazu ist ein gemeinsames Notfallmanagement geplant, das auch Notfall- und Krisenstabsübungen vorsieht. Eine Art „Cyber-Feuerwehr“, etwa in Form eines Incident-Response-Teams, soll bei großen Angriffen eingesetzt werden können. Allerdings verzögern nationale Vorbehalte die Umsetzung der Maßnahmen, denn einzelne Mitgliedsstaaten wollen sensible Daten nicht vollständig teilen.
Vortrag: NIS-2 und DORA: So greifen ISMS und BCM im Ernstfall ineinander
Daneben arbeitet die Europäische Kommission an einer Revision des Cybersicherheitsgesetzes (Cybersecurity Act). In der im Januar dieses Jahres vorgelegten Überarbeitung ist eine Stärkung der Agentur der Europäischen Union für Cybersicherheit (ENISA) und zusätzliche Vorgaben für sichere IKT-Lieferketten vorgesehen. Dazu erhält die ENISA in erheblichem Maße zusätzliche Mittel. In Kürze veranstaltet die Agentur außerdem mit „Cyber Europe 2026“ eine großangelegte Krisenstabsübung.
Insgesamt soll in der EU eine umfassende europäische Cybersecurity-Architektur entstehen. Cybersecurity wird in Europa damit zunehmend ähnlich behandelt wie beispielsweise Compliance-Vorgaben im Finanzsektor. Dazu gehören Dokumentationspflichten, Audits, Sanktionen und Haftung der Unternehmensführung. Für viele Unternehmen wird Cybersecurity dadurch von einem reinen IT-Thema zu einer regulatorischen Vorstands- beziehungsweise Geschäftsführungsaufgabe.
Für Betroffene kann die Vielzahl der regulatorischen Maßnahmen, die sich noch dazu teilweise überschneiden, recht verwirrend sein. Unterschiedliche Meldepflichten tragen ebenfalls dazu bei. Eine Konsolidierung könnte nicht nur Missverständnisse ausräumen, sondern auch die Wirksamkeit erhöhen.
Digitale Souveränität: Handlungsfähigkeit in unsicheren Zeiten
Quellen:
Heise: Cyberangriff auf Abrechnungsdienstleister betrifft viele Kliniken
Statista: Kritische Infrastruktur ist Hauptziel von Hackern
BSI: NIS-2-Betroffenheitsprüfung
Europäische Kommission: EU-Cybersolidaritätsgesetz
ECSO: The Cyber Solidarity Act Unpacked: ECSO’s Essential Brief
