Bis zum 6. März 2026 müssen sich etwa 29.000 NIS2-pflichtige deutsche Unternehmen und Organisationen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Wie der TÜV SÜD mitteilt, läuft damit die dreimonatige Frist zur Umsetzung der am 6. Dezember 2025 in Kraft getretenen NIS2-Richtlinie ab. Betroffen sind Unternehmen ab 50 Mitarbeitenden oder mit mehr als 10 Millionen Euro Jahresumsatz in kritischen Sektoren wie Energie, Gesundheit, Transport, digitaler Infrastruktur und öffentlicher Verwaltung.

„Viele Unternehmen unterschätzen die Bedeutung formaler Pflichten wie Registrierung, laufende Aktualisierung von Unternehmensdaten und fristgerechte Meldungen von Sicherheitsvorfällen“, warnt Richard Skalt, Advocacy Manager Cybersecurity Office bei TÜV SÜD. Die Registrierung erfolgt über das Anfang 2026 vom BSI gestartete Portal, das als zentrale Anlaufstelle für alle NIS-2-Pflichten dient.

ELSTER-Zertifikat erfordert Vorlauf

Für die Registrierung benötigen Unternehmen ein ELSTER-Organisationszertifikat, dessen Bearbeitung laut TÜV SÜD fünf bis zehn Werktage in Anspruch nimmt. Unternehmen sollten daher nicht bis zum letzten Tag warten. Im BSI-Portal müssen Angaben zu Unternehmensgröße, Rechtsform, NIS-2-Kontaktstelle, Sektor und zuständiger Bundesbehörde gemacht werden. Änderungen an diesen Daten sind innerhalb von zwei Wochen zu melden.

Das BSI-Portal dient nicht nur der Erstregistrierung, sondern auch der verpflichtenden Meldung von Sicherheitsvorfällen. Weitere funktionale Features sollen in den kommenden Monaten ergänzt werden, darunter ein einheitliches Meldeformat und Echtzeit-Datenaustausch zur Erhöhung des Bewusstseins für akute Bedrohungen.

Persönliche Haftung der Geschäftsführung

Die NIS-2-Richtlinie bringt nicht nur formale Pflichten mit sich, sondern auch deutliche Konsequenzen bei Nichterfüllung. Geschäftsführer können persönlich haftbar gemacht werden, wenn die Umsetzung mangelhaft erfolgt. „Organisationen benötigen praxisnahe, umsetzbare Maßnahmenpläne für NIS 2“, betont Skalt.

BSI-Präsidentin Claudia Plattner zeigte sich zuversichtlich: „NIS2 ist trotz Regierungswechsel vergleichsweise schnell umgesetzt worden und wir sind bereit. Von uns aus kann es losgehen“. Sie hofft auf deutliche Effekte durch das deutsche Umsetzungsgesetz. Unterstützung bei der Umsetzung bieten verschiedene Dienstleister, darunter TÜV SÜD mit Betroffenheitsprüfungen, Trainings und Assessments sowie die heise academy mit speziellen Schulungen.

(odi)

Das französische Finanz- und Wirtschaftsministerium hat eingeräumt, dass Cyberkriminelle auf eine nationale Datenbank mit Bankdaten von Bürgern Zugriff erlangt haben. Dabei sollen sie an Informationen zu 1,2 Millionen Bankkonten sowie deren Inhaberinnen und Inhaber gelangt sein.

Wie die französische Zeitung LeMonde berichtet, hat das französische Finanz- und Wirtschaftsministerium am Mittwoch dieser Woche mitgeteilt, dass Angreifer „Zugriff auf eine nationale Bankkonten-Datenbank“ erlangt und „Informationen zu 1,2 Millionen Konten abgerufen“ haben. Seit Ende Januar sollen die Täter mit gestohlenen Zugangsdaten eines Beamten Zugriff auf diese Datenbank gehabt haben. Dabei haben sie „Teile der Datei aller bei französischen Banken geführten Konten, die personenbezogene Daten wie Bankkontonummern, Namen der Kontoinhaber, deren Adressen und in einigen Fällen die Steuernummer der Kontoinhaber enthält“, abgerufen.

Keine Einsicht in Bankkonten möglich

Gegenüber der französischen Presseagentur Agence France-Presse (AFP) beschwichtigte der Leiter der französischen öffentlichen Staatsfinanzen jedoch: Mit dem erlangten Zugriff auf die Datenbank sei es nicht möglich, Kontostände einzusehen oder Finanztransaktionen durchzuführen. Das Ministerium führte zudem aus, dass „umgehend Maßnahmen zum Blockieren der Angreifer und zum Schutz vor Datenabgriff ergriffen wurden“, als der nicht autorisierte Zugriff aufgefallen ist.

Die Inhaber der 1,2 Millionen betroffenen Bankkonten sollen in den kommenden Tagen eine Benachrichtigung erhalten, ergänzte das Ministerium. Es habe zudem Strafanzeige erstattet und die Commission Nationale de l’Informatique et des Libertés (CNIL), die französische Datenschutzbehörde, über den Vorfall in Kenntnis gesetzt.

Zuletzt hatte der französische Fußballverband FFF einen Cyberangriff im Dezember vermeldet. Auch dabei kam es zum Datendiebstahl, etwa von Mitgliederverzeichnissen des FFF.

(dmk)

Eigentlich war sie nur als Ausnahme vorgesehen: Die Erlaubnis zur freiwilligen Chatkontrolle soll jedoch nochmals verlängert werden. Das hatte die EU-Kommission am 19. Dezember 2025 vorgeschlagen. Anbieter von Kommunikationsdiensten wie Meta, Google oder Microsoft dürften dann weiterhin auf freiwilliger Basis Scanning-Technologien einsetzen, um beispielsweise massenhaft Mitteilungen in Chats nach verbotenen Kindesmissbrauchsdarstellungen zu durchkämmen.

Wojciech Wiewiórowski, der europäische Datenschutzbeauftragte, schlägt nun in einer Stellungnahme rechtliche Einschränkungen an der Ausnahmeregelung vor. Sie sollen eine allgemeine und wahllose Überwachung unterbinden und die Risiken des Massen-Scannings besser berücksichtigen.

Der Jurist betont, dass diese Einschränkungen von den Konzernen auch „strikt eingehalten“ werden müssten. Eine bloße Verlängerung der Ausnahmeregelung ohne Maßnahmen zur Sicherstellung der Wirksamkeit bestehender und neuer Schutzvorkehrungen bliebe „hochproblematisch“.

Kein „wahlloses Scannen“

Der europäische Datenschutzbeauftragte verweist auch auf seine früheren rechtlichen Analysen. Denn Wiewiórowski hatte sich schon mehrfach ablehnend zur Regelung der massenhaften freiwilligen Chatkontrolle geäußert. Auch der europäische Datenschutzausschuss, in dem sich die nationalen Datenschutzbehörden abstimmen, mahnte in einer Stellungnahme einen besseren Schutz der Grundrechte und einschränkende Regeln an.

Denn flächendeckende automatisierte Chatkontrollen und massenhaftes Scannen sind grundrechtswidrig, weswegen es nur temporäre Ausnahmen in einer Übergangsverordnung gibt. Wiewiórowski betont nun erneut, dass im Falle einer nochmaligen Verlängerung der vorläufigen Erlaubnis zur Chatkontrolle die rechtlichen Mängel behoben, Schutzmaßnahmen eingebaut und „wahlloses Scannen“ verhindert werden sollten.

Der europäische Datenschutzbeauftragte besteht weiterhin auf seiner rechtlichen Einschätzung, dass keine vorübergehende Ausnahme angenommen werden sollte, solange diese Mängel nicht abgestellt seien. Bisher sei die wahllose Massenüberwachung nicht ausreichend rechtlich eingehegt.

Die zweite Verlängerung

In einer Pressemitteilung zu seiner Stellungnahme hatte Wiewiórowski die Bedeutung des Schutzes von Kindern vor Missbrauch betont, aber auch gefordert, dass dabei kein „rechtliches Vakuum“ entstehen dürfe. Denn auch „vorübergehende“ Maßnahmen dürften nicht „die Grundrechte außer Kraft setzen“. Diese Grundrechte sind in den Artikeln 7 und 8 der Charta der Grundrechte der Europäischen Union festgeschrieben. Es müsse sichergestellt sein, „dass das Scannen nicht wahllos erfolgt und dass es immer eine klare Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt“.

„Vorübergehend“ ist offenbar ein dehnbarer Begriff, denn die Ausnahme besteht bereits seit Juli 2021 und wurde im April 2024 für weitere zwei Jahre verlängert. Eigentlich war die nun wieder zur Verlängerung anstehende Übergangsregelung nur eine Art Vorläufer für eine seit 2022 geplante EU-Verordnung zur verpflichtenden Chatkontrolle.

Sie war von der EU-Kommission vorgeschlagen worden. Doch diese EU-Verordnung zur verpflichtenden Chat-Massenüberwachung wurde bisher nicht geschaffen, sondern mündete aufgrund der massiven Kritik an diesem Überwachungsprojekt in ein langjähriges und noch immer nicht abgeschlossenes politisches Hickhack, an dem gleich mehrere EU-Ratspräsidentschaften scheiterten.

Kein Nachweis, dass Massen-Scans verhältnismäßig sind

Das EU-Parlament wird wohl im März entscheiden, ob es einer einjährigen Verlängerung der Übergangsverordnung zustimmt, die nun das automatisierte Text-Analysieren bei Nachrichten ausschließen könnte und das Scannen nur auf bekannte Hash-Werte beschränken soll.

So schlug es zuletzt Birgit Sippel vor. Die Sozialdemokratin (S&D) ist die Berichterstatterin zur freiwilligen Chatkontrolle im EU-Parlament. Der zuständige LIBE-Ausschuss der EU-Parlaments wird Sippels Vorschlag aber noch inhaltlich beraten.

Es bliebe selbst in dieser abgespeckten Variante dabei, dass den Konzernen massenhaftes Scannen „vorübergehend“ erlaubt wird. Dass dies verhältnismäßig ist, konnte die EU-Kommission aber auch nach mehr als vier Jahren Massen-Scans nicht nachweisen.