Bis zum 6. März 2026 müssen sich etwa 29.000 NIS2-pflichtige deutsche Unternehmen und Organisationen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Wie der TÜV SÜD mitteilt, läuft damit die dreimonatige Frist zur Umsetzung der am 6. Dezember 2025 in Kraft getretenen NIS2-Richtlinie ab. Betroffen sind Unternehmen ab 50 Mitarbeitenden oder mit mehr als 10 Millionen Euro Jahresumsatz in kritischen Sektoren wie Energie, Gesundheit, Transport, digitaler Infrastruktur und öffentlicher Verwaltung.

„Viele Unternehmen unterschätzen die Bedeutung formaler Pflichten wie Registrierung, laufende Aktualisierung von Unternehmensdaten und fristgerechte Meldungen von Sicherheitsvorfällen“, warnt Richard Skalt, Advocacy Manager Cybersecurity Office bei TÜV SÜD. Die Registrierung erfolgt über das Anfang 2026 vom BSI gestartete Portal, das als zentrale Anlaufstelle für alle NIS-2-Pflichten dient.

ELSTER-Zertifikat erfordert Vorlauf

Für die Registrierung benötigen Unternehmen ein ELSTER-Organisationszertifikat, dessen Bearbeitung laut TÜV SÜD fünf bis zehn Werktage in Anspruch nimmt. Unternehmen sollten daher nicht bis zum letzten Tag warten. Im BSI-Portal müssen Angaben zu Unternehmensgröße, Rechtsform, NIS-2-Kontaktstelle, Sektor und zuständiger Bundesbehörde gemacht werden. Änderungen an diesen Daten sind innerhalb von zwei Wochen zu melden.

Das BSI-Portal dient nicht nur der Erstregistrierung, sondern auch der verpflichtenden Meldung von Sicherheitsvorfällen. Weitere funktionale Features sollen in den kommenden Monaten ergänzt werden, darunter ein einheitliches Meldeformat und Echtzeit-Datenaustausch zur Erhöhung des Bewusstseins für akute Bedrohungen.

Persönliche Haftung der Geschäftsführung

Die NIS-2-Richtlinie bringt nicht nur formale Pflichten mit sich, sondern auch deutliche Konsequenzen bei Nichterfüllung. Geschäftsführer können persönlich haftbar gemacht werden, wenn die Umsetzung mangelhaft erfolgt. „Organisationen benötigen praxisnahe, umsetzbare Maßnahmenpläne für NIS 2“, betont Skalt.

BSI-Präsidentin Claudia Plattner zeigte sich zuversichtlich: „NIS2 ist trotz Regierungswechsel vergleichsweise schnell umgesetzt worden und wir sind bereit. Von uns aus kann es losgehen“. Sie hofft auf deutliche Effekte durch das deutsche Umsetzungsgesetz. Unterstützung bei der Umsetzung bieten verschiedene Dienstleister, darunter TÜV SÜD mit Betroffenheitsprüfungen, Trainings und Assessments sowie die heise academy mit speziellen Schulungen.

(odi)

Die Beschlagnahme des Adenauer-Busses vom Zentrum für politische Schönheit am Rande des Christopher Street Days im September letzten Jahres in Döbeln war in dieser Form rechtswidrig. Das geht aus einem Beschluss des Landgerichts Chemnitz vom 13. Februar hervor, den netzpolitik.org einsehen konnte. Die Freie Presse (€) hatte zuerst darüber berichtet.

Die Beschlagnahme des bundesweit bekannten Busses hatte sich im vergangenen Herbst zum Skandal für die Polizei in Sachsen entwickelt. Um den Protestbus aus dem Verkehr zu ziehen, hatte die Polizei rechtsstaatliche Verfahren umgangen. Das legten unabhängige Recherchen des MDR und von netzpolitik.org schon damals nahe.

Die Polizei hatte damals während der Kontrolle des Busses an einem Samstag bei der zuständigen Bereitschaftsrichterin beim Landgericht Chemnitz angerufen. Sie wollte sich von ihr die Beschlagnahme genehmigen lassen. So sieht es das rechtsstaatliche Vorgehen vor, wenn nicht gerade Gefahr im Verzug ist. Im Falle des Busses blieb offenbar Zeit, das Gericht zu kontaktieren und mehrfach zu telefonieren.

Sächsische Polizei in Erklärungsnot

Doch die Richterin verneinte die Beschlagnahme. Ob eine Gefahr von dem Fahrzeug ausgehe, könne sie aus der Ferne nicht beurteilen, dies sollten die Beamten vor Ort entscheiden. Dies geht aus einer E-Mail der Richterin vom 2. Oktober hervor, die netzpolitik.org vorliegt. Laut dem Beschluss des Landgerichts Chemnitz habe sie die Polizei auf die Möglichkeit verwiesen, in eigener Zuständigkeit eine Stilllegungsverfügung zu treffen.

Die Polizei führte daraufhin die Beschlagnahme durch und ließ sich die Beschlagnahme vom Amtsgericht in Döbeln am folgenden Montag bestätigen – behauptete aber schon am Samstag in einer Pressemitteilung, dass sie eine richterliche Bestätigung erhalten habe.

Mit Anruf bei Gericht endet polizeiliche Eilkompetenz

Dieses Vorgehen war rechtswidrig, sagt nun das Landgericht. „Die Kammer stellte fest, dass mit dem Anruf bei der Eildienstrichterin die Eilkompetenz der Polizei endete“, erklärte Gerichtssprecherin Marika Lang gegenüber der „Freien Presse“. Damit habe die Verantwortung allein bei der Justiz gelegen. Ob die Richterin am Telefon zugestimmt oder abgelehnt hat, ließ das Landgericht in seinem Beschluss offen.

Hätte die Bereitschaftsrichterin eine Beschlagnahmeanordnung mündlich erlassen, wäre eine richterliche Bestätigung der polizeilich bewirkten Beschlagnahme laut dem Gerichtsbeschluss nicht erforderlich gewesen. Hätte die Bereitschaftsrichterin eine Beschlagnahmeanordnung jedoch abgelehnt, hätte die rechtliche Grundlage für eine polizeilich bewirkte Beschlagnahme gefehlt.

Damit wäre laut dem Gericht in beiden Fällen für eine richterliche Bestätigung der Beschlagnahme gemäß § 98 Abs. 2 Satz 1 StPO kein Raum gewesen.

Die Rechtsauffassung, dass die Eilkompetenz der Polizei mit dem Anruf endete, hatten auch damals die Anwälte der Aktionskünstler sowie von netzpolitik.org befragte Jurist:innen vertreten.

„Wildwest-Methoden der Polizei Sachsen“

„Im Ergebnis ist die Beschlagnahme damit für rechtswidrig erklärt worden. Aus der Verfahrensakte geht eindeutig hervor, dass die telefonisch erreichte Bereitschaftsrichterin die Anordnung der Beschlagnahme ablehnte. Damit fehlt jeder Raum für die anschließend polizeilich angeordnete Beschlagnahme“, so Arne Klaas, Rechtsanwalt des Zentrums für Politische Schönheit.

„Ich bin froh, dass das Landgericht Chemnitz den Wild-West-Methoden der Polizei Sachsen nun endlich einen Riegel vorschiebt“, so ein Sprecher des Zentrums für Politische Schönheit gegenüber netzpolitik.org. Die Polizeidirektion Chemnitz habe mit ihrer illegalen Beschlagnahme des Busses die größtmögliche Bruchlandung hingelegt, so der Sprecher weiter. Dennoch sei der Schaden für die Versammlungsfreiheit, den Rechtsstaat in Sachsen und die Bundesrepublik entstanden.

Das französische Finanz- und Wirtschaftsministerium hat eingeräumt, dass Cyberkriminelle auf eine nationale Datenbank mit Bankdaten von Bürgern Zugriff erlangt haben. Dabei sollen sie an Informationen zu 1,2 Millionen Bankkonten sowie deren Inhaberinnen und Inhaber gelangt sein.

Wie die französische Zeitung LeMonde berichtet, hat das französische Finanz- und Wirtschaftsministerium am Mittwoch dieser Woche mitgeteilt, dass Angreifer „Zugriff auf eine nationale Bankkonten-Datenbank“ erlangt und „Informationen zu 1,2 Millionen Konten abgerufen“ haben. Seit Ende Januar sollen die Täter mit gestohlenen Zugangsdaten eines Beamten Zugriff auf diese Datenbank gehabt haben. Dabei haben sie „Teile der Datei aller bei französischen Banken geführten Konten, die personenbezogene Daten wie Bankkontonummern, Namen der Kontoinhaber, deren Adressen und in einigen Fällen die Steuernummer der Kontoinhaber enthält“, abgerufen.

Keine Einsicht in Bankkonten möglich

Gegenüber der französischen Presseagentur Agence France-Presse (AFP) beschwichtigte der Leiter der französischen öffentlichen Staatsfinanzen jedoch: Mit dem erlangten Zugriff auf die Datenbank sei es nicht möglich, Kontostände einzusehen oder Finanztransaktionen durchzuführen. Das Ministerium führte zudem aus, dass „umgehend Maßnahmen zum Blockieren der Angreifer und zum Schutz vor Datenabgriff ergriffen wurden“, als der nicht autorisierte Zugriff aufgefallen ist.

Die Inhaber der 1,2 Millionen betroffenen Bankkonten sollen in den kommenden Tagen eine Benachrichtigung erhalten, ergänzte das Ministerium. Es habe zudem Strafanzeige erstattet und die Commission Nationale de l’Informatique et des Libertés (CNIL), die französische Datenschutzbehörde, über den Vorfall in Kenntnis gesetzt.

Zuletzt hatte der französische Fußballverband FFF einen Cyberangriff im Dezember vermeldet. Auch dabei kam es zum Datendiebstahl, etwa von Mitgliederverzeichnissen des FFF.

(dmk)