Seit dem 6. Dezember 2025 gilt in Deutschland das NIS2-Umsetzungsgesetz (NIS2UmsuCG) – ohne Übergangsfrist, ohne Schonfrist, ohne Aufschub. Rund 29.500 Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz in 18 Sektoren sind betroffen und sollten NIS2-konform aufgestellt sein, darunter Energie, Produktion, Logistik, Chemie und Abfall. Doch die Realität sieht anders aus: Zum Registrierungsstichtag am 6. März 2026 hatten sich lediglich rund 11.500 von geschätzten 29.850 betroffenen Unternehmen beim BSI-Portal registriert – das entspricht einer Quote von gerade einmal 38,5 Prozent. Zwei Wochen vor Fristablauf (06.03.2026) waren es sogar erst 4.856 Einrichtungen. Dieser Leitfaden erklärt, warum so viele Unternehmen noch immer nicht registriert sind, wer tatsächlich betroffen ist – und in welchen konkreten Schritten sich Unternehmen jetzt systematisch vorbereiten sollten.

Der alarmierende Stand der BSI-Registrierungen: Unwissenheit als größtes Risiko

Das Bild, das sich nach Ablauf der Registrierungsfrist ergibt, ist alarmierend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Wochen mehrfach öffentlich betont, dass die Zahl der eingegangenen Registrierungen deutlich hinter den Erwartungen zurückbleibt.

Dafür gibt es mehrere Ursachen. Da nicht aktiv auf Unternehmen zugegangen wird, wissen viele schlicht nicht, dass sie betroffen sind. Die NIS-2-Richtlinie erfasst Organisationen ab 50 Beschäftigten oder mit mehr als 10 Millionen Euro Jahresumsatz in 18 verschiedenen Sektoren. Das BSI nimmt keine automatische Prüfung vor – jede Organisation muss selbst klären, ob sie dazugehört. Zweitens schrecken die weitreichenden Folgepflichten viele Unternehmen ab: Es geht nicht nur um eine einmalige Registrierung, sondern um laufende Meldepflichten und weitere Risikomanagement-Vorgaben. Das Bewusstsein für mögliche hohe Strafzahlungen und eben die persönliche Haftung der Geschäftsführung bei verpasster Unternehmensregistrierung scheint nicht vorhanden zu sein.

Ein weiterer Grund ist der massiv erweiterte Anwendungsbereich. Betroffen sind nicht mehr nur klassische kritische Infrastrukturen (KRITIS), sondern ein breites Spektrum an Sektoren und Tätigkeiten. Dadurch kommt man eventuell nicht auf die Idee, zur kritischen Infrastruktur zu gehören. Die Gesetzesbegründung geht von rund 30.000 betroffenen Unternehmen aus – tatsächlich dürfte die Zahl deutlich höher liegen.

Plötzlich betroffen: drohen unmittelbare Strafen?

Besonders tückisch: Die Betroffenheit ergibt sich oft nicht aus dem unmittelbaren Tätigkeitsfeld. Wer etwa anderen Konzerngesellschaften IT-Anwendungen wie Confluence oder Microsoft bereitstellt, gilt bereits als Anbieter von Managed Services. Wer einen eigenen Online-Shop betreibt und auch Dritten erlaubt, darüber Waren zu vertreiben, gilt als Betreiber eines Online-Marktplatzes im Sinne von NIS2. In beiden Fällen werden Mitarbeiter und Umsätze verbundener Unternehmen dabei für die NIS2-Betroffenheit in der Regel mitgezählt.

Dass das BSI nach Fristablauf nicht sofort mit Sanktionen vorgeht, ist zwar eine vorübergehend beruhigende Nachricht – sie ist jedoch keine Einladung zum Abwarten. Das BSI hat nach Ablauf der Registrierungsfrist angekündigt, nicht registrierte Unternehmen aktiv zu identifizieren. Die Behörde kann betroffene Einrichtungen zur Registrierung auffordern und bei Nichtbefolgung Bußgelder verhängen.

Nachfolgend wird in 4 Schritten dargestellt, wie eine NIS2-Betroffenheit identifiziert werden kann und was im Anschluss umzusetzen ist.

Schritt 1: Betroffenheit prüfen und intern klären

Der erste und wichtigste Schritt für jedes Unternehmen ist die Beantwortung der Frage: „Fallen wir unter das Gesetz?” Diese Selbstprüfung ist keine Kür, sondern gesetzliche Pflicht – und sie muss gründlich erfolgen.

NIS2 gilt für Unternehmen ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz in 11 wesentlichen Sektoren sowie ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in 7 weiteren wichtigen Sektoren. Die 18 Sektoren und Schwellenwerte sind komplex, und die Abgrenzung zwischen wichtigen und besonders wichtigen Einrichtungen ist nicht trivial. Deshalb empfiehlt es sich, die Betroffenheitsprüfung auf der BSI-Website zu nutzen und im Zweifel rechtliche Beratung hinzuzuziehen.

Besondere Aufmerksamkeit verdient die sogenannte mittelbare Betroffenheit: Auch Dienstleister und Zulieferer kritischer Infrastrukturen können als NIS2-reguliert eingestuft werden, selbst wenn sie nicht unmittelbar in einem KRITIS-Sektor tätig sind. Unternehmen sollten daher auch prüfen, ob ihre Kunden oder Auftraggeber selbst NIS2-pflichtig sind und entsprechende Anforderungen an sie weitergeben.

Für die interne Klärung empfiehlt sich ein strukturierter Workshop auf Leitungsebene, bei dem Sektor, Unternehmensgröße und Rolle in der Lieferkette gemeinsam bewertet werden. Ein solcher Workshop sollte durch die zuständige Stelle im Unternehmen angestoßen werden, wie etwa der Compliance Abteilung. Das Ergebnis sollte schriftlich dokumentiert werden – denn im Falle einer späteren BSI-Prüfung muss diese Selbsteinschätzung lückenlos nachvollzogen werden können.

Schritt 2: BSI-Registrierung durchführen – der Einstieg in die Compliance

Wer festgestellt hat, dass sein Unternehmen unter NIS2 fällt, muss sich unverzüglich beim BSI registrieren. Das BSI stellt seit dem 6. Januar 2026 ein neu entwickeltes Portal bereit, das unter anderem auch als zentrale Meldestelle für erhebliche Sicherheitsvorfälle dient. Die Registrierung für NIS-2-Meldungen erfolgt zweistufig.

Technisch läuft die NIS2-Registrierung über ein ELSTER-Organisationszertifikat ab, mit dem man sich gegenüber „Mein Unternehmenskonto” (MUK) authentifiziert. Dieses Zertifikat dient als digitaler Identitätsnachweis des Unternehmens, die damit verknüpften Stammdaten werden später ins BSI-Portal übernommen. Viele Unternehmen besitzen bereits ein ELSTER-Organisationszertifikat aus Steuer- oder Verwaltungsprozessen – in diesen Fällen ist kein neues Zertifikat erforderlich.

Für die Registrierung im BSI-Portal werden unter anderem Unternehmensgröße und Rechtsform, eine NIS2-Kontaktstelle sowie die Zuordnung zu Sektor und zuständiger Bundesbehörde abgefragt. Alle Angaben sind aktuell zu halten und spätestens zwei Wochen nach Änderungen im Portal zu aktualisieren.

Wichtig: Die Registrierung ist kein Abschluss, sondern ein Anfang. Sie ist die Grundlage dafür, dass das BSI das Unternehmen als NIS2-regulierte Einrichtung führt und dass Vorfälle gemeldet werden können. Danach kann den weiteren Pflichten aus dem BSI-Gesetz (BSIG) nachgekommen werden.

Schritt 3: Technische und organisatorische Maßnahmen umsetzen

Nach der Registrierung beginnt die eigentliche inhaltliche Arbeit: die Umsetzung der gesetzlich vorgeschriebenen Sicherheitsmaßnahmen. Da das Gesetz keine Übergangsfristen für die technischen und organisatorischen Maßnahmen nach § 30 BSIG vorsieht, müssen diese bereits seit dem 6. Dezember 2025 implementiert sein. Diese Maßnahmen gleichen denen aus Artikel 21 der NIS2-Richtlinie. Ein zu langes Abwarten kann bereits als Organisationsverschulden gewertet und mit Strafgebühren sanktioniert werden.

NIS2 fordert im Kern ein Informationssicherheitsmanagementsystem (ISMS). Wer ISO 27001 bereits umsetzt, deckt erfahrungsgemäß 70 bis 80 Prozent der Anforderungen ab. Wer noch kein ISMS hat, sollte jetzt unverzüglich mit dem Aufbau beginnen.

Besonderes Augenmerk verdient die Lieferkettensicherheit: Unternehmen müssen die Cybersicherheit ihrer Zulieferer und Dienstleister aktiv managen und vertraglich absichern. Das betrifft auch Unternehmen, die selbst nicht unter NIS2 fallen, aber als Zulieferer regulierter Einrichtungen arbeiten – ein indirekter Betroffenenkreis, der die 29.500 Einrichtungen noch deutlich übersteigt.

Schritt 4: Meldeprozesse und Governance etablieren

Ein oft unterschätzter Baustein der NIS2-Compliance sind die Meldepflichten und die Governance-Anforderungen. Die Pflicht, erhebliche Sicherheitsvorfälle unverzüglich zu melden, gilt seit dem 6. Dezember 2025 – unabhängig vom Stand der Registrierung. Unternehmen dürfen nicht abwarten, bis das BSI-Portal verfügbar oder die Registrierung abgeschlossen ist.

Der Meldeprozess folgt einem festen Dreistufenmodell: Eine Frühwarnung innerhalb von 24 Stunden, eine Detailmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats – diese Maximalfristen sind verbindlich einzuhalten. Wer keinen dokumentierten Incident-Response-Plan hat, wird diese Fristen im Ernstfall nicht einhalten können. Hier empfiehlt sich auch die Etablierung eines Security Event & Incident Management Systems (SIEM).

Auf Leitungsebene gelten besondere Pflichten: Leitungsorgane müssen NIS2-spezifische Schulungen absolvieren, die selbstverständlich über ein Schulungskonzept erst erarbeitet werden müssen. Zusätzlich sind Schulungsangebote für alle Mitarbeitenden Pflicht – nicht als einmalige Veranstaltung, sondern als kontinuierliches Programm, welches natürlich auch dokumentiert werden muss. Die Pflicht zur Teilnahme an Schulungen und die persönliche Haftung für die Überwachung der Risikomanagementmaßnahmen nach § 38 BSIG gilt seit dem 6. Dezember 2025.

Fazit

Die niedrige Registrierungsquote von gerade einmal 38,5 Prozent zum Stichtag ist ein deutliches Warnsignal: Ein Großteil der betroffenen Unternehmen in Deutschland hat NIS2 entweder falsch eingeschätzt oder schlicht nicht auf dem Radar. Die Unwissenheit schützt dabei nicht vor Konsequenzen.

Viele Geschäftsführer wissen bis heute nicht, ob ihr Unternehmen betroffen ist – und riskieren damit nicht nur Bußgelder, sondern auch die persönliche Haftung nach § 38 BSIG. Wer die Registrierungsfrist verpasst hat, sollte diese sofort nachholen – das BSI-Portal ist weiterhin geöffnet, und eine verspätete Registrierung zeigt zumindest guten Willen.

Die eigentliche Botschaft von NIS2 ist jedoch eine grundlegendere: Cybersicherheit ist kein IT-Thema, sondern Chefsache. Unternehmen, die jetzt strukturiert vorgehen – Betroffenheit prüfen, sich registrieren, ein ISMS aufbauen, Meldeprozesse etablieren, Resilienz aufbauen – schützen nicht nur sich selbst vor Bußgeldern und Haftungsrisiken, sondern auch ihre Geschäftsbeziehungen und ihre Reputation. Denn der Druck zur Compliance kommt nicht nur vom BSI, sondern zunehmend auch aus der Lieferkette selbst: Wer keine NIS2-Konformität nachweisen kann, riskiert den Verlust wichtiger Geschäftspartner.

Eine Ausschreibung von IT-Hardware für ein Unternehmen bzw. den öffentlichen Sektor durchzuführen, klingt zunächst simpel: Man braucht Laptops, Monitore, Smartboards oder Server – also schreibt man aus, vergleicht Preise und bestellt. In der Realität und insbesondere im öffentlichen Sektor ist die Sache häufig komplexer. Ausschreibungsunterlagen müssen einerseits glasklar beschreiben, was benötigt wird, andererseits (im öffentlichen Sektor) produktneutral bleiben und dürfen den Wettbewerb nicht unzulässig einschränken. Nur so lässt sich wirtschaftlich einkaufen. Gleichzeitig sollen sie so präzise sein, dass möglichst wenige Bieterfragen entstehen – denn jede Rückfrage kostet Zeit, erhöht den Koordinationsaufwand und kann im schlechtesten Fall zu Fristverlängerungen und im öffentlichen Sektor zu Rügen oder einer Aufhebung des Verfahrens führen. Dieser Artikel beleuchtet typische Schwierigkeiten bei der Gestaltung von Ausschreibungsunterlagen und zeigt praxisnahe Wege, wie Leistungsbeschreibungen und Vergabeunterlagen so aufgebaut werden können, dass sie klar, marktoffen, nachfragearm sind und wirtschaftliche Preise sicherstellen.

Gerade bei IT-Hardware ist die Gefahr hoch: Schnelllebige Produktzyklen, unterschiedliche Konfigurationslogiken, Kompatibilitätsfragen, Lieferkettenrisiken und heterogene Bestandslandschaften treffen insbesondere im öffentlichen Sektor auf ein Regelwerk, das Transparenz, Gleichbehandlung und Wettbewerb sicherstellen soll.

Abbildung 1: Worauf kommt es an?

Der Kernkonflikt: Präzise Bedarfslage versus produktneutrale Ausschreibung

Die wichtigste Herausforderung lässt sich in einem Satz zusammenfassen: Je genauer die Anforderungen, desto größer das Risiko einer indirekten Produktfestlegung – je offener die Formulierung, desto größer das Risiko von Missverständnissen und Bieterfragen. Dies gilt nicht nur für den öffentlichen Sektor, sondern auch für private Unternehmen: Die Festlegung auf ein konkretes Produkt schafft weniger Konkurrenz und damit schlechtere Einkaufspreise.

Bei Hardware zeigt sich das besonders deutlich. Ein konkreter Akku-Wert, ein spezieller Port-Mix oder eine bestimmte Docking-Station kann faktisch nur von wenigen Modellen erfüllt werden. Andererseits führen schwammige Vorgaben („aktueller Business-Laptop“) zu Interpretationsspielräumen, die zu nicht vergleichbaren Angeboten führen. Und wenn am Ende Angebote eingehen, die formal passen, aber im Betrieb nicht funktionieren (Treiber, Management-Tools, Kompatibilität), ist die Beschaffungsstelle in der Zwickmühle.

Die Kunst der Unterlagen liegt deshalb darin, Anforderungen auf Funktion, Leistung und Einsatzszenario zu beziehen – und nicht auf ein konkretes Modell. Das bedeutet: weg von „genau dieses Gerät“, hin zu „diese Leistungsfähigkeit im definierten Umfeld“.

Bedarf und Einsatzszenario sauber beschreiben – bevor man technische Werte festlegt

Viele Ausschreibungsverfahren erzeugen Nachfragen, weil der Bedarf nur als Liste technischer Mindestwerte formuliert ist, ohne den Kontext zu erklären. Dabei reduziert eine gute Beschreibung der Ausgangslage Rückfragen erheblich, weil Anbieter verstehen, wofür die Hardware gedacht ist und welche Anforderungen zwingend sind.

Praktisch bedeutet das die Beschreibung von folgenden Punkten:

• Nutzungsprofile
  z.B. Office/Standard, Power-User, Mobile/Field-Work, Entwickler, Grafik/CAD, Schulungsräume
• Betriebsmodell
  z.B. zentraler Rollout, Auto-Pilot/Imaging, Geräteverwaltung via Mobile Device-Management/Endpoint-Management, On-Prem/Cloud-Anbindung
• Bestandsumgebung
  z.B. vorhandene Docking-Stations/Monitore, Peripherie, Zertifikate, Smartcards, WLAN-Standards
• Mengengerüst und Laufzeit
  z.B. Abrufmengen, Rahmenvertrag, Erweiterungsoptionen
• Service- und Austauschlogik
  z.B. Vor-Ort-Service, Next-Business-Day, Bring-In, Ersatzteilverfügbarkeit, Ersatzgerätepool

Wenn diese Punkte klar sind, lassen sich technische Anforderungen gezielter und marktgerechter formulieren – und die Zahl der „Bitte präzisieren Sie…“-Fragen der Bieter sinkt spürbar.

Produktneutral, aber eindeutig: Leistungsbeschreibung ohne versteckte Markenbindung

Produktneutralität heißt nicht, dass man keine Anforderungen stellen darf – sondern dass Anforderungen sachlich gerechtfertigt und wettbewerbsoffen sind.

Bei Hardware sollten beispielsweise die folgenden Punkte vermieden werden:

• Markentypische Begriffe („MagSafe“, „ThinkPad-Dock“, „iGPU-Feature X“) ohne funktionales Pendant
• Zu enge Grenzwerte (z. B. „genau 1,35 kg“, „genau 16:10 und 2560×1600“, „genau Portkombination A+B+C“)
• Anforderungslisten ohne Priorisierung (alles „MUSS“)

Solche Vorgaben wirken oft wie ein verdeckter Modellfilter und führen zum Ausschluss vieler Angebote sowie einer Erhöhung des Aufhebungsrisikos.

Hier ist es besser, funktional zu beschreiben.

Statt „USB-C Dock Modell XYZ“ besser: „Dockinglösung, die Stromversorgung, Datenübertragung und Bildausgabe über eine kabelgebundene Verbindung ermöglicht; kompatibel mit den angebotenen Endgeräten; unterstützt mindestens zwei externe Displays im definierten Auflösungs-/Hz-Bereich.“

Wenn eine Nennung eines Fabrikats ausnahmsweise unvermeidbar ist (z. B. wegen vorhandener Infrastruktur), gehört in die Unterlagen eine klare Gleichwertigkeitsregel. Das reduziert Rückfragen und schützt im öffentlichen Sektor vor Rügen, weil Bieter nachvollziehen können, wie Gleichwertigkeit bewertet wird.

Mindestanforderungen, Soll-Kriterien und Ausschlusslogik: Weniger ist oft mehr

Ein typischer Grund für Bieterfragen sind überladene Muss-Kataloge. Je mehr Muss-Kriterien, desto mehr Interpretationsbedarf entsteht („zählt das auch?“, „wie wird gemessen?“, „welcher Nachweis?“).

Hier sind einige Empfehlungen für eine robuste Anforderungsstruktur:

• MUSS-Kriterien nur für wirklich betriebsnotwendige Punkte (z. B. Security-Funktionen, Management-Fähigkeit, bestimmte Schnittstellen, Mindestleistung für definierte Anwendungen).
• SOLL-Kriterien für Komfort, Zukunftsfähigkeit und Differenzierung im Wettbewerb.
• KANN-Kriterien für Add-ons oder Varianten, die separat bepreist werden.

Im öffentlichen Sektor ist eine eindeutige Ausschlusslogik zu formulieren:

• Wann wird ein Angebot ausgeschlossen? (nur bei Nichterfüllung von Muss-Kriterien)
• Wie werden Soll-Kriterien bewertet? (Punkte, Gewichtungen, klare Skalen für die Punktevergabe)

Je transparenter diese Logik ist, desto weniger Rückfragen kommen auf und desto geringer das Risiko, dass die Wertung angreifbar wird.

Vergleichbarkeit herstellen: Konfigurationen, Zubehör, „versteckte“ Leistungsbestandteile

Bei der Ausschreibung von IT-Hardware entstehen viele Rückfragen nicht wegen CPU oder RAM, sondern wegen Randthemen, die in der Praxis entscheidend sind:

• Netzteile (Leistung, Anzahl, EU-Stecker, Ersatznetzteil ja/nein)
• Tastatur-Layout (DE), Touch/Non-Touch, Stift-Support
• Garantiebedingungen (Laufzeit, Reaktionszeit, Abwicklung)
• Imaging/Autopilot-Bereitstellung, Treiberpakete, BIOS-Konfigurierbarkeit
• Nachhaltigkeit/Verpackung/Rückgabe
• Kompatibilität mit vorhandenen Monitoren, Docks, Zertifikaten

Hier empfiehlt es sich, ein eigenes Kapitel „Lieferumfang und Nebenleistungen“ mit klaren Vorgaben zu erstellen:

• „Pro Gerät: Netzteil, mind. X m Kabel, deutsche Tastatur, Seriennummernliste, Asset-Tags nach Vorgabe, BIOS-Konfiguration gemäß Profil, Dokumentation der Treiberversionen.“
• „Zubehör in separaten Positionen“ (Dock, Monitor, Tasche, Adapter), damit Angebote vergleichbar bleiben.

Je klarer der Lieferumfang, desto weniger Fragen wie etwa „Ist Adapter XY enthalten?“ kommen auf und desto geringer die Gefahr, dass Bieter unterschiedliche Annahmen kalkulieren und Angebote am Ende nicht vergleichbar sind.

Zuschlagskriterien so formulieren, dass sie nicht angreifbar sind

Oft kommt es vor, dass Unterlagen zwar technisch sauber sind, die Zuschlagskriterien aber zu schwammig („Qualität“, „Service“, „Nachhaltigkeit“) und ohne Bewertungsmethodik aufgeführt sind. Das führt zu Rückfragen und erhöhtem Konfliktpotenzial mit den Bietern.

Zuschlagskriterien müssen das Folgende leisten:

• Sie müssen messbar oder zumindest nachvollziehbar bewertbar sein
• Gewichtungen müssen klar sein
• Der Bewertungsmaßstab muss bei Angebotsabgabe ebenfalls vorliegen
• Gewünschte Nachweise müssen benannt sein (Datenblätter, Zertifikate, SLA-Dokumente etc.)

Beispiele für klare Kriterien:

• Energieeffizienz/Umweltlabels (definierte akzeptierte Nachweise)
• Servicelevel (Reaktionszeit, Reparaturzeit, Abwicklungskanal)
• Lieferfähigkeit (verbindliche Lieferfristen, Pönalen bei Verzug)
• Total Cost of Ownership-Elemente (Garantieverlängerung, Ersatzteilpreise, Standardzubehör)

Je konkreter die Bewertungslogik, desto weniger Nachfragen kommen auf. Gleichzeitig sinkt das Risiko, dass die Wertung später als „intransparent“ kritisiert wird.

Bieterfragen minimieren: Typische Ursachen und Gegenmaßnahmen

Um möglichst wenige Nachfragen zu erzeugen, lohnt es sich, die häufigsten Ursachen zu betrachten und bei der Erstellung der Ausschreibungsunterlagen zu vermeiden.

Häufige Auslöser von Rückfragen sind etwa:

• Widersprüche zwischen Leistungsbeschreibung, Preisblatt, Vertragsentwurf und Anlagen
• Unklare Begrifflichkeiten („gleichwertig“, „kompatibel“, „Business-Klasse“)
• Fehlende Mengengerüste oder unklare Abruflogik in Rahmenverträgen
• Unvollständige Leistungsverzeichnisse (z. B. fehlende Zubehörpositionen)
• Unklare Nachweis-Forderungen (was muss konkret eingereicht werden und in welcher Form?)

Gegenmaßnahmen, die hier entgegenwirken:

• Konsistenzcheck:
  Einmal querlesen mit „Bieterbrille“ (am besten durch eine Person, die nicht am Text mitgeschrieben hat).
• Begriffsdefinitionen:
  Ein Glossar oder ein Abschnitt „Definitionen und Nachweise“.
• Beispielkonfigurationen:
  Für jedes Nutzungsprofil eine Beispielkonfiguration, damit klar ist, was gemeint ist.
• Preisblatt optimieren:
  Keine Mischpositionen; klare Einheit (Stück, Set, Jahr), klare Optionslogik.
• Abnahme- und Testkriterien:
  Was gilt als erfüllt? Welche Tests sind vorgesehen (z. B. Docking mit zwei Monitoren, WLAN-Roaming, Gerätemanagement)?.

Die häufigsten Ursachen für eine Aufhebung

Eine Aufhebung ist selten „Pech“, sondern oft die Folge struktureller Probleme, die bereits beim Erstellen der Ausschreibungsunterlagen entstehen. Typische Ursachen sind:

• Kein wirtschaftliches Ergebnis (Budget/Marktpreis klaffen auseinander)
• Zu geringe Konkurrenz (zu detaillierte Muss-Kriterien, unnötige Ausschlüsse)
• Wertungsprobleme (intransparente oder widersprüchliche Zuschlagskriterien)
• Formale Fehler (fehlende Angaben, falsche Fristen, unklare Eignungskriterien)

Wie man das Aufhebungsrisiko bei der Gestaltung der Ausschreibungsunterlagen senkt:

• Markterkundung/Marktsichtung im Vorfeld (ohne sich auf ein Produkt festzulegen):
  Welche Leistung ist marktüblich? Welche Bandbreiten sind realistisch?
• Anforderungen priorisieren:
  Muss-Kriterien auf das Notwendige begrenzen, Soll-Kriterien für Differenzierung nutzen.
• Mögliche Änderungen beachten:
  Auch bei schnelllebiger Hardware sind Rahmenverträge häufig sinnvoll – allerdings nur, wenn ein Produktwechsel/Refresh sauber geregelt ist (z. B. Nachfolgemodelle als gleichwertig, Preislogik).
• Faire Eignungskriterien:
  Keine überzogenen Anforderungen vorgeben (z. B. Referenzen so formulieren, dass marktüblich viele Anbieter sie erfüllen können, ohne die Qualität zu gefährden).
• Interne Freigaben vor Veröffentlichung:
  Budget, Bedarf, IT-Architektur, Security, Datenschutz, Betrieb – alles vorab abgestimmt. Viele Aufhebungen entstehen, weil intern nach Veröffentlichung neue Anforderungen gestellt werden.

Fazit

Gute Ausschreibungsunterlagen für IT-Hardware sind weniger ein „Datenblatt-Abschreiben“, sondern eine Disziplin aus Bedarfsanalyse, marktoffener Leistungsbeschreibung, eindeutiger Bewertungslogik und sauberer Konsistenzarbeit. Die größten Schwierigkeiten entstehen dort, wo Anforderungen entweder zu eng (produktähnlich) oder zu vage (interpretierbar) formuliert werden. Wer stattdessen konsequent vom eigenen Einsatzszenario ausgeht, Muss-Kriterien schlank hält, Gleichwertigkeit prüfbar definiert und Lieferumfang sowie Nachweise klar regelt, erreicht vier zentrale Ziele gleichzeitig: weniger Bieterfragen, bessere Vergleichbarkeit der Angebote, ein deutlich geringeres Risiko einer Aufhebung (im öffentlichen Sektor) und wirtschaftliche Preise.

Das NIS2-Umsetzungsgesetz war noch keinen Monat in Kraft, als die Notwendigkeit solcher Richtlinien mehr als deutlich wurde. Anfang Januar 2026 hat ein Brand auf einer Kabelbrücke in Berlin die Stromversorgung in mehreren Stadtteilen tagelang unterbrochen – mit Folgen, die weit über „kein Licht“ hinausgehen: Heizung, Internet, Mobilfunk, Kassen- und Logistiksysteme, Pflegeeinrichtungen und betriebliche Abläufe gerieten schnell unter Druck. Dieser Brandanschlag ist vor allem ein physischer Angriff. Aber er zeigt, wie eng physische Infrastruktur und digitale Abhängigkeiten inzwischen ineinandergreifen – und warum das NIS2-Umsetzungsgesetz nicht als „reines IT-Thema“ verstanden werden sollte. Denn NIS2 zielt auf ein höheres gemeinsames Sicherheitsniveau für Netz- und Informationssysteme, gerade dort, wo Ausfälle gesellschaftlich besonders teuer werden: Energie, Gesundheit, Verkehr, digitale Infrastruktur und öffentliche Verwaltung.

Was ist NIS2 – und warum brauchte es ein Umsetzungsgesetz?

NIS2 ist die EU-Richtlinie (EU) 2022/2555. Sie ersetzt die frühere NIS-Richtlinie und verschärft Pflichten, Aufsicht und Sanktionen. Wichtig: Als Richtlinie gilt sie nicht „automatisch“ in jedem Mitgliedstaat, sondern muss in nationales Recht übertragen werden. Dafür gab es eine verbindliche Umsetzungsfrist: bis 17. Oktober 2024.

Deutschland hat diese Umsetzung mit einem Jahr Verspätung mit einem entsprechenden Gesetzespaket vorgenommen. Ziel ist ausdrücklich, die Abwehrfähigkeit von wichtigen Einrichtungen zu stärken, Meldepflichten zu konkretisieren und europaweit einheitlichere Standards zu schaffen. Das Gesetz trat am 6. Dezember 2025 in Kraft.

Was ändert das NIS2-Umsetzungsgesetz in Deutschland konkret?

Das NIS2-Umsetzungsgesetz ist kein einzelner „IT-Paragraf“, sondern erweitert und ordnet einen ganzen Rahmen neu. In der Begründung des Gesetzes wird sehr klar gemacht, worum es geht: Resiliente Infrastruktur im physischen und digitalen Bereich, gestiegene Bedrohungen (Sabotage, Hacktivismus, Lieferkettenangriffe) und der Bedarf an verbindlicheren Mindestanforderungen.

Zentrale Bausteine sind u. a.:

• Neue Kategorien betroffener Einrichtungen (insb. „wesentliche“ bzw. in Deutschland „besonders wichtige“ sowie „wichtige“ Einrichtungen) – und damit eine spürbare Ausweitung gegenüber dem bisherigen Fokus auf klassische KRITIS-Betreiber.
• Mindestmaßnahmen-Katalog: Die (EU-weit vorgegebenen) Mindestsicherheitsanforderungen werden ins nationale Recht überführt und nach Kategorien abgestuft.
• Mehr Aufsichtsbefugnisse für das BSI und weiteren zuständigen Stellen sowie ein verbindlicherer Rahmen für die Bundesverwaltung (inkl. IT-Grundschutz-Orientierung und Koordination).

Das NIS2-Umsetzungsgesetz reiht sich ein in die Liste der deutschen IT-Sicherheitsgesetze und hat darüber hinaus Einfluss auf das BSI-Gesetz sowie weitere KRITIS relevante Gesetze. Einen Überblick geben die Abbildungen 1 und 2.

Kurz gesagt: NIS2 macht aus „Best Effort“ in vielen Bereichen eine nachweis- und prüfbare Pflicht.

Wer ist betroffen – nicht nur „Mehr Unternehmen“

Die Bundesregierung betont, dass NIS2 mehr Unternehmen und Branchen zu einheitlichen Sicherheitsstandards verpflichtet, insbesondere in zentralen Versorgungsbereichen wie Energie, Gesundheit und Infrastruktur.

Praktisch bedeutet das: Betroffen sind nicht nur die „üblichen Verdächtigen“ der KRITIS-Welt, sondern auch viele mittelgroße Organisationen in definierten Sektoren – plus bestimmte digitale Dienste (z. B. Cloud-/Rechenzentrumsleistungen, Managed Services etc., je nach genauer Einordnung).

Eine detaillierte Übersicht, wer in welchem Bereich betroffen ist, haben wir in einem früheren NIS2-Artikel aufgelistet.

Pflichten aus NIS2: Mehr als nur Firewall und Antivirus

NIS2 verlangt ein systematisches Sicherheits- und Risikomanagement. Der Maßnahmenkatalog, wie er im Gesetzentwurf abgebildet ist, liest sich wie eine „To-do-Liste moderner Resilienz“ – und zwar ausdrücklich inklusive Betriebskontinuität, Lieferkette und Notfallkommunikation. Dazu zählen u. a.:

• Risikoanalyse- und Sicherheitskonzepte
• Aufrechterhaltung des Betriebs: Backup-Management, Wiederherstellung nach Notfall, Krisenmanagement
• Schwachstellenmanagement & Offenlegung
• Sicherheit im Betrieb (MFA, Verschlüsselung etc.)

Eine detailliertere Darstellung des Maßnahmenkatalogs ist einem unserer früheren NIS2-Artikel zu finden.

Was viele unterschätzen: Punkte wie etwa Backup/Wiederanlauf/Krisenmanagement sind in der IT auch dann betroffen, wenn es sich wie in Berlin um einen physischen Angriff handelt. Ohne Strom laufen irgendwann auch USVs leer, Mobilfunkstandorte fallen aus, Netzknoten verlieren Versorgung, Rechenzentren schalten in Notbetrieb – und plötzlich ist ein „IT-Vorfall“ da, obwohl kein Hacker je ein Passwort gesehen hat.

Der EU Data Act ergänzt diese Bausteine, indem er die technische und vertragliche Grundlage für fairen, transparenten Datenaustausch legt – besonders zugunsten von KMU, die so leichter Zugang zu wertvollen Datensätzen erhalten und neue Geschäftsmodelle entwickeln können.

Melde- und Registrierungspflichten

NIS2 verschärft die Verbindlichkeit und Geschwindigkeit der Kommunikation bei erheblichen Sicherheitsvorfällen mit einem dreistufigen Ablauf:

1. spätestens innerhalb von 24 Stunden nach Kenntnis: frühe Erstmeldung (inkl. Einschätzung, ob böswillig/rechtswidrig und ob grenzüberschreitende Auswirkungen möglich sind)
2. spätestens innerhalb von 72 Stunden nach Kenntnis: qualifiziertere Meldung mit erster Bewertung, Schweregrad, Auswirkungen, ggf. Indikatoren
3. spätestens einen Monat nach der 72h-Meldung: Abschlussmeldung mit detaillierter Beschreibung, Ursache/Bedrohungsart, Abhilfemaßnahmen, ggf. grenzüberschreitende Auswirkungen

Gleichzeitig wurde eine gemeinsame Meldestelle vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtet (u. a. mit Beteiligung von BSI), was die Verzahnung von Cyber- und Krisenmanagement unterstreicht.

Aufsicht, Sanktionen und Geschäftsleitung: NIS2 wird „Chefsache“

NIS2 ist nicht nur technisch, sondern auch Governance-getrieben: Pflichten sollen nicht „irgendwo in der IT“ versanden, sondern von oben getragen und überwacht werden. Das zeigt sich im deutschen Gesetzestext u. a. durch explizite Regelungen zur Verantwortung von Geschäftsleitungen in bestimmten Bereichen: Umsetzungs- und Überwachungspflichten, Schulungspflichten sowie eine Haftungsanbindung an gesellschaftsrechtliche Regeln werden im Gesetzestext adressiert.

Bei Verstößen drohen zudem empfindliche Sanktionen. Auf EU-Ebene sieht NIS2 für Verstöße gegen zentrale Pflichten (u. a. Risikomanagement und Meldungen) Mindestobergrenzen für Geldbußen vor – z. B. für wesentliche Einrichtungen mindestens 10 Mio. EUR oder 2 % des weltweiten Umsatzes (je nachdem, was höher ist) und für wichtige Einrichtungen mindestens 7 Mio. EUR oder 1,4 %.

Die Botschaft dahinter ist klar: NIS2 will Wirkung – nicht nur Dokumentation.

Der Brandanschlag in Berlin als Realitätscheck

Beim Berliner Vorfall wurde deutlich, wie schnell sich ein physischer Angriff zu einer systemischen Störung auswachsen kann. Zeitweise waren laut Berichten rund 45.000 Haushalte und 2.200 Betriebe betroffen; zudem ging es eben nicht nur um Strom, sondern auch um Wärme und Kommunikation.

Genau hier trifft NIS2 einen Nerv: Viele NIS2-Maßnahmen sind darauf ausgelegt, Ketteneffekte zu begrenzen – etwa durch Wiederanlaufkonzepte, Notfallkommunikation, Lieferkettenkontrollen und Krisenmanagement.

Für Energie- und Versorgungsunternehmen (und alle, die davon abhängen) heißt das konkret:

• IT (Telekommunikation, Wartungszugänge) und OT (Leitstellen, Sensorik, Netzbetrieb) als Gesamtsystem betrachten.
• Blackout-Szenarien in Business-Continuity-Planung aufnehmen: Was passiert nach 2, 6, 24, 72 Stunden ohne stabile Versorgung?
• Kommunikationsfähigkeit als eigene Sicherheitsanforderung behandeln (interne Notfallkommunikation, Out-of-band-Kanäle).
• Krisenübungen nicht als Pflichtübung, sondern als Funktionstest verstehen: Wer entscheidet, wer informiert, wer dokumentiert, wer meldet – und wie schnell?

Der Berliner Brandanschlag ist ein drastisches Beispiel dafür, warum „kritische Infrastruktur schützen“ nicht nur Zaun und Wachschutz bedeutet – aber eben auch nicht nur Patchmanagement.

Praxis-Fahrplan: So starten Organisationen jetzt sinnvoll

Wer potenziell unter NIS2 fällt, sollte pragmatisch vorgehen:

• Eigene Betroffenheit klären: Sektor/Leistung, Rolle, Größe, ggf. konzernweite Einordnung.
• Gap-Analyse gegen den Maßnahmenkatalog: Was ist bereits im ISMS/ITSM vorhanden – und was fehlt (z. B. Lieferkettenrisiken, Notfallkommunikation, Schwachstellenprozesse)?
• Meldeprozesse „24h-ready“ machen: Entscheiderkette, Incident-Kriterien, Vorlagen, Kontaktpunkte, Beweis- und Log-Sicherung, Kommunikationsregeln.
• Registrierungspflichten operationalisieren (Datenpflege, Änderungen, Verantwortlichkeiten, Fristen).

Management einbinden: Reporting, Schulung, Verantwortungs- und Budgetklarheit – weil NIS2 eben Governance verlangt.

Fazit

Das NIS2-Umsetzungsgesetz macht Cybersicherheit und Resilienz in Deutschland durch einen klaren Maßnahmenkatalog, strikte Meldefristen, stärkere Aufsicht und spürbareren Sanktionen verbindlicher und schneller. Durch deutlich mehr betroffene Unternehmen und Organisationen ist auch die Aufstellung nun breiter.

Der Brandanschlag auf die Berliner Stromversorgung führt vor Augen, dass moderne Versorgungssicherheit nicht in Silos funktioniert. Egal ob die Ursache für eine Attacke oder einen Schaden physisch oder digital ist: Die Auswirkungen treffen fast immer beide Bereiche. Wer NIS2 nur als „Compliance-Projekt der IT-Abteilung“ behandelt, verfehlt den Kern. Wer es dagegen als Chance nutzt, Betrieb, Kommunikation, Lieferketten und Krisenfähigkeit messbar robuster zu machen, gewinnt – unabhängig davon, ob der nächste Störfall durch Malware oder durch Feuer ausgelöst wird.

Seit dem 12. September 2025 ist der EU Data Act offiziell in allen EU-Staaten gültig – ein Meilenstein für die digitale Transformation Europas und ein zentrales Element der EU-Datenstrategie. Die Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Verordnung (EU) 2023/2854) soll Daten als strategische Ressource besser nutzbar machen, ohne den Schutz von Personen und Geschäftsgeheimnissen aus den Augen zu verlieren. Der Data Act schafft verlässliche Regeln, die Verbraucherinnen und Verbraucher stärken, Unternehmen Planungssicherheit geben und Innovation in der europäischen Datenökonomie fördern.

Was regelt der EU Data Act – und für wen gilt er?

Der EU Data Act ist sektorübergreifend angelegt. Er adressiert Daten, die durch vernetzte Produkte und digitale Dienste entstehen – von IoT-Geräten in der Industrie über Fahrzeuge und Maschinen bis hin zu Smart-Home-Anwendungen und Wearables. Entscheidend ist nicht der Firmensitz, sondern ob Produkte oder Dienste in der EU angeboten werden. Damit gilt der Data Act auch für Anbieter außerhalb der EU, wenn sie den europäischen Markt bedienen.

Kernpunkte im Überblick, jeweils mit praktischer Wirkung:

Zugangsrechte für Nutzerinnen und Nutzer

Wer ein vernetztes Produkt nutzt, erhält das Recht auf Zugriff auf die dabei entstehenden Daten – leicht, sicher, in maschinenlesbaren Formaten und möglichst nahezu in Echtzeit. Diese Daten dürfen auf Wunsch auch an Dritte weitergegeben werden, etwa an Reparaturwerkstätten oder alternative Serviceanbieter. Ergebnis: mehr Wahlfreiheit und Wettbewerb.

Pflichten für Dateninhaber

Hersteller und Dienstleister müssen die Daten bereitstellen – einfach, sicher und für den Zugang selbst kostenfrei. Technisch setzt das interoperable Schnittstellen (APIs), dokumentierte Exporte und klare Berechtigungsprozesse voraus.

Cloud Switching ohne Lock-in

Anbieter von Datenverarbeitungsdiensten (z. B. Cloud-Plattformen) müssen Wechselprozesse zu anderen Anbietern erleichtern. Unfaire Vertragsklauseln – etwa überzogene Ausstiegsentgelte oder nicht exportierbare Formate – sind untersagt. Ziel ist Daten- und Workload-Portabilität und damit mehr Wettbewerb im Cloud-Ökosystem.

B2G-Datenzugang (Business-to-Government)

In Ausnahmesituationen wie Naturkatastrophen oder Pandemien dürfen öffentliche Stellen auf privat gehaltene Daten zugreifen, wenn das verhältnismäßig und gesetzlich abgesichert ist. So sollen Kriseninformationen schneller verfügbar werden.

Verbot unfairer Vertragsklauseln im B2B-Bereich

Der EU Data Act schützt insbesondere KMU vor missbräuchlichen Bedingungen, die Datenzugang oder Datennutzung unangemessen einschränken. Dadurch werden faire Verhandlungen in Datenpartnerschaften gefördert.

Data Act versus DSGVO: Ergänzung statt Konkurrenz

Oft wird gefragt, wie sich der EU Data Act zur Datenschutz-Grundverordnung (DSGVO) verhält. Die Antwort: Er ergänzt sie. Während die DSGVO den Schutz personenbezogener Daten regelt (Rechtsgrundlagen, Transparenz, Datensparsamkeit, Betroffenenrechte), schafft der Data Act die Rahmenbedingungen für Zugänglichkeit und Nutzung von – häufig technischen oder industriellen – Daten.

In der Praxis treffen beide Welten aufeinander, etwa bei IoT-Daten, die sowohl technische Messwerte als auch personenbezogene Informationen enthalten können. In solchen Fällen gilt: Die DSGVO hat Vorrang. Unternehmen müssen also weiterhin Rechtsgrundlagen sicherstellen, personenbezogene Daten minimieren, pseudonymisieren oder trennen und Zugriffsrechte sauber steuern. Der EU Data Act zwingt nicht zur Offenlegung personenbezogener Daten ohne DSGVO-Basis; er sorgt vielmehr dafür, dass Zugriff und Nutzung dort möglich werden, wo es rechtlich zulässig und technisch zumutbar ist.

Baustein der EU-Datenstrategie: Verknüpfung mit DGA, DSA/DMA und AI Act

Der Data Act ist Teil der EU-Datenstrategie (seit 2020), deren Ziel ein europäischer Binnenmarkt für Daten ist – mit mehr Innovation, offenen Standards und digitaler Souveränität. Dazu gehören weitere Rechtsakte:

• Data Governance Act (DGA): Schafft Vertrauen und Mechanismen für den Datenaustausch zwischen öffentlichen und privaten Akteuren.
• Digital Services Act (DSA) & Digital Markets Act (DMA): Regeln Plattformverantwortung und fairen Wettbewerb in digitalen Märkten.
• AI Act: Setzt Risikoklassen und Anforderungen für den Einsatz Künstlicher Intelligenz.

Der EU Data Act ergänzt diese Bausteine, indem er die technische und vertragliche Grundlage für fairen, transparenten Datenaustausch legt – besonders zugunsten von KMU, die so leichter Zugang zu wertvollen Datensätzen erhalten und neue Geschäftsmodelle entwickeln können.

Auswirkungen auf Unternehmen: Chancen, Pflichten, Wettbewerbsvorteile

Für Unternehmen eröffnet der EU Data Act konkrete Chancen: Mit Zugang zu Nutzungs- und Betriebsdaten lassen sich datengetriebene Services entwickeln – von vorausschauender Instandhaltung über Pay-per-Use-Modelle bis hin zu After-Sales-Ökosystemen mit Partnern. Gleichzeitig entstehen Pflichten: Verträge müssen überarbeitet, APIs bereitgestellt, Prozesse dokumentiert und Sicherheits- sowie Berechtigungskonzepte gestärkt werden. Wer frühzeitig investiert, kann sich strategisch positionieren – etwa durch kundenzentrierte Datenportale, transparente Service-Level-Agreements und klare Datenlizenzklauseln. Auch die Cloud-Strategie gehört auf den Prüfstand: Exit-Pläne, Interoperabilität und Multi-Cloud-Fähigkeit werden zum Wettbewerbsfaktor.

Vorteile für Verbraucherinnen und Verbraucher: Kontrolle, Transparenz, Wahlfreiheit

Für Nutzerinnen und Nutzer vernetzter Produkte bedeutet der EU Data Act mehr Kontrolle über die eigenen Daten und Transparenz über deren Verwendung. Praktischer Effekt: Wer sein Smart-Home-Gerät oder sein E-Bike wartet, kann Daten an den Dienstleister der Wahl freigeben, ohne an den Hersteller gebunden zu sein. Das stärkt Wettbewerb und Reparierbarkeit, reduziert Lock-in-Effekte und fördert vertrauenswürdige Innovation.

Fazit

Der EU Data Act markiert einen Wendepunkt: Er verschiebt den Fokus von isolierten Datensilos hin zu fairen Zugangs- und Nutzungsmodellen, die Innovation, Wettbewerb und Verbraucherschutz gleichermaßen berücksichtigen. Für Unternehmen bedeutet das Pflicht und Chance zugleich: Wer frühzeitig APIs, Portabilitätsprozesse und faire Verträge etabliert, schafft Vertrauen und Marktvorteile. Für Verbraucherinnen und Verbraucher bringt der Data Act Transparenz, Kontrolle und Wahlfreiheit. Zusammen mit DSGVO, DGA, DSA/DMA und dem AI Act ist er damit ein Schlüsselbaustein der digitalen Zukunft Europas – und ein deutliches Signal, dass die EU den Wert von Daten aktiv gestaltet.

Nachdem es in unserem ersten Blogartikel (April 2024) zur neuen EU-Richtlinie NIS2 um Grundlagen, Unterschiede zu NIS1 sowie der Lage bzgl. Gesetzgebung ging, liegen die Schwerpunkte diesmal auf folgenden Themen: Nach welchen Kriterien werden Unternehmen, die kritische Infrastruktur betreiben, kategorisiert? Welche Sanktionen sind potenziell möglich? Welche Maßnahmen, vor allem im Bereich Risikomanagement, sind von den betroffenen Unternehmen umzusetzen? Im folgenden Artikel geben wir hierzu einen Überblick. 

NIS2 Kategorisierung betroffener Unternehmen 

Mit Inkrafttreten der NIS2-Richtlinie müssen ab 2024 Unternehmen in 18 – statt bislang 9 – Industriesektoren, festgelegte Mindeststandards der Informationssicherheit umsetzen.  Dabei gelten die folgenden zwei Hauptkriterien für die Betroffenheit: 

1. Kriterium: Die Unternehmensgröße

Unternehmen mit mindestens 50 Mitarbeitenden und einem Jahresumsatz von über 10 Mio. Euro fallen unter den Anwendungsbereich der NIS-2-Richtlinie, wenn zusätzlich auch Kriterium 2 erfüllt ist. 

2. Kriterium: Der Unternehmenssektor

Ob eine Einrichtung unter die NIS 2 fällt, hängt zudem davon ab, ob sie zu einem der 18 definierten Unternehmenssektoren gehört. Der Unternehmenssektor ist das zweite ausschlaggebende Kriterium, zusätzlich zu der Unternehmensgröße. Sind beide Kriterien erfüllt, fällt eine Einrichtung unter die NIS2-Richtlinie. 

Sonderfälle bei der Kategorisierung 

Bei den Sektoren gibt es im Bereich der digitalen Infrastruktur Sonderfälle. Einige Betreiber sollen hier unabhängig von ihrer Größe reguliert werden. Für Firmen die zum Beispiel Domain-Name-Services oder Vertrauensdienste mit qualifiziertem Signaturmanagement anbieten, welche nach der NIS2 als äußert kritisch gelten, spielt die Unternehmensgröße keine Rolle. Auch kleine oder Kleinstunternehmen, die solche Dienste anbieten, gelten als besonders wichtige Einrichtungen – mit allen Pflichten, die daraus resultieren. Ein Überblick hierzu gibt Abbildung 1.

 

Abbildung 1: Sonderfälle bei Unternehmen der digitalen Infrastruktur 

 

NIS2 Sanktionen 

NIS2 unterteilt in elf „wesentliche“ („Essential“) Sektoren mit hoher Kritikalität sowie sieben „wichtige“ („Important“) Sektoren.  Die Unterscheidung zwischen „Essential“ und „Important“ bestimmt auch den Umfang der staatlichen Aufsicht und die Sanktionierungsmöglichkeiten bei Missachtung und Zuwiderhandlung der NIS2-Vorgaben.   

Für „wesentliche Einrichtungen“ können Sanktionen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen, wobei der höhere Betrag maßgeblich ist. Bei „wichtigen Einrichtungen“ belaufen sich Bußgelder auf bis zu sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, ebenfalls basierend auf dem höheren Betrag​.  

Es wird zwischen fahrlässigem und vorsätzlichem Verschulden unterschieden, ohne eine Differenzierung zwischen „wesentlichen“ („Eessential“) bzw. „wichtigen“ („important“) Sektoren​. Schon Fahrlässigkeit kann dann zum Beispiel zu einem persönlichen Haften des Geschäftsführers führen. 

Von NIS2 ausgenommene Unternehmen 

Ein Unternehmen, das eigentlich betroffen sein müsste, kann auch gänzlich von der NIS2 ausgenommen sein. Die NIS2-Richtlinie gilt nicht für Einrichtungen in den Bereichen Verteidigung oder nationale Sicherheit, öffentliche Sicherheit sowie Strafverfolgung. Auch Justiz und Parlamente sind vom Anwendungsbereich ausgenommen.  

Um mehrfache Regulierung zu vermeiden, gibt es bei der NIS2 Richtlinie eine Ausnahme für Einrichtungen, die durch andere EU-Richtlinien entsprechende Anforderungen an die IT-Sicherheit erfüllen müssen. Beispielsweise müssen Finanzeinrichtungen, die DORA unterliegen, den Nachweis ihrer Informationssicherheit und die Meldung von Vorfällen nur im Rahmen von DORA erbringen. Sie erfüllen damit bereits die entsprechenden Anforderungen. 

Sicherzustellende Maßnahmen 

Welche Maßnahmen sind nun von den betroffenen Unternehmen umzusetzen? Die NIS2-Richtlinie verlangt von ihnen die Umsetzung einer Reihe von Compliance-Maßnahmen. Die folgenden zehn Detailanforderungen für das Risikomanagement stammen 1:1 aus dem Artikel 21 der NIS2. Sie sind entscheidend für eine vollständige Einhaltung der Richtlinie: 

• etablierte Konzepte in Bezug auf die Risikoanalyse und die Sicherheit für Informationssysteme, 
• Konzepte für die Bewältigung von Sicherheitsvorfällen, 
• Konzepte für die Aufrechterhaltung des Betriebs, wie etwa Backup-Management und Wiederherstellung nach einem Notfall (Desaster Recovery) sowie das entsprechende Krisenmanagement, 
• Nachweise zur Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern, 
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen, 
• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit, 
• grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen der Mitarbeitenden im Bereich der Cybersicherheit, 
• Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung, 
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen (z.B. Rechenzentren), 
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der eigenen Einrichtung. 

Checkliste zur Umsetzung erforderlicher Maßnahmen 

Doch wie lassen sich diese Anforderungen konsequent umsetzen? Wir empfehlen die Erstellung einer Checkliste. Aus unserer Sicht sollten folgende Empfehlungen in dieser Checkliste berücksichtigt sein: 

1. Risikobewertung und -management:
   Zunächst sollte mit einer umfassenden Bewertung der aktuellen Sicherheitsrisiken begonnen werden. Dabei werden Schwachstellen in der IT-Infrastruktur identifiziert und anschließend Pläne entwickelt, diese zu beheben.
2. Implementierung von Sicherheitsmaßnahmen:
   Es muss sichergestellt sein, dass die Sicherheitsmaßnahmen den Anforderungen von NIS2 entsprechen. Dazu gehören fortgeschrittene Technologien zur Abwehr von Cyber-Bedrohungen, regelmäßige Updates und Patches, sowie effektive Zugriffskontrollen.
3. Schulung der Mitarbeiter:
   Ein wesentlicher Bestandteil der Compliance ist die Sensibilisierung und Schulung aller Mitarbeitenden. Es ist sicherzustellen, dass sie die Bedeutung von IT-Sicherheit verstehen und wissen, wie sie auf Sicherheitsvorfälle reagieren sollen.
4. Incident Reporting System und SIEM:
   effektive Systeme zu Erkennung bzw. Meldung von Sicherheitsvorfällen sind zu implementieren. Dies sollte es ermöglichen, Vorfälle schnell und effizient zu erkennen, erfassen sowie zu melden.
5. Dokumentation und Compliance-Überprüfung:
   Sicherheitsprozesse und Compliance-Maßnahmen müssen sorgfältig dokumentiert werden. Regelmäßige interne Audits können dabei helfen, die Einhaltung der NIS2-Richtlinie zu überprüfen und zu gewährleisten.
6. Kooperation und Informationsaustausch:
   Es sollten Möglichkeiten zur Zusammenarbeit mit anderen von NIS2 betroffenen Unternehmen und mit Behörden genutzt werden, um Best Practices auszutauschen und die eigene Sicherheitsstrategie kontinuierlich zu verbessern.

Fazit 

Die NIS2-Richtlinie stellt einen bedeutenden Fortschritt für die europäische IT-Sicherheit dar. Der Anwendungsbereich wurde durch die Erweiterung der betroffenen Sektoren ausgeweitet. Der Fokus liegt auf strengeren Sicherheitsanforderungen sowie auf Transparenz und Kooperation.  

Für Unternehmen heißt es nun, rechtzeitig zu überprüfen, ob sie von NIS2 betroffen sind. Sollte dies der Fall sein, müssen sie ihre Sicherheitsstrategien überprüfen und entsprechend an die neuen Anforderungen anpassen. Dies beinhaltet eine umfassende Risikobewertung, die Implementierung stärkerer Sicherheitsmaßnahmen, die Schulung von Mitarbeitern, die Etablierung effektiver Incident-Reporting-Systeme sowie eine saubere Dokumentation aller ergriffenen Maßnahmen. 

Die neue EU-Richtlinie NIS2 muss bis zum 17. Oktober 2024 in die deutsche Gesetzgebung eingebunden werden. NIS2 steht dabei für „Network and Information Security – Version 2“. Seit Januar 2023 ist die Richtlinie in der EU in Kraft. Sie soll sicherstellen, dass als kritisch eingestufte Einrichtungen die Bevölkerung in den Mitgliedsstaaten mit lebenswichtigen Gütern und Diensten versorgen können. Doch wie ist es zur zweiten Version von NIS gekommen und was sind die Unterschiede zu NIS1? Dies und Weiteres werden wir in einer Serie von Blogartikeln näher betrachten. Im ersten Artikel gehen wird wir auf die Entstehung und die Neuerungen von NIS2 ein.

 

Historie NIS1 und KRITIS

Die Europäischen Union führte 2016 die erste Cybersecurity-Richtlinie ein. Heute ist diese Richtlinie als NIS1 bekannt. Diese Richtlinie wurde vor dem Hintergrund einer sich verschärfenden Bedrohungslage und steigender Anforderungen an die IT-Sicherheit in Europa entwickelt. Damit versuchte die EU, für die Gesellschaft bedeutende Branchen und Dienstleistungen in den Mitgliedsländern vor IT-Angriffen zu schützen.

Die NIS1 enthält verbindliche Vorgaben zum Schutz der Systeme von Unternehmen, die als Betreiber „Kritischer Infrastrukturen“ (KRITIS) tätig sind. Diese KRITIS-Unternehmen spielen eine entscheidende Rolle in der Gesellschaft, da sie Dienstleistungen in wichtigen Bereichen wie Energieversorgung, Gesundheit und Transport erbringen.

 

Entstehung NIS2

Durch die fortschreitende Digitalisierung steigt auch die Bedrohungslage stetig an. Ein höherer Schutzbedarf für eine angemessene Eindämmung der aktuellen Risiken bei KRITIS-Unternehmen ist erforderlich. Daher wurde von der EU beschlossen, die NIS1-Richtlinie zu überarbeiten. Nach langen Abwägungen und Diskussionen entstand im Ergebnis NIS2. Nach der Zustimmung vom EU-Parlament sowie des europäischen Rats wurde NIS2 am 14. Dezember 2022 als aktualisierte Version verabschiedet. Nach dem Inkrafttreten am 16. Januar 2023 haben die EU-Mitgliedstaaten 21 Monate Zeit, die neuen Regelungen jeweils in nationales Recht umzusetzen. Entsprechend sollten sich betroffene Unternehmen schon jetzt mit den Voraussetzungen der NIS2 Richtlinie auseinandersetzen, um rechtzeitig erforderliche Maßnahmen planen und umsetzen zu können.

Abbildung 1: Zeitstrahl der Entstehung von NIS2

Zeitgleich mit NIS2 trat auch die sogenannte CER-Richtlinie – „Critical Entities Resilience Directive“ – in Kraft. Dabei reguliert CER für KRITIS-Unternehmen den physischen Schutz vor Sabotage und anderen Angriffen, etwa bei Zutrittsrichtlinien zu Rechenzentren. Die Sicherheit der Informations- und Kommunikationstechnik ist dagegen Gegenstand von NIS2. Auf CER wird in diesem und den folgenden NIS2 Artikeln nicht im Detail eingegangen.

 

Stand der deutschen Gesetzgebung

Die Entwürfe für das bereits bestehende KRITIS-Dachgesetz (KRITIS-DachG) zur CER-Umsetzung und das etwas sperrig betitelte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befinden sich aktuell in unterschiedlichen Stadien des Gesetzgebungsverfahrens.

Während bei der Umsetzung des KRITIS-Dachgesetzes neben der Ressortabstimmung bereits die Länder- und Verbändeanhörungen für den zweiten Referentenentwurf abgeschlossen sind, gibt es beim NIS2 kaum Fortschritte. Ein erster Referentenentwurf kursierte inoffiziell bereits im Sommer 2023. Das federführende Bundesministerium des Innern und für Heimat (BMI) veröffentlichte jedoch noch keine offizielle Version. Der Zeitplan wird nun immer enger. Ein konkreter Gesetzentwurf muss zunächst durch das Kabinett und anschließend durch das Parlament. Durch dieses aufwändige Verfahren kann eine Fristüberschreitung des Startdatums von NIS2 am 18. Oktober 2024 nicht ausgeschlossen werden.

 

Von NIS2 betroffene Branchen und Sektoren

Der Anwendungsbereich wurde deutlich erweitert und umfasst jetzt insgesamt achtzehn Industriesektoren von Wasser bis Weltraum. Die bisherigen 9 Sektoren der KRITIS Verordnung gehen in den neuen Bereichen auf. NIS2 unterscheidet weiterhin zwischen Sektoren mit hoher Kritikalität sowie sonstigen kritischen Sektoren. Die CER-Richtlinie betrifft dabei die 11 Sektoren mit hoher Kritikalität. Ein Überblick der betroffenen Sektoren zeigt die Tabelle in Abbildung 2.

 

Abbildung 2: von NIS2 betroffene Sektoren

Dabei stellt NIS2, wie auch schon NIS1, umfassende Anforderungen an das Risikomanagement und die Cybersicherheit.

 

Neue Einstufung als betroffenes Unternehmen

Ein weiteres Kernstück der Reform ist eine völlige Neusortierung der Zielgruppe. Im bisherigen Verständnis kritischer Infrastrukturen war die Bestimmung ihrer Kritikalität in der KRITIS-Verordnung (KritisVO) geregelt. Diese wird künftig durch das Kritis-DachG (CER) sowie NIS2UmsuCG (NIS2) ersetzt.

Das bisherige, dreistufige Verfahren legte bislang die Sektorenzugehörigkeit, bestimmte Anlagenkategorien und konkrete Schwellenwerte fest. Die Überschreitung dieser Schwellenwerte ließ einen Betreiber zu KRITIS im Sinne der Verordnung werden. Virtueller Maßstab dieser Schwellenwerte war bei allen Anlagen immer eine Zahl von 500 000 Menschen, die von einem Ausfall der kritischen Infrastruktur betroffen wären.

Nach langem Hin und Her hat man sich in den Verhandlungen zu den NIS2 (wie auch CER) darauf verständigt, die Einstufung kritischer Einrichtungen umzugestalten und europaweit künftig nach Unternehmensgröße (ab 50 Mitarbeitern aufwärts), Umsatzzahlen (10Mio€/Jahr) sowie Sektor-Zugehörigkeit vorzunehmen. Diese Einstufung wird künftig im bereits genannten NIS2UmsuCG geregelt.

Durch diese Änderungen werden künftig nach Schätzungen des Statistischen Bundesamts zehnmal mehr Unternehmen als bisher gesetzlich zur Einhaltung der Vorschriften aus den NIS2 und CER-Richtlinien verpflichtet sein. Bisherige KRITIS Unternehmen fallen automatisch und weiterhin unter die neue Richtlinie.

 

Neuerungen bei NIS2

Was sind nun die wichtigsten Unterschiede bzw. Neuerrungen bei NIS2 gegenüber NIS1? Es gibt 4 wichtige Änderungen:

1. Mehr als doppelt so viele Sektoren (18 statt 7) als bisher werden als kritisch eingestuft.
2. Verstöße gegen Vorgaben der NIS2 werden nach einem jetzt einheitlichen sowie erheblich verschärften Bußgeldkatalog geahndet, der nach oben nur noch durch prozentuale Anteile vom weltweiten Jahresumsatz gedeckelt ist – ähnlich wie bei der 2018 eingeführten DSGVO. Bislang konnten EU-Staaten die Strafen selbst bestimmen. In Deutschland lag die Höchststrafe bei 20Mio €.
3. NIS2 führt erstmals eine Geschäftsleiterverantwortung ein. Chefs haften also künftig persönlich, wenn sie ihre Pflichten verletzen – inklusive Schadensersatzforderungen, die aus dem eigenen Vermögen zu leisten sind.
4. Die neue Richtlinie regelt die bisher schon bestehende Meldepflicht an die Bundesnetzagentur sowie das BSI bei Sicherheitsvorfällen neu. Sie ist in Zukunft dreistufig statt einstufig: Bereits binnen 24 Stunden muss eine vorläufige Meldung erfolgen, wenn eine kritische Dienstleistung ausfällt – auch wenn noch keine präzise Kenntnis vorliegt, was genau passiert ist. Spätestens nach 72 Stunden erwarten die jeweiligen nationalen Aufsichtsbehörden (in Deutschland die Bundesnetzagentur) eine qualifizierte Meldung über den Vorfall und seine Bekämpfung.

 

Fazit

Durch die neue Art der Einstufung fallen deutlich mehr Unternehmen unter die KRITIS-Regulierung. Für diese ergeben sich dadurch viele neue Aufgabenstellungen. Gerade bei kleineren Firmen kann der Aufwand für ein angemessenes Risikomanagement schnell zu einer großen Herausforderung werden. Bislang schon als KRITIS eingestufte Unternehmen müssen ihre schon vorhandenen Konzepte prüfen und ggf. anpassen. Welche Maßnahmen hier genau getroffen werden sollten, wie im Detail die Einstufung als kritisches Unternehmen abläuft sowie weitere Details erfahren sie in einem der nächsten Blog-Artikel.

Seit Juli 2023 ist das Datenschutzabkommen „Data Privacy Framework” in Kraft. Nach Safe Harbor und EU-US-Privacy Shield nun also der dritte Versuch, ein rechtssicheres Abkommen für die Weitergabe von personenbezogenen Daten aus der EU in die USA zu etablieren. Im folgenden Artikel klären wir insbesondere folgende sich ergebende Fragen hierzu: Welche Grundprinzipien sind im neuen Datenschutzabkommen festgelegt? Hat das neue Abkommen das Zeug dazu, den schon geplanten Gegenklagen zu widerstehen? Und wie kam es überhaupt zu der Entstehung eines dritten Datenschutzabkommens zwischen der EU und den USA?

Erstes Datenschutzabkommen: Safe Harbor

Damit der Datenverkehr zwischen der Europäischen Union (EU) und den USA im immer schneller wachsenden Internet nicht zum Erliegen kam, wurde zwischen 1998 und 2000 ein besonderes Verfahren für die Weitergabe von Personen-bezogenen Daten entwickelt. US-Unternehmen konnten dem sogenannten Safe Harbor Datenschutzabkommen beitreten und sich auf einer entsprechenden Liste des US-Handelsministeriums eintragen lassen. Damit verpflichteten sie sich, die sogenannten „Safe Harbor Principles“, also die ‚Grundsätze eines sicheren Hafens‘ anzuerkennen. Diese Grundsätze umfassen etwa die der Transparenz und Zweckmäßigkeit der Informationsverarbeitung, der Datensicherheit sowie der Korrigierbarkeit der erfassten Informationen. Safe Harbor wurde notwendig, da die Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995 es grundsätzlich verbot, personenbezogene Daten aus Mitgliedstaaten der Europäischen Union in Staaten zu übertragen, deren Datenschutz kein dem EU-Recht vergleichbares Schutzniveau aufwies. In der Safe-Harbor-Entscheidung hatte die EU im Juli 2000 anerkannt, dass bei den Unternehmen, die sich diesem Abkommen verpflichten, ein ausreichender Schutz für die personenbezogenen Daten von EU-Bürgern bestand.

Nur ein Jahr später erschütterten die Terroranschläge vom 11. September die Welt, und hatten langfristig auch Auswirkungen auf das Safe-Harbor- sowie die Folge-Abkommen.

Durch den im Oktober 2001 verabschiedeten US-Patriot Act erhielten die US-Geheimdienste weitreichende Möglichleiten, bei jedem US-Unternehmen im Verdachtsfall ohne richterliche Beschlüsse Daten abfragen zu können. In den folgenden Jahren fand dieser Umstand keine große Aufmerksamkeit. Doch mit dem Entstehen sowie dem immer mehr in den Fokus von europäischen Datenschutzaktivisten. Der NSA-Skandal von 2013 (Die Veröffentlichung von Geheimdienstdokumenten durch Edward Snowden) brachte schließlich das Fass zum Überlaufen. Er brachte umfangreiche Spionageaktivitäten ans Licht.

Als Folge wurde Klage gegen Safe Harbor vor dem europäischen Gerichtshof (EU-GH) eingereicht. Dieser erklärte dann im September 2015, dass die entsprechende Regelung nichtig ist.

Zweites Datenschutzabkommen: EU-US Privacy Shield

Es musste also ein Nachfolgeabkommen her, damit die Nutzung des von amerikanischen Firmen dominierten und inzwischen weiter enorm gewachsenen Cloud-Computing-Markts für europäische Unternehmen auf rechtlich sicheren Füßen steht. Nach Zugeständnissen der US-Regierung unter Präsident Obama, etwa einer Klagemöglichkeit für EU-Bürger in den USA im Fall einer Verletzung des Datenschutzes, wurde im Juli 2016 das Nachfolgeabkommen Privacy Shield von der EU-Kommission in Kraft gesetzt. Kritiker bemängelten von Anfang an, dass es bis auf wenige Details keine Unterschiede zu Safe Harbor gibt und mahnten Unsicherheiten im Falle eines Regierungswechsels in den USA an. Dieser Wechsel trat dann 2016 tatsächlich durch die Regierung Trump ein. Diese verabschiedete eine Reihe von Gesetzesänderungen, unter anderem das Non-US-Bürger von Klagemöglichkeiten in den USA wieder ausgeschlossen sind. Es wurde erneut vor dem EU-GH Klage einreicht und das Privacy Shield Abkommen im Juli 2020 für nichtig erklärt.

 

Drittes Datenschutzabkommen Data Privacy Framework

Erneut musste also ein Nachfolge-Abkommen vereinbart werden, um den EU-Unternehmen Rechtssicherheit bei der Nutzung von US-amerikanischen Cloud-Services zu bieten. Um eine Einigung zu erzielen musste zunächst eine sogenannte „Executive Order“ der neuen US-Regierung unter Biden erlassen werden, welche unter anderem die US-Geheimdienste anweist, ihre Datenzugriffe auf ein verhältnismäßiges Maß zu beschränken. Damit war der der Weg für die EU-Kommission frei, das Privacy Framework Abkommen mittels eines sogenannten Angemessenheitsbeschluss gemäß Art. 45 GDPR bzw. DSGVO zu verabschieden. Dieser Beschluss wurde ab Dezember 2022 entworfen und im Juli 2023 schließlich verabschiedet. Das Framework ist damit in Kraft getreten.

Es gelten folgende Grundprinzipien:

• Verbindliche Schutzmaßnahmen sollen den Zugriff der US-Nachrichtendienste beschränken. Es soll sichergestellt sein, dass ein Zugriff nur dann erfolgt, wenn er notwendig und verhältnismäßig ist, um die nationale Sicherheit der USA zu gewährleisten, ohne dass dadurch die Rechte und Freiheiten des Einzelnen unverhältnismäßig beeinträchtigt werden.
• Es werden Verfahren etabliert, die eine wirksame Überwachung der neuen Standards gewährleisten.
• Ein neues zweistufiges Rechtsbehelf-System soll sicherstellen, dass Beschwerden von EU-Bürgern über den Zugriff auf Daten durch US-Nachrichtendienste untersucht und behandelt werden. Für die gerichtliche Prüfung wurde in den USA ein neuer und unabhängiger „Data Protection Review Court“ ins Leben gerufen.
• Für US-Unternehmen, die aus der EU übermittelte Daten verarbeiten, gelten strenge Verpflichtungen. Dazu gehört insbesondere, die Einhaltung des Abkommens gegenüber dem US-Handelsministerium anhand einer Selbstzertifizierung zu bestätigen. Die Prinzipien für diese Selbstzertifizierung orientieren sich am europäischen Datenschutzrecht.

Für alle EU-Unternehmen, die US-Cloud-Dienste einsetzen und dadurch personenbezogene Daten in die USA übermitteln, ist mit dem Inkrafttreten des EU-US Data Privacy Framework eine deutliche Erleichterung eingetreten. Es besteht nämlich jetzt wieder Rechtssicherheit. Aus wirtschaftlicher Sicht ist diese Entwicklung durchaus zu begrüßen.

Doch Vorsicht! Der Angemessenheitsbeschluss für das EU-US Data Privacy Framework kommt nur zum Tragen, wenn das US-Unternehmen, an das personenbezogene Daten übermittelt werden sollen, über eine entsprechend gültige Zertifizierung verfügt. Es muss also auf der offiziellen Website für das neue Datenschutzabkommen in der Liste mit den US-Unternehmen eingetragen sein, die sich nach dem neuen Mechanismus zertifiziert haben lassen und an die somit ohne weitere Voraussetzungen personenbezogene Daten übermittelt werden dürfen.

Ist das nicht der Fall, ist als Alternative weiterhin der Abschluss von Standardvertragsklauseln und die Durchführung eines sogenannten Transfer Impact Assessments, also eine Risikobewertung für Datenübermittlungen in unsichere Drittländer, erforderlich. Bei Standardvertragsklauseln handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster. Diese Muster vereinbaren europäische Datenschutzstandards vertraglich zwischen Firmen im Europäischen Wirtschaftsraum und Cloud-Anbietern in Drittstaaten. Angesichts der offenen Erfolgschancen des EU-US Data Privacy Frameworks empfiehlt es sich, bereits bestehende Vertragsklauseln nicht zu kündigen, sondern das Framework als eine Art „doppelten Boden“ zu nutzen.

 

Fazit – Datenschutzabkommen „Data Privacy Framework”

Grundsätzlich ist jedes Datenschutzabkommen, welches Rechtsicherheit für EU-Unternehmen bietet, zu begrüßen. Aus diesem Blickwinkel ist das Data Privacy Framework ein Schritt in die richtige Richtung. Allerdings ist auch hier das letzte Wort noch nicht gesprochen. Die Datenschutzaktivisten, die schon Safe Harbor und Privacy Shield zu Fall gebracht haben, haben eine entsprechende Klage gegen das Data Privacy Framework angekündigt. Gerade die wagen Formulierungen bezüglich des verhältnismäßigen Maßes bei Datenzugriffen durch US-Geheimdienste sowie die insgesamt nur geringen Unterschiede zum Privacy Shield sind ihnen ein Dorn im Auge. Solange es keine Änderung des US-Überwachungsrechts hinsichtlich das Patriot Acts gibt, steht jedes Datenschutzabkommen auf wackligen Beinen. Daher sollten EU-Unternehmen bei der Nutzung von Cloud Services von US-Anbietern weiterhin zusätzlich auf genau definierte Standardvertragsklauseln für die Datenverarbeitung in Nicht-EU-Rechenzentren und auf eine detaillierte Risikobewertung bei der Datenübermittlung achten.