Europa, Cyberregeln

Europa verschärft Cyberregeln: NIS-2, DORA und neue KI-Offensive

30.11.2025 - 02:09:12

Europa verschärft Cyberregeln: NIS-2, DORA und neue KI-Offensive - Foto: über boerse-global.de
Europa verschärft Cyberregeln: NIS-2, DORA und neue KI-Offensive - Foto: über boerse-global.de

Der November 2025 könnte als Wendepunkt in die digitale Geschichte Europas eingehen. Innerhalb von weniger als drei Wochen hat Deutschland sein lange verschlepptes NIS-2-Gesetz verabschiedet, die EU-Aufsicht nimmt Cloud-Giganten erstmals direkt ins Visier, und Bundeskanzler Friedrich Merz sowie Frankreichs Präsident Emmanuel Macron haben in Berlin eine neue KI-Allianz geschmiedet.

Die Botschaft ist eindeutig: Cybersicherheit wird vom IT-Thema zur rechtlichen Pflicht. Und „digitale Souveränität” – lange nur politisches Schlagwort – bekommt plötzlich Zähne.

Am 13. November 2025 hat der Bundestag nach monatelangem Tauziehen endlich das NIS-2-Umsetzungsgesetz verabschiedet. Die Richtlinie der EU zur Netz- und Informationssicherheit erhält damit in Deutschland Gesetzeskraft – und bringt die wohl größte IT-Sicherheitsreform seit einem Jahrzehnt.

Die Zahlen sprechen für sich: Waren bisher rund 4.500 Unternehmen als Betreiber kritischer Infrastrukturen reguliert, steigt diese Zahl nun auf knapp 29.500. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitet seinen Zuständigkeitsbereich damit drastisch aus.

Anzeige

Passend zum Thema Cyber-Resilienz: Viele Unternehmen sind auf die neuen Vorgaben wie NIS‑2 und DORA nicht ausreichend vorbereitet – Studien zeigen, dass ein Großteil der Betriebe operative Lücken hat. Dieses kostenlose E-Book erklärt praxisnah, welche organisatorischen und technischen Maßnahmen jetzt Priorität haben, wie Sie Meldepflichten rechtskonform erfüllen und interne Prozesse widerstandsfähig machen. Mit Checklisten, Sofortmaßnahmen für Führungskräfte und umsetzbaren Vorlagen für IT-Teams. Jetzt Cyber-Resilienz-Guide kostenlos herunterladen

Neu im Visier der Behörde: nicht nur Energieversorger oder Krankenhäuser, sondern auch Abfallentsorger, Lebensmittelproduzenten und mittelständische Fertigungsbetriebe. „Die Umsetzung der europäischen NIS2-Richtlinie war überfällig”, kommentierte Dr. Ralf Wintergerst, Präsident des Digitalverbands Bitkom. Trotz der Verspätung sei die nun geschaffene Klarheit ein Fortschritt.

Was ändert sich konkret?
Betroffene Unternehmen müssen künftig robuste Risikomanagement-Systeme einführen und bei relevanten Cyberangriffen einer dreistufigen Meldepflicht nachkommen:

  1. Frühwarnung: Binnen 24 Stunden nach Bekanntwerden des Vorfalls
  2. Detailmeldung: Umfassender Bericht nach 72 Stunden
  3. Abschlussbericht: Vollständige Analyse innerhalb von 30 Tagen

Das BSI wird zudem zum Chief Information Security Officer (CISO) der Bundesverwaltung ernannt – ein symbolischer wie praktischer Schritt, um Sicherheitsstandards über alle Behörden hinweg zu harmonisieren.

DORA-Liste veröffentlicht: EU nimmt Cloud-Riesen ins Gebet

Nur fünf Tage später, am 18. November, zogen die europäischen Finanzaufsichtsbehörden nach. Erstmals in der Geschichte der EU wurden globale Technologiekonzerne unter direkte Aufsicht gestellt – nicht durch nationale Behörden, sondern durch die Europäischen Aufsichtsbehörden (ESAs) selbst.

Die veröffentlichte Liste der kritischen IKT-Drittdienstleister (CTPPs) liest sich wie das Who’s Who der Tech-Branche: Amazon Web Services (AWS) EMEA, Google Cloud EMEA, Microsoft Ireland Operations, IBM, Oracle und SAP stehen nun unter direkter Beobachtung.

Hintergrund ist der Digital Operational Resilience Act (DORA), der die Widerstandsfähigkeit des Finanzsektors gegen Cyberangriffe stärken soll. Banken und Versicherungen sind zwar weiterhin für ihre Risiken verantwortlich – doch die ESAs können nun die Infrastruktur-Provider selbst prüfen.

„Diese erste CTPP-Liste ist ein Meilenstein”, so Rechtsexperten. Sie zeigt, wohin die Reise geht: Sollte ein dominanter Cloud-Anbieter ausfallen, darf das nicht das gesamte europäische Finanzsystem lahmlegen.

Berliner Gipfel: Merz und Macron setzen auf KI-Turbo

Zeitgleich zur DORA-Veröffentlichung trafen sich über 900 Entscheider aus Politik und Wirtschaft in Berlin zum Gipfel zur Digitalen Souveränität Europas. Gastgeber: Bundeskanzler Merz und Präsident Macron.

Ihr Ziel? Europa von einem reinen Regulierer zum aktiven Gestalter der Digitalisierung zu machen. „Europa muss Akteur sein, nicht nur Spielfeld”, forderte Merz in seiner Rede.

Die Kernbeschlüsse des Gipfels:

  • Investitionszusage: Unternehmen verpflichten sich zu Investitionen von über 12 Milliarden Euro in europäische Digitalinfrastruktur und Schlüsseltechnologien
  • KI-Offensive: Frankreich und Deutschland fordern eine „gezielte Vereinfachung” der EU-KI-Verordnung – konkret eine 12-monatige Verschiebung bei Hochrisiko-Vorschriften, um Startups Luft zum Atmen zu geben
  • Public-Private-Partnerschaften: Neue Zusammenarbeit zwischen Mistral AI, SAP und öffentlichen Verwaltungen zur Integration europäischer KI-Lösungen
  • Datenschutz-Standards: Aufruf an die EU-Kommission, höchste Schutzstandards für sensible Daten zu definieren und vor extraterritorialen Gesetzen abzuschirmen

Macron bekräftigte: „Der Gipfel sendet ein klares Signal – Europa hat das Zeug, das digitale Zeitalter anzuführen.”

Bundesnetzagentur legt nach: Telekom-Sektor im Fokus

Während Bundestag und EU-Gremien aktiv wurden, blieb auch die Bundesnetzagentur (BNetzA) nicht untätig. Am 3. November veröffentlichte sie einen Entwurf für einen aktualisierten Katalog von Sicherheitsanforderungen gemäß § 167 Telekommunikationsgesetz (TKG).

Die Neuerung: Betreiber öffentlicher Telekommunikationsnetze werden erstmals als „erhöhtes Risikopotenzial” eingestuft. Damit gelten für sie strengere Sicherheitsvorgaben zum Schutz kritischer Funktionen.

Die Konsultationsfrist läuft noch bis zum 19. Dezember 2025. Betroffene Unternehmen sollten diese Gelegenheit zur Stellungnahme nutzen – denn die finale Fassung dürfte rasch in Kraft treten.

Was kommt 2026? Vom Gesetz zur Praxis

Mit dem Jahreswechsel beginnt die Phase der Umsetzung. Die Gesetze sind da – jetzt folgen Prüfungen, Audits und Durchsetzung.

NIS-2-Vollzug: Das BSI wird voraussichtlich Anfang 2026 Registrierungsportale und Leitfäden für die 29.500 neu regulierten Unternehmen veröffentlichen. Die ersten Compliance-Checks dürften im Frühjahr starten.

DORA-Audits: Die ESAs beginnen mit der direkten Überwachung der gelisteten Cloud-Provider – wahrscheinlich mit neuen Transparenzanforderungen für Finanzdienstleister.

KI-Politik: Der deutsch-französische Vorstoß zur Entschleunigung der KI-Verordnung wird zum Testfall in Brüssel. Gelingt es, Innovation und Regulierung in Balance zu bringen?

Für Unternehmen in Deutschland und Europa gilt: Die Zeit der freiwilligen Selbstverpflichtung ist vorbei. Cyberresilienz ist keine IT-Frage mehr – sie ist rechtliche Pflicht und strategischer Wettbewerbsfaktor zugleich.

Anzeige

PS: Übrigens – wenn Sie Ihre Compliance- und Sicherheitsstrategie jetzt zügig umsetzen wollen, gibt es einen praxisorientierten Gratis-Leitfaden mit Prioritätenlisten für NIS‑2 und DORA, Schulungsmaßnahmen für Mitarbeitende und sofort einsetzbaren Vorlagen. Ideal für Geschäftsführer und IT‑Verantwortliche, die ohne großen Aufwand robuste Schutzmaßnahmen implementieren möchten. Kostenloses Cyber-Security-E-Book anfordern

@ boerse-global.de
Die besten Black Friday Angebote für