In seiner Pressemitteilung vom 7. April 2026 verkündete das Bundesamt für die Sicherheit in der Informationstechnik (BSI), dass der Cloud Computing Compliance Criteria Catalogue (C5) in der neuen Version 2026 zur Verfügung steht. Gründe für die Überarbeitung Die Vorgängerversion stammt aus dem Jahr 2020. Seitdem haben sich zahlreiche technische Fortschritte sowie neue Entwicklungen ergeben. Sowohl […]
Informationssicherheit
Informationssicherheit
Passkeys – Wie ein unsichtbarer Schlüssel das Passwort ablöst
Das Passwort ist ein erstaunlich zähes Konstrukt. Seit den 1960ern schützt es digitale Konten – meistens schlecht, fast immer lästig. Jetzt gibt es einen Nachfolger: Er heißt Passkey und er funktioniert grundlegend anders. Ein Schlüssel, der nicht verloren gehen kann Man stelle sich vor, jeden Morgen das Büro zu betreten – ohne Schlüssel, ohne Code, ohne […]
Informationssicherheit entlang der Lieferkette: Strukturiertes Management von Dienstleistern
Die Nutzung von Cloud-Angeboten, Softwarelösungen sowie spezialisierten Fachfirmen führt dazu, dass heute zentrale Geschäftsprozesse in wesentlichen Teilen durch externe Dienstleistungen unterstützt werden. Dadurch entstehen Abhängigkeiten, die natürlich den Geschäftsbetrieb, aber insbesondere auch die Informationssicherheit, unmittelbar beeinflussen. Schwachstellen oder Ausfälle bei einem Dienstleister oder Lieferanten (nachfolgend zusammengefasst als „Dienstleister“) können unmittelbare Auswirkungen auf das eigene Unternehmen […]
KI-Systeme im Krankenhaus – Betreiberpflichten und Haftungsfragen
Der Einsatz von Künstlicher Intelligenz (KI) schreitet in Krankenhäusern schnell voran. Mit der KI-Verordnung der Europäischen Union steigen jedoch auch die regulatorischen Anforderungen: Krankenhäuser werden rechtlich zu Betreibern von KI-Systemen und unterliegen damit zahlreichen Pflichten. Die Pflichten sind davon abhängig, ob es sich bei dem eingesetzten System um ein KI-System mit allgemeinem Verwendungszweck oder mit […]
KDG-Novellierung: (Fast) endgültige Verabschiedung vom Fax
Mit der Änderung der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) wird eine lange erwartete Konsequenz offiziell: Die Nutzung des Faxgeräts zur schnellen Übermittlung personenbezogener Daten ist, von absoluten Ausnahmefällen abgesehen, nicht mehr zulässig. Angesichts der fortschreitenden Digitalisierung und der gestiegenen Anforderungen an den Schutz personenbezogener Daten war die Faxnutzung seit Jahren Gegenstand datenschutzrechtlicher […]
KDG-DVO-Novelle: Multi-Faktor-Authentifizierung wird Standard
Neben dem Gesetz über den Kirchlichen Datenschutz (KDG) wurde auch die entsprechende Durchführungsverordnung (KDG-DVO) überarbeitet – beide treten zum 1. März in Kraft. Der § 11 Abs. 2 lit. b S. 2 KDG-DVO regelt jetzt, dass in „sicherheitskritischen Bereichen“ oder bei „Zugriffen außerhalb gesicherter Netze“ insbesondere der Einsatz von „Mehr-Faktor-Authentifizierungsverfahren“ vorzusehen ist. Zwei- bzw. Mehr-Faktor-Authentifizierung […]
NIS-2-Registrierungsfrist läuft am 6. März ab
Die Überführung der NIS‑2‑Richtlinie in deutsches Recht hat uns und viele unserer Kunden in den vergangenen Monaten aus unterschiedlichen Blickwinkeln – insbesondere Informationssicherheit und Compliance – intensiv beschäftigt. Dabei wurde häufig die Frage gestellt: „Sind wir jetzt von NIS‑2 betroffen oder nicht?“ Am 05.12.2025 wurde das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher […]
Cyberangriff bei der Deutschen Bahn
Die Datenschutz-Grundverordnung (DSGVO) schützt nicht nur die Vertraulichkeit personenbezogener Daten, sondern ebenso deren Integrität und Verfügbarkeit. Gerade die Verfügbarkeit wird in der Praxis häufig unterschätzt – dabei können Ausfälle erhebliche Risiken für betroffene Personen und Unternehmen schaffen. Warum also gilt schon eine bloße Nicht‑Verfügbarkeit personenbezogener Daten als „Datenpanne“ im Sinne von Art. 33 DSGVO? Eine Datenpanne […]
KRITIS-Dachgesetz: Überblick, parlamentarischer Stand und fachliche Kritik
Mit dem KRITIS-Dachgesetz setzt Deutschland die europäische CER-Richtlinie (EU 2022/2557) um (wir berichteten). Ziel ist es, die kritischen Einrichtungen gegenüber physischen, organisatorischen und hybriden Bedrohungen resilienter zu machen. Während die NIS-2-Umsetzung primär die Cybersicherheit adressiert, soll das KRITIS-Dachgesetz einen sektorübergreifenden Rahmen für physische und organisatorische Resilienz schaffen. Nach mehreren Entwurfsfassungen befindet sich das Gesetz nun […]
Europas Cybersecurity-Paket 2026: Cybersicherheit in Bewegung
Am 20. Januar 2026 hat die EU-Kommission ein neues „Cybersecurity Package“ vorgelegt, das in seiner Stoßrichtung über klassische IT-Sicherheitsregulierung hinausgeht. Das Paket besteht im Wesentlichen aus zwei legislativen Strängen: einem Vorschlag zur Revision des EU Cybersecurity Acts (CSA) als Verordnung COM(2026) 11 – „Proposal for a Regulation for the EU Cybersecurity Act“, inklusive Annexes, und […]
§ 5c EnWG: Neuerungen für Strom- und Gasnetzbetreiber sowie Energieanlagenbetreiber
Das NIS-2-Umsetzungsgesetz, das im Dezember 2025 in Kraft getreten ist, hatte als Artikelgesetz Auswirkungen auf verschiedene andere Gesetze. Für das Energiewirtschaftsgesetz (EnWG) ergaben sich die Neuerungen aus Artikel 17. Mit der Novellierung des EnWG gibt es für Strom- und Gasnetzbetreiber, Energieanlagenbetreiber sowie akkreditierte Zertifizierungsstellen wichtige Änderungen, denn die vormaligen Regelungen aus § 11 Abs. 1a–1g […]
NIS-2 in Deutschland – ein neuer Ordnungsrahmen für Informationssicherheit
Mit dem NIS-2-Umsetzungsgesetz und der Novellierung des BSI-Gesetzes (BSIG) ist die NIS-2-Richtlinie seit dem 06.12.2025 in deutsches Recht überführt. Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ wurde am 13.11.2025 vom Bundestag beschlossen, am 21.11.2025 durch den Bundesrat gebilligt und am 05.12.2025 im Bundesgesetzblatt verkündet. Damit wandelt […]
Das NIS-2-Umsetzungsgesetz ist in Kraft getreten – welche Schritte sind nun erforderlich?
Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungsgesetz) ist am 05.12.2025 im Bundesgesetzblatt veröffentlicht worden und somit seit dem 06.12.2025 in Kraft. Durch das NIS-2-Umsetzungsgesetz wurde das bisherige BSI-Gesetz (BSIG) neu gefasst. Die Pflichten gelten nicht nur für Unternehmen, sondern für alle Einrichtungen, die unter den […]
Verabschiedung des NIS-2-Umsetzungsgesetzes durch die Bundesregierung
Über ein Jahr nachdem die EU-Richtlinie zu NIS 2 in deutsches Recht hätte umgesetzt werden müssen, hat die Bundesregierung am 13.11.2025 den „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungsgesetz) beschlossen. Zum eigentlichen Gesetzesentwurf (Stand: 08.09.2025) wurden eine Beschlussempfehlung und ein Bericht des Innenausschusses (Drucksache […]
Datensparsamer Einsatz von Windows 11: Der Windows-Umstieg – Teil 2
Wer mit Windows arbeitet, stößt unweigerlich auch auf Fragen des Datenschutzes. Bereits Windows 10 hat zahlreiche Nutzungsdaten gesammelt. Mit Windows 11 erweitert Microsoft diese Datensammlung noch einmal. Wie im ersten Teil dieser Beitragsreihe beschrieben, gibt das Support-Ende von Windows 10 einen guten Grund, das Betriebssystem zu wechseln. Dieser Teil der Beitragsreihe wird sich erst einmal […]