"Cybersicherheit und Resilienz 2026 – NIS2 und KRITISDachG in der Praxis": Nachbericht zur 2. BBH-Konferenz

Die Bedrohungslage für kritische Infrastrukturen ist bittere Realität geworden. Cyberattacken, Systemausfälle und physische Bedrohungen kritischer Infrastruktur sind keine abstrakten Szenarien mehr. Deutschland steht dabei besonders im Fokus hybrider Angriffe. Wie verwundbar die Infrastruktur ist, zeigte erst im Januar dieses Jahres der tagelange Stromausfall im Südwesten Berlins nach einem gezielten Anschlag auf einen Knotenpunkt. Während solche Vorfälle auf den Titelseiten landen, geschehen viele Bedrohungslagen für die Öffentlichkeit verborgen. Davon können gerade Energieversorger, Netzbetreiber, Infrastrukturdienstleister ein Lied singen. Mit diesen Worten begrüßte Rechtsanwältin und BBH-Partnerin Prof. Dr. Ines Zenke die zahlreichen Gäste der 2. BBH-Konferenz zu Cybersicherheit in den Räumen der BBH-Gruppe in Berlin: „Cyberangriffe, physische Bedrohungen kritischer Infrastruktur, Systemausfälle. Das sind keine abstrakten Szenarien mehr. Sie sind Realität. Wir sprechen heute und hier mit Persönlichkeiten, die in der Praxis damit umgehen müssen – die Verantwortung tragen, Entscheidungen treffen und im Ernstfall handeln müssen.“

Rechtsanwalt und BBH-Partner Thomas Schmeding ist intensiv in der rechtlichen Krisenberatung sowie der Durchführung von NIS2-Schulungen aktiv. In seinem Eingangsimpuls stellt er heraus, dass “Hackerangriffe” deutsche Unternehmen inzwischen jährlich über 202 Mrd. Euro (Bitkom Wirtschaftsbericht 2025) kosten. Die Taktung erreiche alarmierende Zahlen. Die Ursache hierfür liege unter anderem an Künstlicher Intelligenz. „KI-gestützte Systeme/Modelle werden immer effizienter darin, Schwachstellen zu identifizieren.“  Im Hinblick auf die Möglichkeit deutscher und europäischer Unternehmen zum eigenen Schutz selbst Zugriff auf solche KI-Lösungen zu erhalten, ergänzte er am Beispiel von Anthropics Modell Mythos: „Wir treten in eine neue Phase der KI-Nutzung ein. Eine Phase, in der Systeme nicht mehr nur nach Gesichtspunkten wie Datenschutz und Lizenzen bzw. Tokens betrachtet werden können, sondern nach Fragen der Macht und Kontrolle.“

Panel 1: Effektive Vorbereitung auf Cyberattacken und physische Angriffe – NIS2-Umsetzung und physische Resilienz, die Sicht der Unternehmen

Die erste Paneldiskussion beleuchtete, wie sich Unternehmen auf Cyberattacken und physische Angriffe vorbereiten, wobei die praktische Umsetzung der NIS2-Richtlinie im Vordergrund stand.

Sylvia Borcherding, CCO und CHRO beim Stromübertragungsnetzbetreiber 50Hertz Transmission GmbH, betonte: „Resilienz müssen wir beim Design und der Planung unserer Netzinfrastruktur in Zukunft noch stärker mitdenken. Wir haben im Übertragungsnetz heute das n-1-Prinzip als zentrale Sicherheitsarchitektur für den Betrieb des Netzes. Angesichts der Bedrohungslagen reicht das aber zukünftig nicht aus. Beim Business Continuity Management klopfen wir Schnittstellen zu Dienstleistern schon bei der Beauftragung daraufhin ab, ob sie z. B. die Anforderungen aus der NIS2-Richtlinie erfüllen.“

Claudia Rathfux Geschäftsführerin der NBB Netzgesellschaft Berlin-Brandenburg mbH & Co. KG, die eines der größten Gasverteilnetze in Deutschland betreibt, erklärte: „Im Fall eines Angriffs sind wir und unsere Geschäftspartner voneinander abhängig. Diese Abhängigkeit ist ein Potenzial, das wir noch stärker als bislang für einen konsequenteren, vertraulichen Austausch bei sicherheitsrelevanten und kritischen Vorfällen nutzen müssen. Letztlich sitzen wir alle in einem Boot.“

Dr. Gerhard Holtmeier, Vorsitzender der Geschäftsführung bei DEW21, der Dortmunder Energie- und Wasserversorgung GmbH, betonte: „Wir müssen die IT konsequent in den Mittelpunkt stellen, da uns das Thema Kosten sonst explodiert. Es braucht hier einen integrierten Ansatz, denn am Ende sind die Aufwendungen für physische und Cybersicherheit schlicht Teil der Gesamtkosten.“

Fachvorträge: Technische Lösungen und rechtliche Rahmenbedingungen

Der zügige Wiederanlauf nach einem Cyberangriff mittels KI war das Thema von Lars von Thienen, Geschäftsführer der business process solutions GmbH / Aequitas Group. Das Unternehmen unterstützt bei der Digitalisierung und Optimierung von Geschäftsprozessen im Krisenbetrieb. Er machte noch einmal sehr deutlich: „Wir betreiben ein System, dessen Komplexität wir schon heute nicht mehr verstehen. Es gibt Schwachstellen, die noch gar nicht bekannt sind, die KI aber binnen weniger Minuten identifiziert.“

Thomas Königstein, Strategic Sales Development Manager beim IT-Sicherheitsspezialisten genua GmbH, präsentierte praxisnahe Lösungen für eine sichere Fernwartung in der Energiebranche, wenn Zugriffe zur Gefahr werden. Er stellte fest: „Dringender Handlungsbedarf gilt sowohl für Systeme, die unmittelbar mit dem Internet verbunden sind, als auch für diejenigen, welche auf mittelbarem Wege durch Cyber-Angriffe attackiert werden können.“

BBH- Partner Counsel, Rechtsanwalt Alexander Bartsch sprach anschließend über die Notwendigkeit, bei den Veröffentlichungspflichten für Energie- und Infrastrukturunternehmen umzudenken und das Vorgehen neu zu bewerten: „Das Gleichgewicht zwischen dem Interesse an der Veröffentlichung von Daten zu wichtigen Infrastrukturen und dem Schutz dieser Infrastrukturen vor Cyberangriffen und Sabotageakten ist neu auszutarieren. Hier sind u.a. auch die BNetzA und der Gesetzgeber gefragt.“

Panel 2: Wenn der Ernstfall eintritt - Lessons Learned und Lösungsansätze

Der frühe Nachmittag war konkreten Erfahrungsberichten aus dem Ernstfall, der Erkennung von Angriffen, resilienten Konzepten sowie den Anforderungen an die Krisenkommunikation gewidmet. Die Moderation übernahmen Thomas Schmeding und BBH-Partner und BBH Consulting- Vorstand Dr. Andreas Jankiewicz.

Dr.-Ing. Frederik Giessing, Mitglied der Geschäftsleitung der 450connect GmbH, die das hochverfügbare, krisensichere 450-MHz-Funknetz für die Digitalisierung der kritischen Infrastrukturen in Deutschland baut und betreibt, sprach über „Sichere Kommunikation als Rückgrat“ und stellte heraus: „Gerade in einer Krisensituation ist Kommunikation das zentrale Element, um diese beherrschbar zu machen. Wir müssen mit dem Mythos aufräumen, dass Kommunikation immer einfach da ist – stattdessen gilt es, Redundanzen vorzuhalten, falls der öffentliche Mobilfunk ausfällt.“

Stephan Ilaender, CTO Stackit GmbH, repräsentierte einen rein europäischen, BSI-C5-zertifizierten Cloud-Anbieter, der zeigt, wie kritische Datenströme durch Confidential Computing ohne das Risiko von Drittstaaten-Zugriffen geschützt werden. Er betonte: „Wir müssen digitale Souveränität als strategischen Wettbewerbsvorteil begreifen. Man darf die Hoheit über sensible Daten und kritische IT-Infrastrukturen nicht blind an außereuropäische Konzerne auslagern. Ein digitales Wettrüsten hat begonnen und unser Ziel ist es, einen souveränen Hyperscaler in Europa aufzubauen.“

Klaus Mochalski, Geschäftsführer der Rhebo GmbH, die industrielle Netzüberwachung und Anomalieerkennung zur frühzeitigen Meldung von Angriffen auf Steuerungssysteme von Energieversorgern anbietet, brachte seine Erfahrungen aus 10 Jahren Angriffserkennung in Kritischen Infrastrukturen ein. Er erklärte: „Wir wiegen uns im OT-Umfeld in Sicherheit, weil wir tatsächlich wenige Angriffe sehen. Unsere Beobachtung zeigt jedoch, dass State Actors ihre Angriffswerkzeuge in Position bringen.“

Prof. Dr. Christian Haas, Direktor des Institutes für komplexe Systemforschung in Frankfurt am Main, das unter anderem Resilienzstrategien in sozio-technischen Infrastrukturen erforscht, klärte über „Assimilative vs. Akkommodative Resilienzkonzepte“ auf: „Der Mensch ist die größte Schwachstelle, aber auch der größte Unterstützer, wenn es um Sicherheit geht. Denn er ist in der Lage, Gefahren wahrzunehmen. Die Neurobiologie nennt das 'Error Related Negativity', Mitarbeitende spüren, wenn gerade etwas falsch läuft. Wichtig ist, dass sie sich in der Organisation integriert fühlen.“

Krisenkommunikationsexperte Christoph Hausel, Geschäftsführer bei element C, mahnte in seinem Beitrag „Wenn die Systeme schweigen, muss die Führung sprechen“ an: „Für die interne und externe Kommunikation sollte jede Organisation wissen, wie sie im Krisenfall reagiert: Mindestens einmal im Jahr Szenarien simulieren, sich vorbereiten, die Informationshierarchie klären und üben. Dann ist man extrem gut gewappnet.“

BBH-Partner und Rechtsanwalt Thomas Schmeding fasste den Tag zusammen und lud die Teilnehmenden dazu ein, im Anschluss die NIS2-Pflichtschulung für Geschäftsleitungen zu besuchen. Wie stellen Unternehmen sicher, dass sie den wachsenden Anforderungen an die Cybersicherheit und die Resilienz gerecht werden? Warum stockt die NIS2-Umsetzung? Wie bereitet man sich effektiv auf Angriffe vor? Was ist zu tun, wenn der Angriff da ist? Wie arbeiten Unternehmen produktiv mit staatlichen Stellen zusammen? Ist in Bezug auf Informations- und Veröffentlichungspflichten „weniger mehr“? Wie bewahren wir die digitale Souveränität angesichts einer sich rasant wandelnden Technologie und Bedrohungslage? Darüber haben wir gesprochen und darüber müssen wir weiter intensiv sprechen.