Vom lokalen Vorfall zum Blick auf kommende EU-Pflichten
Am Morgen des 5. Juni 2026 entdeckte die Gemeinde Dallgow-Döberitz in Brandenburg einen IT-Sicherheitsvorfall. Wie aus der offiziellen Pressemitteilung der Gemeinde hervorgeht, wurden betroffene Systeme vorsorglich vom Netz getrennt. Der Fall steht beispielhaft für die anhaltende Bedrohungslage in kommunalen Verwaltungen und lenkt den Blick auf eine kommende europäische Regulierung.
Was ist passiert?
Nach Entdeckung des Vorfalls trennte die Gemeinde betroffene Systeme vorsorglich vom Netz, um eine mögliche Ausbreitung einzudämmen. In der Folge war die Verwaltung zeitweise per E-Mail nicht erreichbar, der telefonische Kontakt blieb jedoch möglich.
Das Landeskriminalamt und die Landesdatenschutzbehörde wurden informiert. Zudem wurden externe IT-Sicherheitsexperten zur Analyse hinzugezogen. Ob Bürgerdaten betroffen sind, war zunächst Gegenstand der Ermittlungen. Am 8. Juni 2026 war die Lage unverändert.
Ausblick: der EU Cyber Resilience Act
Vorfälle wie dieser verdeutlichen, warum die EU die Sicherheit digitaler Produkte stärker reguliert. Mit dem EU Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847), der seit dem 10. Dezember 2024 in Kraft ist, kommen gestaffelte Pflichten auf Hersteller von Produkten mit digitalen Elementen zu. Das BSI fasst die wesentlichen Anforderungen zusammen. Betroffen sind nahezu alle Produkte mit digitalen Elementen.
Die Pflichten greifen in mehreren Stufen:
- Ab dem 11. September 2026 gelten Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle. Vorgesehen sind eine Frühwarnung an die ENISA und die zuständige nationale Behörde binnen 24 Stunden, eine vollständige Meldung binnen 72 Stunden sowie ein Abschlussbericht binnen 14 Tagen.
- Ab dem 11. Dezember 2027 gelten die vollständigen Cybersicherheitsanforderungen. Dazu zählen unter anderem Secure by Design, eine Software-Stückliste (SBOM), ein Schwachstellenmanagement sowie die Bereitstellung von Sicherheitsupdates über einen Zeitraum von mindestens fünf Jahren.
Was bedeutet das in der Praxis?
Der CRA verschiebt die Verantwortung stärker auf die Hersteller. Künftig soll Sicherheit bereits in der Entwicklung mitgedacht werden, statt erst nachträglich ergänzt zu werden. Die Software-Stückliste schafft Transparenz darüber, welche Komponenten in einem Produkt stecken. Das ist entscheidend, um im Fall einer neuen Schwachstelle schnell reagieren zu können. Die mehrjährige Update-Pflicht stellt sicher, dass Produkte auch nach dem Kauf über einen längeren Zeitraum abgesichert bleiben.
Für Kommunen und andere Anwender bedeutet das mittelfristig, dass sie sich stärker auf sichere Produkteigenschaften und verlässliche Updates verlassen können. Bis die vollständigen Anforderungen greifen, bleibt jedoch grundlegende Vorsorge entscheidend: aktuelle Software, durchdachte Notfallpläne und die Fähigkeit, betroffene Systeme im Ernstfall schnell zu isolieren, wie es die Gemeinde Dallgow-Döberitz getan hat.
Verwandte Meldungen
- Cyberangriff auf die Stadtverwaltung Heinsberg – ein weiterer Vorfall in einer kommunalen Verwaltung.
- NIS-2-Umsetzungsgesetz in Kraft – eine weitere zentrale Regulierung zur Cybersicherheit.
- NIS-2: BSI-Portal online – konkrete Pflichten für betroffene Einrichtungen.
Fazit
Der Vorfall in Dallgow-Döberitz zeigt erneut, dass kommunale Verwaltungen ein attraktives Ziel für Cyberangriffe sind und ein schnelles, besonnenes Vorgehen entscheidend ist. Zugleich verdeutlicht der Blick auf den Cyber Resilience Act, dass die EU die Sicherheit digitaler Produkte künftig deutlich strenger reguliert. Hersteller sollten sich frühzeitig auf die ab dem 11. September 2026 geltenden Meldepflichten und die ab dem 11. Dezember 2027 greifenden Anforderungen vorbereiten.