Die digitale Bedrohungslage in Deutschland nimmt stetig zu, und die Bundesregierung reagiert:
Das Bundeskabinett hat am 30. Juli 2025 ein neues IT-Sicherheitsgesetz verabschiedet, das die Cybersicherheit in Deutschland grundlegend stärken soll.
Mit diesem Gesetz wird die zweite europäische NIS-2-Richtlinie zur Netzwerk- und Informationssicherheit in deutsches Recht umgesetzt und das bestehende IT-Sicherheitsrecht umfassend modernisiert. Betroffen sind nun ~29.500 Unternehmen aus kritischen Bereichen.
Wer ist betroffen?
Das neue Gesetz erweitert den Kreis der verpflichteten Unternehmen erheblich. Neben den bisherigen Betreibern kritischer Infrastrukturen (KRITIS) rücken nun auch sogenannte „wichtige“ und „besonders wichtige Einrichtungen“ in den Fokus.
Die rund 29.500 Unternehmen sind Betriebe aus folgenden Bereichen:
- Energieversorgung
- Gesundheitswesen
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Wasserversorgung
- Ernährung
- Finanz- und Versicherungswesen
- Siedlungsabfallentsorgung
Diese deutliche Ausweitung des Anwendungsbereichs zeigt, wie ernst die Bundesregierung die Cyberbedrohung nimmt. Die betroffenen Branchen bilden das Rückgrat der deutschen Wirtschaft und sind bei Cyberangriffen, die weitreichende gesellschaftliche Auswirkungen haben können, besonders zu schützen.
Konkrete Anforderungen für Unternehmen
Präventive Schutzmaßnahmen
Alle betroffenen Unternehmen müssen künftig umfassende Sicherheitsvorkehrungen etablieren:
- Risikoanalysen: Systematische Bewertung der Cyberbedrohungen
- Notfallpläne: Vorbereitete Reaktionsstrategien für den Ernstfall
- Backup-Konzepte: Sichere Datensicherung und Wiederherstellungsverfahren
- Verschlüsselungslösungen: Schutz sensibler Daten durch Kryptographie
Das Ausmaß der erforderlichen Schutzmaßnahmen richtet sich dabei nach der Bedeutung der jeweiligen Einrichtung – ein ausgewogenes Verhältnis zwischen Sicherheitsanforderungen und praktischer Umsetzbarkeit bleibt also gewahrt.
Strenge Meldepflichten im Ernstfall
Bei einem Cyberangriff greifen künftig straffe Meldefristen:
- 24 Stunden: Erste Meldung des Sicherheitsvorfalls
- 72 Stunden: Zwischenbericht mit ersten Erkenntnissen
- Ein Monat: Vollständiger Abschlussbericht
Diese Meldekette soll eine schnelle Reaktion ermöglichen und anderen Unternehmen helfen, sich vor ähnlichen Angriffen zu schützen.
Erweiterte Befugnisse für das BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält durch das neue Gesetz deutlich erweiterte Aufsichtsbefugnisse. Die Behörde kann künftig:
- Unternehmen gezielter bei der Umsetzung von Sicherheitsmaßnahmen begleiten
- Die Einhaltung der Sicherheitsstandards aktiv überwachen
- Bei schwerwiegenden Verstößen Bußgelder verhängen, die sich am Jahresumsatz der Unternehmen orientieren
Diese Stärkung der Aufsicht soll sicherstellen, dass die neuen Vorschriften nicht nur auf dem Papier stehen, sondern auch konsequent umgesetzt werden. Das BSI stellt bereits jetzt umfangreiche Informationen bereit, inklusive eines digitalen Tools zur Selbsteinschätzung, damit Unternehmen frühzeitig prüfen können, welche Regelungen für sie relevant sind.
Politische Einordnung
Bundesinnenminister Alexander Dobrindt betonte die Bedeutung des Gesetzes: „Mit dem neuen Gesetz schaffen wir ein deutlich höheres Sicherheitsniveau für unsere Wirtschaft und Verwaltung. Unternehmen und Behörden werden widerstandsfähiger gegen Cyberangriffe. Wir setzen dabei auf klare Regeln ohne unnötige Bürokratie.“
Die Zielrichtung ist klar: Unternehmen sollen ihre wichtigen Dienstleistungen auch im Ernstfall zuverlässig aufrechterhalten können, zum Wohl der gesamten Gesellschaft.
Ausblick: KRITIS-Dachgesetz und besserer Schutz der Bundesverwaltung
Parallel zur NIS-2-Umsetzung arbeitet das Bundesinnenministerium bereits am nächsten großen Schritt: einem sogenannten KRITIS-Dachgesetz. Dieses soll erstmals branchenübergreifende Mindeststandards für den physischen Schutz kritischer Infrastrukturen festlegen – eine wichtige Ergänzung zu den digitalen Sicherheitsmaßnahmen. Bereiche wie Strom, Wasser, Gesundheit oder Ernährung stehen dabei im Fokus.
Zusätzlich wird auch die Bundesverwaltung selbst besser abgesichert, um mit gutem Beispiel voranzugehen und ihre eigenen IT-Systeme zukunftssicher zu machen.
Fazit:
Ein notwendiger Schritt in turbulenten Zeiten. Das neue IT-Sicherheitsgesetz kommt zu einem kritischen Zeitpunkt. Cyberangriffe auf kritische Infrastrukturen nehmen weltweit zu, und Deutschland kann es sich nicht leisten, unvorbereitet zu sein. Mit der Umsetzung der NIS-2-Richtlinie schließt die Bundesregierung wichtige Sicherheitslücken und stellt nun endlich die Weichen für eine resilientere digitale Zukunft.
Für die betroffenen Unternehmen bedeutet dies zunächst zusätzlichen Aufwand, aber langfristig auch mehr Sicherheit und Vertrauen in ihre digitalen Prozesse. Der Bundestag muss dem Gesetzentwurf noch zustimmen, doch angesichts der breiten politischen Unterstützung für mehr Cybersicherheit ist mit einer baldigen Verabschiedung zu rechnen.
Die digitale Transformation unserer Gesellschaft erfordert nicht nur Innovation, sondern auch Sicherheit. Mit diesem Gesetz macht Deutschland einen wichtigen Schritt in die richtige Richtung.
Quellen: bmi.bund.de | it-fachportal.de | cio.de | nis2-navigator.de | bsi.de