Bundesregierung stärkt digitale Resilienz von Wirtschaft und Staat
Mit dem neuen Cybersicherheitsgesetz setzt Deutschland NIS-2 um: Strengere IT-Standards, Meldepflichten und BSI-Kontrollen stärken digitale Resilienz.
Mit einem weitreichenden Gesetzespaket zur Cybersicherheit bringt die Bundesregierung die Digitalisierung in Deutschland auf ein neues Sicherheitsniveau. In der Kabinettssitzung vom 30.07.2025 wurde der Gesetzentwurf von Bundesinnenminister Alexander Dobrindt beschlossen, mit dem die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) in nationales Recht überführt wird.
Ziel des Gesetzes ist eine tiefgreifende Modernisierung des bestehenden IT-Sicherheitsrechts sowie eine systematische Ausweitung der Schutzpflichten für Unternehmen und Behörden. Rund 29.500 Organisationen aus kritischen und stark digitalisierten Wirtschaftsbereichen werden künftig explizit zur aktiven Mitwirkung an der Cybersicherheit verpflichtet.
Der Anwendungsbereich wird deutlich erweitert: Neben klassischen Betreibern Kritischer Infrastrukturen (KRITIS) – etwa in den Sektoren Energie, Wasser, Verkehr und Gesundheit – werden künftig auch sogenannte „wichtige“ und „besonders wichtige Einrichtungen“ in die Pflicht genommen. Dazu zählen unter anderem IT-Dienstleister, Anbieter digitaler Plattformen und Unternehmen mit hoher wirtschaftlicher Relevanz.
Betroffene Unternehmen müssen künftig eine Reihe von Mindeststandards zur Cybersicherheit implementieren. Dazu gehören unter anderem:
- regelmäßige Risikoanalysen,
- Notfall- und Wiederherstellungspläne,
- verschlüsselte Datenverarbeitung
- und kontinuierliche Schwachstellenmanagementprozesse.
Maßnahmen und Umfang richten sich nach Risikoprofil und Bedeutung der jeweiligen Einrichtung – das Verhältnis von Aufwand und Wirkung bleibt somit gewahrt.
Im Falle eines Cyberangriffs greift ein mehrstufiges Meldeverfahren:
Innerhalb von 24 Stunden ist eine Ersteinschätzung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) abzugeben, innerhalb von 72 Stunden ein Zwischenstand und nach spätestens 30 Tagen ein detaillierter Abschlussbericht.
Das BSI wird zur zentralen Kontrollinstanz ausgebaut und erhält erweiterte Befugnisse zur Prüfung und Durchsetzung der Sicherheitsanforderungen. Bei Verstößen drohen künftig empfindliche Sanktionen und die Bußgelder können sich an den Jahresumsätzen der betroffenen Unternehmen orientieren. Ein digitales Selbsteinschätzungstool des BSI unterstützt Unternehmen bei der Ermittlung der individuellen Betroffenheit und der angemessenen Maßnahmen: www.bsi.bund.de
Parallel zum neuen Cybersicherheitsgesetz plant das Bundesinnenministerium ein KRITIS-Dachgesetz. Erstmals sollen darin branchenübergreifende Mindeststandards für den physischen Schutz kritischer Infrastrukturen festgelegt werden, etwa für Energieversorgung, Gesundheitswesen oder Ernährungswirtschaft.
Die Botschaft ist eindeutig: Resilienz wird zur Führungsaufgabe. Unternehmen, die kritische Dienstleistungen erbringen, sollen auch im Krisenfall leistungsfähig bleiben, zum Schutz von Wirtschaft, Gesellschaft und Staat.