KRITIS-Gesetz und NIS-2: Doppelter Druck auf deutsche Unternehmen

Deutschlands kritische Infrastrukturen stehen vor einem historischen Umbruch. Zwei neue Gesetze zwingen Tausende Unternehmen zu mehr physischer und digitaler Sicherheit – doch viele sind nicht vorbereitet.

Die neuen gesetzlichen Anforderungen an die IT-Sicherheit stellen besonders den Mittelstand vor enorme Herausforderungen. Dieser kostenlose Experten-Report zeigt Ihnen effektive Strategien auf, wie Sie Ihr Unternehmen ohne Budget-Explosion und zusätzliche IT-Stellen gegen Cyberkriminelle wappnen. Effektive IT-Sicherheitsstrategien jetzt kostenlos entdecken

Bundesrat gibt grünes Licht für KRITIS-Dachgesetz

Am 6. März 2026 hat der Bundesrat den Weg für das KRITIS-Dachgesetz freigemacht. Es ist die nationale Umsetzung der EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER). Der entscheidende Unterschied: Bisher lag der Fokus auf Cyberangriffen, jetzt müssen Unternehmen auch physische Gefahren wie Naturkatastrophen, Sabotage oder Terrorabwehr planen.

Der Gesetzgebungsprozess war hart umkämpft. Hauptstreitpunkt war die Schwelle, ab der eine Anlage als „kritisch“ gilt. Das Gesetz setzt sie bei der Versorgung von mehr als 500.000 Einwohnern an. Die Länder hatten sich für 150.000 eingesetzt. Der Kompromiss: eine Länderöffnungsklausel. Sie erlaubt den Bundesländern, auch kleinere Anlagen unter Schutz zu stellen. Juristen warnen vor einem Flickenteppich aus Bundes- und Landesvorschriften.

NIS-2: Frist verpasst, Bußgelder drohen

Während das KRITIS-Gesetz die physische Sicherheit regelt, sorgt das NIS-2-Umsetzungsgesetz für digitale Resilienz. Die erste große Frist lief am 6. März ab: Rund 29.500 betroffene Unternehmen mussten sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Die Bilanz ist alarmierend. Laut Branchendaten vom 10. März haben nur 38,5 Prozent der Pflichtigen die Registrierung fristgerecht abgeschlossen. Noch zwei Wochen zuvor waren es weniger als 5.000. Ein Ansturm in letzter Minute brachte etwa 6.600 weitere Meldungen – die große Mehrheit bleibt aber säumig.

Die Konsequenzen sind drastisch. Das BSI kann nun Anordnungen erlassen und hohe Bußgelder verhängen. Bei schweren Verstößen sind bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes möglich. Besonders brisant: Die Haftung für Cybersicherheitsversagen liegt jetzt direkt beim Vorstand.

Industrie warnt auf erstem KRITIS-Gipfel

Die wachsende Komplexität dieser doppelten Regulierung war Thema des ersten KRITIS-Gipfels am 10. März in Berlin. Verbände wie der BDEW und der VKU diskutierten mit Politik und Bundeswehr die praktischen Herausforderungen.

Die Branche übt scharfe Kritik an den aktuellen Transparenzpflichten. Durch Open-Data-Vorgaben und Informationsfreiheitsgesetze müssten Betreiber sensible Infrastrukturdaten veröffentlichen – eine Fundgrube für potenzielle Angreifer. Die Forderung: Diese Offenlegungsregeln gehören dringend überprüft.

Ein weiterer Kritikpunkt sind die Kommunikationsnetze. Bei einem großflächigen Blackout würden kommerzielle Mobilfunknetze wegen leerer Akkus in Basisstationen schnell ausfallen. Die Industrie fordert ein eigenes, krisensicheres Kommunikationsnetz für die Koordination mit Behörden.

Analyse: Doppelte Last für die Wirtschaft

Die Ereignisse der ersten März-Woche zementieren eine Zwei-Säulen-Architektur für den Unternehmensschutz. Energieversorger, Krankenhäuser, Verkehrsbetriebe und IT-Dienstleister müssen ihre Compliance-Strategien jetzt auf zwei Gesetze abstimmen: den BSI-Katalog für Cybersicherheit und das KRITIS-Dachgesetz für physischen Schutz.

Besonders hart trifft es den Mittelstand. Viele Firmen wurden erst durch NIS-2 als „wichtige Einheit“ eingestuft und haben keine eigene Compliance-Abteilung. Die niedrige Registrierungsquote ist für Beobachter ein Symptom tiefer liegender Überforderung, nicht bloßer Nachlässigkeit.

Phishing-Angriffe gehören zu den größten Gefahren für die Betriebssicherheit und führen aktuell zu Rekord-Schäden in deutschen Unternehmen. Dieser kostenlose Report enthüllt die neuesten Hacker-Methoden und zeigt Ihnen, wie Sie Ihre Organisation wirksam vor CEO-Fraud und Schadprogrammen schützen. Anti-Phishing-Paket für Unternehmen kostenlos sichern

Was kommt jetzt auf die Unternehmen zu?

Der regulatorische Druck wird weiter steigen. Das KRITIS-Dachgesetz tritt nach Verkündung im Bundesgesetzblatt in Kraft, voraussichtlich Ende März oder Anfang April. Anschließend müssen Betreiber Risikoanalysen erstellen und Resilienzpläne vorlegen. Die Bundesregierung will die Wirkung des Gesetzes schon nach zwei Jahren evaluieren – statt wie üblich nach fünf.

Für die NIS-2-Säumigen wird es ernst. Cybersecurity-Berater raten zur sofortigen Nachholung der Registrierung, um Bußgelder zu mindern. In den kommenden Monaten werden die ersten Audits und Strafverfahren erwartet. Sie werden Präzedenzfälle für die Haftung von Unternehmen im Bereich Infrastrukturschutz schaffen.

boerse | 68661265 |