IT-Sicherheit wird Pflicht: Neue Gesetze treffen deutsche Unternehmen

Deutsche Firmen stehen vor einer historischen Wende in der IT-Sicherheit. Zwei neue Gesetze machen digitale und physische Resilienz zur rechtlichen Pflicht – und setzen das Management persönlich haftbar.

Doppelschlag aus Brüssel und Berlin

Die Lage ist ernst: Während Tausende Unternehmen eine erste EU-Frist verpasst haben, tritt bereits das nächste Gesetz in Kraft. Am 17. März 2026 startete das KRITIS-Dachgesetz, das den physischen Schutz kritischer Infrastrukturen regelt. Nur elf Tage zuvor, am 6. März, lief die Anmeldefrist für die NIS-2-Richtlinie ab – mit verheerendem Ergebnis.

Angesichts neuer Gesetze und steigender Bedrohungen sind viele deutsche Unternehmen unzureichend auf Cyberangriffe vorbereitet. Dieser kostenlose Leitfaden zeigt Geschäftsführern, wie sie die IT-Sicherheit ohne Budget-Explosion stärken und rechtliche Konsequenzen vermeiden. Effektive Strategien zur Cyber-Security jetzt entdecken

Laut aktuellen Daten registrierten sich bis zum Stichtag nur etwa 11.500 der schätzungsweise 30.000 betroffenen Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Das bedeutet: Über 18.000 Firmen befinden sich bereits im Verzug und riskieren Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent ihres weltweiten Jahresumsatzes.

Warum die Compliance so schwer fällt

Eine Studie des Leibniz-Zentrums für Europäische Wirtschaftsforschung (ZEW) offenbart die Gründe für das massive Versagen. Rund 60 Prozent der befragten Unternehmen klagen über übermäßigen bürokratischen Aufwand. 17 Prozent geben sogar zu, die Anforderungen aktuell gar nicht erfüllen zu können.

Dabei sind die Vorgaben klar: Unternehmen müssen Sicherheitsvorfälle innerhalb von 24 Stunden melden und binnen 72 Stunden einen detaillierten Bericht vorlegen. Die Schutzziele haben sich erweitert – neben Vertraulichkeit, Integrität und Verfügbarkeit gehören nun auch Lieferketten-Sicherheit und physische Resilienz zum Pflichtprogramm.

KRITIS-Gesetz verschärft die Lage

Während NIS-2 die Cybersicherheit regelt, setzt das neue KRITIS-Dachgesetz die EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER) um. Es betrifft zehn strategische Sektoren – von Energie und Gesundheitswesen bis zu Transport und Telekommunikation.

Betreiber müssen ihre physische Infrastruktur künftig gegen Naturgefahren, Sabotage und Terrorangriffe schützen. Bis zum 17. Juli 2026 müssen sie sich sowohl beim BSI als auch beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren.

Die größte Hürde: Unternehmen dürfen keinen gemeinsamen Meldeweg mehr nutzen. Jeder Betreiber muss eigene, hochverfügbare Kontaktstellen aufbauen – eine kostspielige und aufwändige Anforderung.

Management haftet persönlich

Die vielleicht einschneidendste Veränderung betrifft die Unternehmensführung. Geschäftsführer und Vorstände müssen Sicherheitsmaßnahmen nun persönlich absegnen und überwachen. Bei Versäumnissen droht ihnen persönliche Haftung nach Gesellschaftsrecht.

„Die Verantwortung lässt sich nicht mehr einfach an die IT-Abteilung delegieren“, erklärt ein Rechtsanwalt für IT-Sicherheitsrecht. „Das Management muss regelmäßig geschult werden und trägt die letzte Verantwortung.“

Hacker nutzen oft psychologische Schwachstellen aus, um sensible Unternehmensbereiche zu infiltrieren und Rekord-Schäden zu verursachen. Schützen Sie Ihre Organisation mit dieser 4-Schritte-Anleitung proaktiv vor Phishing-Attacken und CEO-Fraud. Kostenlosen Anti-Phishing-Guide herunterladen

Cyberangriffe zeigen die Dringlichkeit

Die Notwendigkeit der strengen Regeln unterstreicht ein Vorfall vom 16. März 2026: Das polnische Nationale Zentrum für Kernforschung (NCBJ) wehrte einen gezielten Cyberangriff auf seine IT-Infrastruktur ab. Die Einrichtung betreibt den einzigen aktiven Kernforschungsreaktor des Landes.

Sicherheitsexperten beobachten eine Zunahme solcher Attacken auf Energieversorger, Forschungseinrichtungen und Behörden. Die Angreifer zielen auf Sabotage, Datendiebstahl und Destabilisierung – für deutsche Unternehmen eine klare Warnung.

Was jetzt auf die Unternehmen zukommt

Der regulatorische Kalender bleibt voll: Nach der NIS-2-Implementierung und dem KRITIS-Gesetz stehen bereits die nächsten EU-Regelungen an. Der Cyber Resilience Act (CRA) und die zweite Stufe des Data Act ab September 2026 werden weitere Anforderungen an Produktsicherheit und Datenaustausch stellen.

Unternehmen müssen jetzt handeln: Gap-Analysen durchführen, digitale und physische Sicherheitsstrategien zusammenführen und eine durchgängige Resilienz-Kultur etablieren. Die Ära freiwilliger IT-Sicherheit ist endgültig vorbei – die Ära der verbindlichen Compliance hat begonnen.

boerse | 68832175 |