KRITIS-Dachgesetz und NIS2: Neuer Prüfungsdruck für deutsche Unternehmen

Eine neue Ära der IT-Compliance hat begonnen. Zehntausende deutsche Firmen müssen ihre Sicherheits- und Prüfungsstrategien jetzt grundlegend überarbeiten.

Grund sind zwei neue Gesetze: das kürzlich verabschiedete KRITIS-Dachgesetz und die bereits geltende Umsetzung der NIS2-Richtlinie. Zusammen schaffen sie einen ganzheitlichen Regulierungsrahmen, der weit über reine IT-Sicherheit hinausgeht. Im Fokus stehen nun auch die physische Widerstandsfähigkeit von Anlagen und die persönliche Haftung der Geschäftsführung.

Die Zeit reaktiver Maßnahmen ist vorbei. Unternehmen müssen künftig proaktiv nachweisen, dass sie gegen ein breites Spektrum von Gefahren gewappnet sind – von Cyberangriffen über physische Sabotage bis zu Klimafolgen.

KRITIS-Dachgesetz: Der Fokus weitet sich auf physische Gefahren

Das Ende Januar vom Bundestag beschlossene Dachgesetz markiert einen Paradigmenwechsel. Es setzt die europäische CER-Richtlinie in nationales Recht um und etabliert erstmals einen umfassenden Rahmen für die physische Sicherheit kritischer Infrastrukturen.

Der neue „All-Gefahren-Ansatz“ berücksichtigt explizit klimabedingte Katastrophen, Terrorismus und menschliches Versagen. Für Prüfer bedeutet das eine massive Ausweitung ihres Aufgabenbereichs. Künftige Audits werden nicht nur Firewalls, sondern auch Notfallpläne, Zutrittskontrollen und die allgemeine organisatorische Resilienz unter die Lupe nehmen.

Eine zentrale Rolle erhält dabei das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), das neben dem BSI zur wichtigen Aufsichtsbehörde aufsteigt.

Viele Unternehmen sind auf die neuen Pflichten durch NIS2 und das KRITIS‑Dachgesetz nicht vorbereitet. Wer Audits, Meldepflichten und erweiterte Prüfanforderungen erfüllen muss, braucht pragmatische, sofort umsetzbare Maßnahmen zur Stärkung von IT‑ und Prozesssicherheit. Das kostenlose E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen, konkrete Schutzmaßnahmen und Compliance‑Checklisten zusammen – ideal für Geschäftsführung und IT‑Leitung. Jetzt kostenlosen Cyber‑Security‑Leitfaden herunterladen

NIS2: Verschärfte Cyber-Pflichten für 30.000 Firmen

Parallel verschärft das seit Dezember geltende NIS2-Umsetzungsgesetz die Anforderungen an die Cybersicherheit drastisch. Der Kreis der betroffenen Unternehmen hat sich von etwa 4.500 auf rund 30.000 Organisationen ausgeweitet.

Besonders im Blick sind „besonders wichtige Einrichtungen“ (BWE), zu denen alle KRITIS-Betreiber zählen. Sie unterliegen einer proaktiven Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und müssen regelmäßig die Umsetzung konkreter Sicherheitsmaßnahmen nachweisen.

Dazu gehören ein umfassendes Risikomanagement, Pläne für Sicherheitsvorfälle, die Absicherung von Lieferketten und der Einsatz von Verschlüsselung. Ein kritischer Prüfpunkt werden die neuen, mehrstufigen Meldepflichten für erhebliche Vorfälle innerhalb enger Zeitfenster sein.

ISO 27001 allein genügt nicht mehr – Haftung steigt

Für die Revisionspraxis hat diese Entwicklung tiefgreifende Folgen. Eine Zertifizierung nach etablierten Standards wie ISO 27001 wird zwar anerkannt, reicht allein aber nicht mehr aus. Das BSI hat eigene, verbindliche Nachweisverfahren etabliert, die über den Rahmen solcher Zertifikate hinausgehen können.

Noch gravierender ist die explizit gesetzlich verankerte persönliche Haftung der Geschäftsleitung. Die IT-Compliance wird damit von einer technischen zu einer Top-Management-Aufgabe. Die Führungsebene muss sicherstellen, dass Risikomanagementprozesse angemessen sind und überwacht werden. Interne und externe Revisionen werden zum zentralen Instrument, um diese Haftungsrisiken zu minimieren.

Größte Herausforderung für den Mittelstand

Die neuen Gesetze signalisieren einen strategischen Wandel hin zu einem integrierten Sicherheitsverständnis. Digitale und physische Bedrohungen werden nicht mehr isoliert, sondern als zusammenhängende Risiken betrachtet.

Die größte Herausforderung trifft den deutschen Mittelstand. Viele Unternehmen rücken erstmals in den Fokus einer solch strengen Regulierung, haben aber oft nicht die personellen oder finanziellen Ressourcen für eine schnelle Umsetzung. Experten erwarten daher einen stark steigenden Bedarf an externer Beratung und spezialisierten Prüfungsdienstleistungen.

Die Implementierungsphase hat begonnen. Das BSI wird seine Kontrollen 2026 voraussichtlich deutlich intensivieren. Für betroffene Unternehmen ist Abwarten keine Option mehr. Der neue Prüfungsdruck erfordert ein tief in der Organisation verankertes Verständnis für Risikomanagement und Resilienz.

PS: Neben IT‑Risiken geht es jetzt auch um belegbare organisatorische Nachweise für Prüfungen und Audits. Der Gratis‑Report liefert praxisnahe Schritte, wie Sie Risikomanagement, Meldewege und Awareness‑Programme so dokumentieren, dass BSI‑Kontrollen und Auditoren bestehen. Ideal für Mittelstand und Verantwortliche, die Compliance‑Lücken schnell schließen wollen. Gratis‑E‑Book zur Cyber‑Sicherheit sichern