SächsISichG: Neue Meldepflichten für Cyber-Vorfälle in Kraft

Ab sofort müssen Behörden in Sachsen IT-Sicherheitsvorfälle innerhalb von 24 Stunden melden. Die neuen Pflichten des aktualisierten Sächsischen Informationssicherheitsgesetzes (SächsISichG) gelten seit dieser Woche und stellen Kommunen vor große Herausforderungen. Die Regelung harmonisiert Landesrecht mit den verschärften EU-Vorgaben der NIS-2-Richtlinie.

24-Stunden-Frist für „erhebliche Vorfälle“

Im Kern der Novelle steht eine drastisch verkürzte Meldefrist. Staatliche Stellen und betroffene nicht-staatliche Einrichtungen – dazu zählen auch kommunale Verwaltungen – müssen „erhebliche Sicherheitsvorfälle“ nun innerhalb eines Tages an das sächsische Computer Emergency Response Team (SAX.CERT) und den Landes-CISO melden. Eine detaillierte Meldung folgt binnen 72 Stunden.

Was als „erheblich“ gilt, ist klar definiert: schwerwiegende Betriebsstörungen, finanzielle Verluste oder die Gefahr von Schäden für Dritte. Ein Ransomware-Angriff auf ein Bürgerportal ist damit kein internes Problem mehr, sondern ein meldepflichtiger Notfall. Diese „Geschwindigkeit der Transparenz“ soll verhindern, dass sich Cyberangriffe im Sächsischen Verwaltungsnetz (SVN) weiter ausbreiten.

Warum 73% der deutschen Organisationen auf Cyberangriffe nicht vorbereitet sind — und was das für Kommunen bedeutet. Neue Meldepflichten wie NIS‑2 verlangen automatisierte Erkennung und schnelle Reaktion; fehlende Monitoring‑Systeme erhöhen das Risiko von Betriebsstörungen und Reputationsschäden. Unser kostenloser Praxisleitfaden erklärt konkrete, sofort umsetzbare Maßnahmen zur Stärkung der IT‑Sicherheit, zur Automatisierung von Meldeprozessen und zur Minimierung von Bußgeldern. Kostenlosen Cyber‑Security‑Guide für Verwaltungen herunterladen

Kommunen unter Druck

Besonders betroffen sind Sachsens Städte und Gemeinden. Während die frühere Fassung des Gesetzes auf freiwillige Kooperation setzte, sind Kommunen als „nicht-staatliche Stellen“ jetzt verpflichtet, Sicherheitsvorfälle zu melden. Für viele, besonders kleinere Verwaltungen, bedeutet das erheblichen Anpassungsbedarf.

„Ohne automatisierte Monitoring-Systeme ist die 24-Stunden-Frist praktisch nicht einzuhalten“, erklärt ein Branchenkenner. Die Sächsische Anstalt für Kommunale Datenverarbeitung (SAKD) unterstützt die Kommunen bei der Einrichtung notwendiger IT-Sicherheitsmanagementsysteme. Zudem erhält der Landes-CISO neue Befugnisse: Im Krisenfall kann er angewiesene Netzsegmente von der Landesinfrastruktur trennen, um eine weitere Gefährdung zu stoppen.

Harmonisierung mit Bundesrecht

Der verschärfte Vollzug ist eine direkte Folge der bundesweiten Umsetzung der EU-NIS-2-Richtlinie. Das NIS-2-Umsetzungsgesetz des Bundes trat am 6. Dezember 2025 in Kraft und ließ für die Kernmaßnahmen keine Übergangsfristen. Sachsen, das mit seinem Gesetz von 2019 und einer Änderung 2024 bereits Vorreiter war, hat die Bundesvorgaben nun in die bestehenden Strukturen integriert.

Der Vorteil dieses „sächsischen Wegs“: Es entsteht keine parallele Bürokratie. SAX.CERT und der Landes-CISO bearbeiten auch die NIS-2-Meldungen. Das soll verhindern, was Experten als „Müdigkeit durch Meldeflut“ warnen. Die enge Verzahnung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zudem ein einheitliches Lagebild für Deutschland schaffen.

Die Schonfrist ist vorbei

Für Unternehmen und öffentliche Einrichtungen sind die Jahre 2024 und 2025 als Übergangsphase endgültig vorbei. Die Sächsische Staatskanzlei macht klar, dass Verstöße gegen die Meldepflicht nicht nur behördliche Konsequenzen, sondern auch erheblichen Reputationsschaden nach sich ziehen können.

Der Fokus liegt 2026 auf der Überprüfung der Einhaltung. Der Landes-CISO muss dem Sächsischen Landtag einen Bericht zum Stand der IT-Sicherheit vorlegen. Für IT-Administratoren in Dresden, Leipzig und Chemnitz beginnt eine neue Realität: Stillschweigen ist keine Option mehr. Die verpflichtende Meldung von Sicherheitsvorfällen ist zur Grundlage der digitalen Verteidigung Sachsens geworden.

PS: Sie müssen IT‑Sicherheitsmaßnahmen umsetzen, ohne gleich große Budgets oder zusätzliches Personal einzustellen. Unser Gratis‑Leitfaden zeigt praxisorientierte, kosteneffiziente Schritte — von Monitoring‑Priorisierung bis zu Checklisten für Meldeprozesse — speziell zugeschnitten für öffentliche Verwaltungen. So schützen Sie Bürgerdienste und vermeiden teure Ausfälle. Jetzt kostenlosen Leitfaden zur Stärkung der IT‑Sicherheit herunterladen