KRITIS-Gesetz: 40.000 Unternehmen müssen bis Juli IT-Sicherheit umkrempeln

Bis zu 40.000 deutsche Unternehmen müssen bis Juli ihre IT-Sicherheit grundlegend umkrempeln. Der Grund: Ein neues regulatorisches Paket aus Brüssel und Berlin stellt die Weichen für eine Ära der digitalen Widerstandsfähigkeit. Statt bloßem Schutz geht es künftig um die Fähigkeit, nach einem Angriff schnell wieder handlungsfähig zu sein.

KRITIS-Gesetz und NIS2: Die neue Realität für Unternehmen

Seit März 2026 ist das KRITIS-Dachgesetz in Kraft – und setzt Betreiber kritischer Infrastrukturen massiv unter Druck. Rund 1.300 Unternehmen müssen sich bis zum 17. Juli 2026 beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Die Anforderungen sind hart: Redundante, netzunabhängige Kommunikationssysteme – etwa per Funk – werden zur Pflicht.

Angesichts verschärfter Gesetze wie NIS2 und dem KRITIS-Dachgesetz stehen viele Unternehmen vor der Herausforderung, ihre Sicherheitsstrategie grundlegend zu modernisieren. Wie Sie Sicherheitslücken effizient schließen und die neuen gesetzlichen Anforderungen ohne horrende Investitionen erfüllen, zeigt dieser Ratgeber. IT-Sicherheit stärken und Unternehmen schützen

Die finanziellen Risiken sind enorm. Verstöße gegen das KRITIS-Gesetz können mit bis zu 500.000 Euro geahndet werden. Die EU-weite NIS2-Richtlinie droht sogar mit Strafen von bis zu 10 Millionen Euro oder zwei Prozent des globalen Jahresumsatzes. Hinzu kommt: Die Geschäftsführung haftet persönlich für Sicherheitslücken.

„Die Zeiten, in denen ein einfaches Backup ausreichte, sind vorbei", erklärte heute ein Sprecher von Raiffeisen Stadtbank Wien und CPB Software bei der Vorstellung einer neuen Schutzlösung für kleine und mittlere Unternehmen (KMU). Der Hintergrund: In Österreich ist bereits jeder siebte Cyberangriff erfolgreich – mit Schäden von bis zu einer Million Euro pro Fall.

Cyberangriffe werden immer gefährlicher

Die Bedrohungslage verschärft sich rasant. Neun von zehn Angriffen basieren derzeit auf gestohlenen Identitäten. KI-Modelle wie das System „Mythos" können Schwachstellen inzwischen vollautomatisch aufspüren. Die Folgen sind dramatisch: Seit Inkrafttreten der Digital Operational Resilience Act (DORA) im Dezember 2025 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bereits mehr als 600 schwere Sicherheitsvorfälle registriert.

Betroffene Unternehmen müssen solche Vorfälle innerhalb von 24 Stunden melden. Wer seine Daten nicht schnell wiederherstellen kann, verstößt nicht nur gegen technische Standards, sondern auch gegen gesetzliche Auflagen.

Die Gesamtbilanz der Datenschutzverstöße spricht Bände: Fast 2.900 dokumentierte Fälle führten zu Bußgeldern in Höhe von rund sechs Milliarden Euro nach der DSGVO. Für einen typischen Mittelständler mit fünf Millionen Euro Jahresumsatz liegen die Prämien für eine Cyber-Versicherung inzwischen bei etwa 2.000 Euro pro Jahr.

Da immer mehr Cyberangriffe auf psychologische Manipulation und gestohlene Identitäten setzen, wird die Sensibilisierung der Mitarbeiter zum entscheidenden Sicherheitsfaktor. Dieser kostenlose Leitfaden enthüllt die aktuellen Methoden der Hacker und zeigt Ihnen in vier Schritten, wie Sie eine wirksame Abwehr in Ihrem Betrieb aufbauen. Anti-Phishing-Paket für Unternehmen jetzt kostenlos sichern

Mini-Rechenzentren als Alternative zur Cloud

Die Technologiebranche reagiert mit Innovationen. Im Trend liegen hyperkonvergente Infrastrukturen (HCI) auf Basis von 3-Nanometer-Chips. Diese „pocket-sized" Rechenzentren bieten KMU eine echte Alternative zur Public Cloud. Sie ermöglichen volle Datenhoheit bei überschaubaren Kosten – ein entscheidender Vorteil in Zeiten strenger Regulierung.

Doch viele kleine Unternehmen kämpfen mit der Umsetzung. Die EU hat zwar rund 16,5 Millionen Euro für das SECURE-Programm bereitgestellt. Die nationale Förderung in Deutschland fällt mit etwa 1,28 Millionen Euro pro Jahr jedoch vergleichsweise bescheiden aus.

Der Countdown läuft

Der Cyber Resilience Act (CRA) – seit Dezember 2024 in Kraft – nähert sich seinem nächsten Meilenstein. Ab 11. September 2026 gelten erste Meldepflichten für verschiedene Produktkategorien. Ab 2027 wird dann das Security-by-Design-Prinzip verpflichtend: Sicherheit muss von Anfang an in der Produktentwicklung verankert sein.

Branchenverbände bieten Hilfe an. Am 2. Juni 2026 findet in Zug (Schweiz) eine Informationsveranstaltung statt, bei der das Bundesamt für Cybersicherheit (BACS) konkrete Risiken und Abwehrstrategien für kleinere Unternehmen vorstellt.

Für den deutschen Mittelstand bleibt wenig Zeit. Wer bis zum 17. Juli nicht die neuen Anforderungen erfüllt, riskiert nicht nur hohe Strafen, sondern auch den Marktzugang. Die Botschaft der Regulierer ist eindeutig: Digitale Widerstandsfähigkeit ist keine Option mehr – sie ist zur Überlebensfrage geworden.

de | wirtschaft | 69429238 |