Bis­her: Nur Kri­ti­sche Infra­struk­tu­ren betroffen

Bis­lang hat­te das Cyber­si­cher­heits­recht einen engen Anwen­dungs­be­reich: Seit dem IT-Sicher­heits­ge­setz aus dem Jahr 2015 muss­ten vor allem Kri­ti­sche Infra­struk­tu­ren, also Anla­gen von hoher Bedeu­tung für das Funk­tio­nie­ren des Gemein­we­sens, ange­mes­se­ne orga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen tref­fen, damit die Ver­füg­bar­keit, Inte­gri­tät, Authen­ti­zi­tät und Ver­trau­lich­keit der IT gewähr­leis­tet ist. Ins­be­son­de­re ging es hier­bei um die Abwehr von Cyberangriffen.

In Deutsch­land sind aktu­ell mehr als 2.100 Kri­ti­sche Infra­struk­tu­ren beim Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) regis­triert. Dar­un­ter fal­len die in der Ver­ord­nung zur Bestim­mung Kri­ti­scher Infra­struk­tu­ren (BSI-Kri­tisV) gelis­te­ten Anla­gen, bei denen der dort genann­te Schwel­len­wert erreicht oder über­schrit­ten wird, bei­spiels­wei­se Abfall­be­hand­lungs­an­la­gen mit einer Kapa­zi­tät zur Behand­lung von Rest­ab­fall von min­des­tens 79.500 Ton­nen pro Jahr.

Aktu­ell: Gesetz zur Umset­zung der NIS-2-Richtlinie

Das neue IT-Sicher­heits­recht betrifft viel mehr Ein­rich­tun­gen und ent­hält kon­kre­te­re Anfor­de­run­gen. Das „Gesetz zur Umset­zung der NIS-2-Richt­li­nie und zur Rege­lung wesent­li­cher Grund­zü­ge des Infor­ma­ti­ons­si­cher­heits­ma­nage­ments in der Bun­des­ver­wal­tung“ tritt am 06.12.2025 in Kraft. Kern­stück der Umset­zung der NIS2-Richt­li­nie (EU) 2022/2555 ist eine umfang­rei­che Novel­le des BSI-Gesetzes.

Akteu­re der Pri­vat­wirt­schaft und der öffent­li­chen Hand betroffen

Rund 30.000 „beson­ders wich­ti­ge“ und „wich­ti­ge“ Ein­rich­tun­gen fal­len in den Anwen­dungs­be­reich des neu­en BSI-Geset­zes (§§ 28 ff.), das im Gesetz zur Umset­zung der NIS2-Richt­li­nie ent­hal­ten ist. Zusätz­lich sind die Zulie­fe­rer der genann­ten Ein­rich­tun­gen indi­rekt betrof­fen, da Letz­te­re ver­pflich­tet sind, für Sicher­heit in der Lie­fer­ket­te zu sor­gen. Für die Bun­des­ver­wal­tung gibt es eige­ne Bestimmungen.

Die strengs­ten Rege­lun­gen gel­ten für „beson­ders wich­ti­ge“ Ein­rich­tun­gen. Dies umfasst neben Kri­ti­schen Infra­struk­tu­ren (die fort­an „kri­ti­sche Anla­gen“ hei­ßen) unter ande­rem alle Unter­neh­men, die den in Anla­ge 1 des BSI-Geset­zes genann­ten Sek­to­ren wie etwa Trink­was­ser­ver­sor­gung oder Abwas­ser­be­sei­ti­gung ange­hö­ren. Hier­von aus­ge­nom­men sind klei­ne oder mitt­le­re Unter­neh­men (KMU), die zum einen weni­ger als 250 Per­so­nen beschäf­ti­gen und zum ande­ren einen Jah­res­um­satz von höchs­tens EUR 50 Mio. erzie­len oder deren Jah­res­bi­lanz­sum­me sich auf höchs­tens EUR 43 Mio. beläuft, wobei die Daten von Gesell­schaf­tern und Betei­li­gun­gen even­tu­ell zu berück­sich­ti­gen sind.

Für die Ein­ord­nung als „wich­ti­ge“ Ein­rich­tung genügt es, wenn das Unter­neh­men den in Anla­ge 1 oder Anla­ge 2 des BSI-Geset­zes genann­ten Sek­to­ren unter­fällt, was z.B. alle Unter­neh­men der Abfall­be­wirt­schaf­tung (§ 3 Ab. 14 des Kreis­lauf­wirt­schafts­ge­set­zes, KrWG) erfasst. Hier­bei sind KMU nicht gene­rell aus­ge­nom­men. Die Schwel­le ist nied­ri­ger ange­setzt: Auch mitt­le­re Unter­neh­men mit min­des­tens 50 Mit­ar­bei­tern oder mit sowohl Jah­res­um­satz als auch Jah­res­bi­lanz­sum­me von über EUR 10 Mio. kön­nen daher wich­ti­ge Ein­rich­tun­gen sein.

Über Unter­neh­men der Pri­vat­wirt­schaft hin­aus wer­den auch Anstal­ten und Kör­per­schaf­ten des öffent­li­chen Rechts erfasst. Hier­bei wer­den Eigen­be­trie­be als selbst­stän­di­ge Orga­ni­sa­ti­ons­ein­hei­ten behan­delt, so dass die IT betrof­fe­ner Eigen­be­trie­be von den Sys­te­men ande­rer Kom­mu­nal­be­trie­be abge­kop­pelt wer­den muss.

Anfor­de­run­gen an die Cybersicherheit

Alle „beson­ders wich­ti­gen“ und „wich­ti­gen“ Ein­rich­tun­gen müs­sen sich beim BSI regis­trie­ren und Risi­ko­ma­nage­ment­maß­nah­men ein­füh­ren, die u.a. Kon­zep­te, Schu­lun­gen, Back­up-Manage­ment und Mul­ti-Fak­tor-Authen­ti­fi­zie­rung beinhal­ten. Sicher­heits­maß­nah­men müs­sen dem Stand der Tech­nik ent­spre­chen. In der Pra­xis hel­fen die bereits in vie­len Bran­chen bestehen­den Stan­dards, dar­un­ter der neue bran­chen­spe­zi­fi­sche Sicher­heits­stan­dard für die Sied­lungs­ab­fall­ent­sor­gung (B3S SAE).

Bei erheb­li­chen Sicher­heits­vor­fäl­len greift künf­tig ein drei­stu­fi­ges Mel­de­sys­tem mit knapp bemes­se­nen Fris­ten: Erst­mel­dung (24 Stun­den), Detail­be­richt (72 Stun­den) und Abschluss­mel­dung zu den ergrif­fe­nen Abhil­fe­maß­nah­men etc. (1 Monat). Zusätz­lich zur Mel­dung an die Behör­de kann das BSI die­se Ein­rich­tun­gen auch dazu ver­pflich­ten, die Kun­den über den Vor­fall zu informieren.

Cyber­si­cher­heit ist zukünf­tig Chef­sa­che. Die Geschäfts­lei­tung wird durch das Gesetz direkt adres­siert und kann sei­ne Ver­ant­wor­tung nicht auf Beauf­trag­te dele­gie­ren. Sie muss regel­mä­ßig an Schu­lun­gen teil­neh­men und haf­tet bei Ver­stö­ßen nach den für die betref­fen­de Rechts­form vor­ge­se­he­nen Bestim­mun­gen. Das neue BSI-Gesetz zwingt damit vie­le Akteu­re zum Umden­ken bei der Gover­nan­ce in Fra­gen der IT-Sicherheit.

Hohe Buß­gel­der

Das neue BSI-Gesetz sank­tio­niert Ver­stö­ße gegen die neu­en Vor­ga­ben mit emp­find­li­chen Buß­gel­dern. Das gilt ins­be­son­de­re, soweit „beson­ders wich­ti­ge“ Ein­rich­tun­gen betrof­fen sind: Je nach Tat­be­stand kön­nen hier Buß­gel­der bis zu EUR 10 Mio. sowie bis zu 2% des welt­weit erziel­ten Jah­res­um­sat­zes ver­hängt wer­den. 

Ins­ge­samt bekommt das BSI als zen­tra­le Cyber­si­cher­heits­be­hör­de mehr Kom­pe­ten­zen für Auf­sichts- und Durch­set­zungs­maß­nah­men. Bei­spiels­wei­se kann es „beson­ders wich­ti­gen“ Ein­rich­tun­gen zu Audits oder Zer­ti­fi­zie­run­gen ver­pflich­ten. Zugleich fun­giert das BSI in der koor­di­nie­ren­den Funk­ti­on des Chief Infor­ma­ti­on Secu­ri­ty Offi­cer (CISO) als zen­tra­le Stel­le für die Cyber­si­cher­heit der Bundesverwaltung.

Aus­blick: KRI­TIS-Dach­ge­setz zur Umset­zung der CER-Richtlinie

Par­al­lel zur Novel­le des BSI-Geset­zes kommt ein wei­te­res Gesetz, das die CER-Richt­li­nie (EU) 2022/2557 über die Resi­li­enz kri­ti­scher Ein­rich­tun­gen umsetzt und einen kom­plett neu­en Rechts­akt ent­hält: das KRI­TIS-Dach­ge­setz. Im Vor­der­grund steht dort nicht die Cyber­si­cher­heit, son­dern die phy­si­sche Resi­li­enz. Als zen­tra­le Anlauf­stel­le für die phy­si­sche Resi­li­enz ist nicht das BSI, son­dern das Bun­des­amt für Bevöl­ke­rungs­schutz und Kata­stro­phen­hil­fe (BBK) vor­ge­se­hen. Der Anwen­dungs­be­reich der bei­den Geset­zes­vor­ha­ben weicht von­ein­an­der ab, so dass man­che Ein­rich­tun­gen nur unter eines der bei­den neu­en Geset­ze fal­len und ande­re sowohl die Vor­ga­ben für die IT-Sicher­heit als auch die Anfor­de­run­gen an die phy­si­sche Resi­li­enz zu erfül­len haben.

Zum Ent­wurf des „Geset­zes zur Umset­zung der Richt­li­nie (EU) 2022/2557 und zur Stär­kung der Resi­li­enz kri­ti­scher Anla­gen“ fand am 01.12.2025 eine Anhö­rung im Innen­aus­schuss des Bun­des­ta­ges statt, bei der ins­be­son­de­re kri­ti­siert wur­de, die bei­den Gesetz­ent­wür­fe sei­en nicht hin­rei­chend auf­ein­an­der abge­stimmt und die Resi­li­en­z­vor­ga­ben für staat­li­che Stel­len gin­gen nicht weit genug. Noch nicht abzu­se­hen ist, ob das KRI­TIS-Dach­ge­setz bereits Mit­te 2026 in Kraft tre­ten wird. Denn es bedarf der Zustim­mung des Bun­des­ra­tes, der bereits in einer ers­ten Stel­lung­nah­me Ände­run­gen ange­mahnt hat­te. Wir wer­den über den wei­te­ren Gesetz­ge­bungs­pro­zess zum KRI­TIS-Dach­ge­setz berichten.

okl & partner
Rechts­an­wäl­te PartG mbB

Büro Köln
Von-Werth-Stra­ße 2 | 50670 Köln
T: +49 (0) 221 | 42 07 – 0

Büro Ber­lin
Jäger­stra­ße 54 – 55 | 10117 Berlin
T: +49 (0) 30 | 2577112 – 0