KRITIS-Gesetze: Mehr Schutz, mehr Bürokratie für Unternehmen

Die Bundesregierung verschärft den Schutz kritischer Infrastrukturen – und legt den Betreibern damit erhebliche Pflichten auf. Hintergrund sind wachsende Cyber- und physische Bedrohungen.

Dachgesetz: Strengere Regeln nach Berliner Anschlag

Die Verhandlungen zum KRITIS-Dachgesetz haben neuen Schwung bekommen. Nach einem Brandanschlag auf die Berliner Stromversorgung einigten sich Regierungsverhandler auf schärfere Vorgaben. Der Entwurf setzt die EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER) um und fokussiert sich stärker auf den physischen Schutz. Betreiber von Anlagen, die eine halbe Million Menschen versorgen, müssen künftig robustere Schutzmaßnahmen nachweisen. Die Politik priorisiert klar die Sicherheit vor potenziellen Anschlägen. Doch wer die Kosten für die notwendigen Aufrüstungen trägt, ist noch offen.

NIS-2: IT-Sicherheit wird zur Chefaufgabe 2026

Parallel dazu stellt die verschärfte EU-Cybersicherheitsrichtlinie NIS-2 Unternehmen vor immense Herausforderungen. Das deutsche Umsetzungsgesetz gilt seit Ende 2025 ohne Übergangsfrist. Es verpflichtet zu systematischem Risikomanagement, stärkerer Cyber-Resilienz und Notfallplänen. Für viele Firmen wird die Compliance zur zentralen Aufgabe dieses Jahres. Der Druck ist hoch: Allein 2025 verursachten Spionage und Sabotage in Deutschland einen Schaden von rund 289 Milliarden Euro. Kein Wunder also, dass viele Vorstände IT-Sicherheit inzwischen als kritischen Wachstumsfaktor sehen.

Viele Unternehmen sind wegen NIS‑2, KRITIS‑Auflagen und wachsender Cybergefahr überfordert. Unser kostenloses E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen, neue Gesetze (inkl. NIS‑2 und KI‑Regulierung) und praxisnahe Schutzmaßnahmen kompakt zusammen. Es zeigt Entscheidern, welche Schritte jetzt Priorität haben, wie Sie Compliance umsetzen und gleichzeitig mit überschaubarem Aufwand die Cyber‑Resilienz erhöhen. Jetzt kostenlosen Cyber-Security-Guide sichern

EU will Bürokratie abbauen – schafft sie mehr?

Auch in Brüssel wird nachjustiert. Die EU-Kommission hat eine Revision des EU-Cybersecurity-Act vorgelegt. Sie will die Agentur ENISA stärken und Zertifizierungen vereinheitlichen. Der Digitalverband Bitkom begrüßt, dass Zertifikate künftig als Nachweis für andere Pflichten wie NIS-2 dienen sollen. Das könnte Doppelprüfungen reduzieren. Doch der Verband warnt gleichzeitig vor einer neuen Regelungsflut. Die Forderung lautet: „Ein Vorfall, eine Meldung“. Die vielen Meldepflichten aus unterschiedlichen Gesetzen müssten dringend harmonisiert werden, um Unternehmen nicht zu lähmen.

Paradigmenwechsel: Staat setzt Rahmen, Unternehmen handeln

Die Gesetzesflut markiert einen klaren Wendepunkt. Der Staat greift nicht operativ ein, sondern weitet die regulatorische Kontrolle massiv aus. Statt selbst zu handeln, schreibt der Gesetzgeber detaillierte Pflichten vor, etabliert Melderegeln und droht mit hohen Strafen. Diese indirekte Steuerung zwingt Unternehmen, Informationssicherheit zum Kernbestandteil ihrer Strategie zu machen. Die Debatte dreht sich nicht mehr darum, ob der Staat eingreifen darf, sondern wie. Sind die Vorgaben verhältnismäßig und in der Praxis überhaupt umsetzbar?

Wettlauf gegen die Zeit beginnt

Für die Betreiber kritischer Infrastrukturen beginnt ein Countdown. Die NIS-2-Anforderungen müssen bereits jetzt erfüllt werden, das KRITIS-Dachgesetz wird weitere Auflagen bringen. Bis Anfang 2026 müssen die Behörden zudem eine nationale Resilienzstrategie vorlegen. Sie bildet die Grundlage für die Risikoanalysen der Unternehmen. Die kommenden Monate werden von einem Kraftakt der Implementierung geprägt sein. Die Balance zwischen notwendigem Schutz und praktikabler Regulierung bleibt dabei die zentrale Gretchenfrage für Politik und Wirtschaft.