Deutschland steht vor einer der umfassendsten Reformen seiner Sicherheits- und Resilienzarchitektur für kritische Infrastrukturen seit Jahren.
Mit der nationalen Umsetzung der europäischen NIS-2-Richtlinie sowie der sogenannten CER-Richtlinie entsteht ein neues regulatorisches Gefüge, das unter dem Begriff KRITIS-Dachgesetz zusammengeführt wird.
Ziel ist es, die Widerstandsfähigkeit zentraler Versorgungs- und Dienstleistungsstrukturen gegenüber digitalen wie physischen Bedrohungen deutlich zu erhöhen. Der zeitliche Druck ist hoch, denn die Umsetzungsfrist der NIS-2-Richtlinie ist bereits im Oktober 2024 ausgelaufen, während die Europäische Kommission gegen mehrere Mitgliedstaaten, darunter auch Deutschland, Vertragsverletzungsverfahren eingeleitet hat.
Die geplanten Gesetze gehen dabei deutlich über frühere Regelungen hinaus. Sie erweitern nicht nur den Kreis der betroffenen Unternehmen erheblich, sondern verlagern Verantwortung klar auf die Managementebene. Für viele Organisationen bedeutet dies eine grundlegende Neubewertung ihrer Sicherheitsstrategie, ihrer Governance-Strukturen und ihrer Haftungsrisiken.
Europäische Vorgaben und nationaler Zeitdruck
Mit der Richtlinie EU 2022/2555, besser bekannt als NIS-2, und der Richtlinie EU 2022/2557 zur Resilienz kritischer Einrichtungen hat die Europäische Union den Rahmen für ein höheres Sicherheitsniveau in zentralen Wirtschafts- und Versorgungsbereichen gesetzt. Beide Richtlinien reagieren auf eine veränderte Bedrohungslage, in der Cyberangriffe, Sabotage, hybride Bedrohungen und physische Angriffe zunehmend miteinander verschmelzen.
Deutschland setzt diese Vorgaben durch das NIS-2-Umsetzungsgesetz sowie das KRITIS-Dachgesetz um. Inhaltlich bedeutet NIS-2 eine deutliche Ausweitung des Anwendungsbereichs.
Während frühere Regelwerke vor allem klassische kritische Infrastrukturen wie Energie, Wasser oder Telekommunikation erfassten, rücken nun auch digitale Dienste, Rechenzentren, Cloud-Anbieter, der verarbeitende Sektor sowie Post- und Kurierdienste in den Fokus. Damit werden erstmals zahlreiche Unternehmen erfasst, die sich bislang nicht als Teil der kritischen Infrastruktur verstanden haben.
Ein zentrales Merkmal der neuen Gesetzgebung ist die erhebliche Ausdehnung des betroffenen Adressatenkreises. Maßgeblich sind dabei nicht mehr nur einzelne Unternehmensbereiche, sondern häufig die Strukturen ganzer Unternehmensgruppen.
Schwellenwerte werden auf Gruppenebene betrachtet, wenn Tochtergesellschaften auf zentrale IT-Systeme des Mutterunternehmens angewiesen sind. Das kann dazu führen, dass auch kleinere Einheiten unter das Gesetz fallen, obwohl sie isoliert betrachtet unterhalb relevanter Größenordnungen liegen würden.
Unklar bleibt dabei die Abgrenzung sogenannter vernachlässigbarer Tätigkeiten. Zwar sieht der deutsche Gesetzesentwurf vor, Aktivitäten auszunehmen, die im Vergleich zum Hauptgeschäft eines Unternehmens nur eine untergeordnete Rolle spielen. Eine klare Definition fehlt jedoch. Damit entsteht Rechtsunsicherheit, etwa für Industrieunternehmen, die neben ihrem Kerngeschäft eigene Rechenzentren betreiben oder digitale Dienstleistungen für Kunden anbieten.
Diese Ausweitung betrifft auch Bereiche, die bisher kaum mit KRITIS-Regulierung in Verbindung gebracht wurden. Digitale Plattformen, Logistikdienstleister oder Anbieter hybrider Geschäftsmodelle müssen prüfen, ob einzelne Geschäftsbereiche sie in den Anwendungsbereich ziehen.
Vergleichbar ist dies mit anderen stark regulierten digitalen Märkten, in denen Nutzer gezielt Angebote außerhalb klassischer Aufsichtsmechanismen suchen, etwa bei Online Casinos, die keine LUGAS Kontrolle vorweisen. Auch Cloud-basierte Gaming-Infrastrukturen oder Zahlungsplattformen zeigen, wie schnell digitale Nebentätigkeiten regulatorische Relevanz entfalten können.
Pflichten, Meldewege und Managementverantwortung
Kernstück der neuen Regelungen sind umfangreiche Pflichten zur Risikovorsorge und -dokumentation. Betroffene Unternehmen müssen strukturierte Risikomanagementsysteme etablieren und fortlaufend aktualisieren. Dazu gehören sowohl technische als auch organisatorische Maßnahmen.
Erwartet werden unter anderem klar definierte Notfall- und Krisenreaktionsteams, verschärfte Zugangs- und Standortkontrollen sowie belastbare Konzepte zur Aufrechterhaltung des Geschäftsbetriebs im Störungsfall.
Ein weiterer Schwerpunkt liegt auf der Meldepflicht bei Sicherheitsvorfällen. Bestimmte Organisationen sind verpflichtet, sich bei den zuständigen Bundesbehörden zu registrieren, insbesondere beim Bundesamt für Sicherheit in der Informationstechnik sowie beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe.
Sicherheitsrelevante Vorfälle müssen innerhalb von 24 Stunden über ein zentrales Online-Portal gemeldet werden. Diese kurze Frist erfordert vorbereitete Prozesse und klare interne Zuständigkeiten.
Besonders einschneidend ist die Betonung der persönlichen Verantwortung der Geschäftsleitung. Die neuen Gesetze sehen ausdrücklich vor, dass Geschäftsführer und Vorstände für die Einhaltung der Vorgaben verantwortlich sind. Bei Verstößen drohen nicht nur hohe Bußgelder, sondern auch persönliche Haftungsrisiken. Damit wird IT- und Infrastruktursicherheit endgültig zur strategischen Managementaufgabe und nicht mehr allein zur operativen IT-Frage.
Das KRITIS-Dachgesetz und der All-Hazards-Ansatz
Ergänzt wird das NIS-2-Umsetzungsgesetz durch das KRITIS-Dachgesetz, das erstmals eine einheitliche Definition kritischer Infrastrukturen in Deutschland schafft. Anders als frühere Regelungen beschränkt sich das Gesetz nicht auf Cyberrisiken, sondern verfolgt einen sogenannten All-Hazards-Ansatz. Dieser umfasst digitale Angriffe ebenso wie physische Bedrohungen, Naturkatastrophen, Sabotageakte oder systemische Ausfälle.
Organisationen sind verpflichtet, ihre Schutzmaßnahmen auf Grundlage staatlicher Risikoanalysen sowie eigener unternehmensinterner Bewertungen zu entwickeln. Diese Maßnahmen müssen dokumentiert und gegenüber den zuständigen Behörden nachweisbar begründet werden. Damit entsteht ein deutlich höherer Grad an Transparenz, aber auch an Prüf- und Nachweispflichten.
Durch die Kombination aus NIS-2-Vorgaben und KRITIS-Dachgesetz geht Deutschland in mehreren Punkten über die europäischen Mindestanforderungen hinaus. Kritisch diskutiert wird dabei, ob die nationale Umsetzung in allen Aspekten eine vollständige und richtlinienkonforme Abbildung der europäischen Vorgaben darstellt.
Insbesondere die Frage der Abgrenzung zwischen Haupt- und Nebentätigkeiten bleibt offen, da die NIS-2-Richtlinie selbst keine entsprechende Differenzierung vorsieht.
Wirtschaftliche Auswirkungen und strategische Vorbereitung
Die neuen gesetzlichen Anforderungen werden erhebliche wirtschaftliche Auswirkungen haben. Unternehmen müssen in technische Sicherheitslösungen, organisatorische Strukturen und personelle Ressourcen investieren. Gleichzeitig steigen die Anforderungen an Dokumentation, Auditierbarkeit und interne Kontrolle. Für viele Organisationen bedeutet dies eine grundlegende Anpassung bestehender Compliance- und Governance-Systeme.
Gleichzeitig eröffnen sich neue Chancen. Ein hohes Sicherheits- und Resilienzniveau kann zum Wettbewerbsfaktor werden, insbesondere in international vernetzten Märkten. Kunden und Geschäftspartner legen zunehmend Wert auf belastbare Sicherheitskonzepte, gerade in sensiblen Bereichen wie Cloud-Services, Datenverarbeitung oder kritischer Logistik. Wer frühzeitig in die Umsetzung investiert, kann Vertrauen aufbauen und regulatorische Risiken reduzieren.
Vor dem Hintergrund des engen Zeitplans ist eine frühzeitige Analyse entscheidend. Unternehmen sollten prüfen, ob sie unter den erweiterten Anwendungsbereich fallen, welche Melde- und Registrierungspflichten bestehen und wo Anpassungsbedarf bei bestehenden Sicherheitskonzepten besteht. Interne Audits, Szenarioanalysen und die Einbindung externer Expertise können helfen, Compliance-Lücken rechtzeitig zu identifizieren.
Der Abschluss des Gesetzgebungsverfahrens für das NIS-2-Umsetzungsgesetz und das KRITIS-Dachgesetz wird für Ende 2025 erwartet, mit einem Inkrafttreten kurz darauf. Angesichts der klaren Signale aus Brüssel und der verschärften nationalen Haftungsregelungen bleibt wenig Spielraum für Verzögerungen.
Deutschlands neue Sicherheitsarchitektur markiert damit einen Wendepunkt im Umgang mit kritischen Infrastrukturen und setzt Maßstäbe, die weit über den bisherigen Regulierungsrahmen hinausgehen.
