31.07.2025

Bundesregierung bringt neues IT-Sicherheitsgesetz auf den Weg

Das Bundeskabinett hat am 30. Juli 2025 einen Gesetzentwurf zur Stärkung der Cybersicherheit beschlossen. Damit wird die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) in deutsches Recht umgesetzt und das bestehende IT-Sicherheitsrecht umfassend modernisiert. Künftig sollen deutlich mehr Unternehmen eine aktive Rolle beim Schutz ihrer digitalen Infrastruktur übernehmen, quer durch zentrale Wirtschaftsbereiche. Auch die Bundesverwaltung wird besser abgesichert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält Aufsichtsinstrumente, um Unternehmen gezielter zu begleiten und die Einhaltung der Sicherheitsstandards zu überwachen.

Neben Betreibern Kritischer Infrastrukturen rückt ein breiteres Spektrum in den Mittelpunkt, darunter sogenannte „wichtige“ und „besonders wichtige Einrichtungen“. Insgesamt betrifft das rund 29 500 Unternehmen. Alle betroffenen Unternehmen sollen künftig zentrale Schutzmaßnahmen etablieren, etwa Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen. Der Umfang richtet sich nach der Bedeutung der Einrichtung. Wenn es zu einem Cyberangriff kommt, greift ein gestuftes Meldeverfahren: Zunächst eine kurze Erstmeldung innerhalb von 24 Stunden, gefolgt von einem Zwischenstand nach 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Das Bundesamt für Sicherheit in der Informationstechnik erhält mehr Befugnisse zur Aufsicht und Durchsetzung. Bei schwerwiegenden Verstößen können künftig auch Bußgelder verhängt werden, die sich am Jahresumsatz orientieren.

Parallel plant das Bundesinnenministerium ein KRITIS-Dachgesetz, das erstmals branchenübergreifende Mindeststandards für den physischen Schutz Kritischer Infrastrukturen festlegt – also für Bereiche wie Strom, Wasser, Gesundheit oder Ernährung.