Mit dem NIS-2-Umsetzungsgesetz und dem KRITIS-Dachgesetz verschärfen sich die Anforderungen an die digitale und physische Resilienz für den deutschen Mittelstand erheblich. Ab sofort haften Geschäftsleitungen persönlich für die IT-Sicherheit, während sich der Kreis regulierter Unternehmen massiv erweitert. Verbindliche Sicherheitsmaßnahmen – etwa nach ISO 27001 oder IDW PH 9.860.2 – werden damit zum zentralen Instrument, um Haftungsrisiken proaktiv zu minimieren und regulatorische Anforderungen nachweisbar zu erfüllen.
Die Bedrohungslage im Cyberspace hat sich drastisch verschärft, weshalb regulatorische Anforderungen, die früher primär Großkonzerne betrafen, nun den deutschen Mittelstand und die gesamte Wertschöpfungskette erreichen. Mit dem bereits am 6. Dezember 2025 in Kraft getretenen NIS-2-Umsetzungsgesetz (NIS2UmsuCG) und dem am 28. Januar 2026 vom Bundestag verabschiedeten Kritischen-Infrastrukturen-Dachgesetz (KRITISDachG) entstehen neue, verbindliche Pflichten für die digitale sowie die physische Widerstandsfähigkeit.
1. Das NIS-2-Umsetzungsgesetz: Cybersicherheit als Management-Pflicht
Das neue Gesetz zur Umsetzung der EU-NIS-2-Richtlinie (festgeschrieben im novellierten BSI-Gesetz – BSIG) weitet den Kreis der regulierten Unternehmen in Deutschland massiv aus – von bisher etwa 4.500 auf rund 30.000 Einrichtungen.
Betroffene Unternehmen und unmittelbare Registrierungspflicht
Die Betroffenheit richtet sich nach der Sektorzugehörigkeit und der Unternehmensgröße (§ 28 BSIG). Der Gesetzgeber unterscheidet zwei Hauptkategorien:
- Besonders wichtige Einrichtungen (BWE): Hierzu zählen große Unternehmen (mind. 250 Mitarbeiter oder ≥ 50 Mio. € Umsatz bzw. ≥ 43 Mio. € Bilanzsumme) in hochkritischen Sektoren wie Energie, Verkehr, Banken, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur oder Weltraum (Anlage 1 BSIG). Auch Betreiber kritischer Anlagen (KRITIS) gelten unabhängig von ihrer Größe als BWE. Diese unterliegen einer proaktiven (ex-ante) Aufsicht, bei der Behörden die Einhaltung jederzeit prüfen können.
- Wichtige Einrichtungen (WE): Diese Kategorie umfasst mittlere Unternehmen (mind. 50 Mitarbeiter oder ≥ 10 Mio. € Umsatz bzw. Bilanzsumme) in hochkritischen Sektoren sowie Unternehmen (auch große) in „sonstigen kritischen Sektoren“ wie Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (z. B. Maschinenbau, Fahrzeugbau) oder Forschung (Anlage 2 BSIG). Diese unterliegen einer reaktiven Aufsicht, d. h. Kontrollen erfolgen anlassbezogen, etwa nach einem Vorfall.
Wichtig für den Mittelstand – Die Konzernbetrachtung: Innerhalb von Konzernstrukturen werden die Daten verbundener Unternehmen in der Regel addiert (§ 28 Abs. 4 BSIG). Dies führt dazu, dass auch kleine Tochtergesellschaften unmittelbar in den Anwendungsbereich der Regulierung fallen, sofern das Unternehmen nicht nachweislich wirtschaftlich „völlig unabhängig“ agiert und die volle Kontrolle über seine eigenen Netz- und Informationssysteme ausübt.
Registrierungspflicht: Betroffene Einrichtungen müssen sich spätestens drei Monate, nachdem sie erstmals unter die Kriterien fallen, beim BSI registrieren (§ 33 Abs. 1 BSIG). Da das Gesetz am 6. Dezember 2025 in Kraft trat, endet die reguläre Registrierungsfrist für bereits bestehende Unternehmen am 6. März 2026.
Die 10 Kernmaßnahmen des Risikomanagements
Unternehmen müssen „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ ergreifen, die die einschlägigen europäischen und internationalen Normen berücksichtigen und auf einem gefahrenübergreifenden Ansatz beruhen. Diese beinhalten zwingend (§ 30 BSIG):
- Konzepte zur Risikoanalyse und Sicherheit in der Informationstechnik;
- Bewältigung von Sicherheitsvorfällen (Incident Response);
- Business Continuity Management (BCM), wie Backup-Management, Wiederherstellung nach einem Notfall und Krisenmanagement;
- Sicherheit der Lieferkette und Überprüfung der unmittelbaren Anbieter;
- Sicherheit bei Erwerb, Entwicklung und Wartung (inkl. Schwachstellenmanagement);
- Verfahren zur Bewertung der Wirksamkeit der Sicherheitsmaßnahmen;
- Cyberhygiene-Praktiken und Schulungen für Mitarbeiter;
- Kryptographische Verfahren und Verschlüsselung;
- Personalsicherheit, Zugriffskontrolle und Asset Management;
- Nutzung von Multi-Faktor-Authentifizierung (MFA) und gesicherter Kommunikation.
Bei erheblichen Sicherheitsvorfällen gelten strikte Fristen:
- Innerhalb von 24 Stunden: Eine erste Frühmeldung an das BSI;
- Innerhalb von 72 Stunden: Eine detailliertere Meldung inklusive Bewertung des Vorfalls;
- Nach einem Monat: Ein ausführlicher Abschlussbericht.
Kleiner Tipp: Eine ISO/IEC 27001-Zertifizierung (im Folgenden: ISO 27001) deckt bereits rund 70-80 % der NIS-2-Anforderungen ab und bildet damit ein belastbares, nachweisbares Fundament. Im B2B-Umfeld wird sie zunehmend zur „Eintrittskarte“ für die Sorgfaltspflicht in der Lieferkette: Als effizientester Compliance-Nachweis reduziert sie den Aufwand bei Vendor-Risk-Assessments erheblich, schützt Zulieferer vor Haftungsdurchreichung und dem Verlust des Status als bevorzugter Lieferant – und verschafft damit einen klaren Wettbewerbsvorteil.
Haftung und Pflichten der Geschäftsleitung
Die Maßnahmen müssen ab dem Tag des Inkrafttretens am 6. Dezember 2025 umgesetzt sein. Anders als bei der Registrierung gibt es keine „Schonfrist“ von drei Monaten für die Implementierung, die Sorgfaltspflicht greift sofort.
Die Organmitglieder (GmbH-Geschäftsführer, AG-Vorstände) haften der Einrichtung gegenüber persönlich mit ihrem Privatvermögen für Schäden, die durch schuldhafte Pflichtverletzungen bei der Umsetzung der Risikomanagementmaßnahmen, inklusive aktive Überwachung der Maßnahmen, entstehen. Ein Verzicht der Einrichtung auf Ersatzansprüche gegen die Geschäftsleitung ist in der Regel unwirksam (§ 38 Abs. 2 BSIG).
Zudem ist die Teilnahme an regelmäßigen Schulungen zur Cyber-Risikoerkennung (mind. 4 Stunden in 3 Jahren) für die Geschäftsleitung nun gesetzlich verpflichtend (§ 38 Abs. 3 BSIG).
Harte Sanktionen: Die Bußgelder
Der Sanktionsrahmen ist drastisch (§ 65 Abs. 5–7 BSIG):
- Für BWE: Bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes
- Für WE: Bis zu 7 Mio. Euro oder 1,4 % des weltweiten Vorjahresumsatzes
2. Das KRITIS-Dachgesetz: Physische Resilienz gewinnt an Bedeutung
Während NIS-2 die digitale Welt absichert, fokussiert sich das KRITIS-Dachgesetz auf die physische Resilienz kritischer Anlagen. Es setzt die EU-CER-Richtlinie um und verfolgt einen „All-Gefahren-Ansatz“ (z. B. Schutz vor Sabotage, Naturkatastrophen oder Lieferkettenstörungen).
Registrierungspflicht, Risikoanalysen und Resilienzpläne
Betreiber kritischer Anlagen sind eine Teilmenge der „besonders wichtigen Einrichtungen“ (BWE). Das Gesetz identifiziert Anlagen als kritisch, wenn sie einen bedeutenden Versorgungsgrad erreichen (Regelwert: Versorgung von 500.000 Einwohnern).
Seit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) müssen Unternehmen proaktiv prüfen, ob sie die Schwellenwerte der KRITIS-Verordnung (BSI-KritisV) überschreiten: Es gilt hierfür eine jährliche Prüffrist bis zum 31. März und bei Überschreitung im Vorjahr gilt die Anlage ab dem 1. April als kritisch und muss umgehend registriert werden. Eine Missachtung dieser Selbstidentifikationspflicht ist ordnungswidrig und unmittelbar sanktionierbar.
Daraus ergeben sich folgende zentrale Pflichten:
- Duale Registrierung: Betroffene Unternehmen müssen sich sowohl beim BSI (für die IT-Sicherheit) als auch – neu durch das KRITIS-Dachgesetz – bis spätestens 17. Juli 2026 beim BBK (für den physischen Schutz) registrieren (§ 8 Abs. 1 KRITISDachG).
- Risikoanalysen: Alle vier Jahre muss eine umfassende physische Risikoanalyse durchgeführt werden (§ 12 Abs. 1 KRITISDachG).
- Systeme zur Angriffserkennung (SzA): Verpflichtung zum Einsatz aktiver Angriffserkennung, die den laufenden Betrieb kontinuierlich überwachen und Bedrohungen automatisch identifizieren (§ 31 Abs. 2 BSIG). (Während KRITIS-Betreiber diese bereits seit Mai 2023 einsetzen müssen, wird diese Pflicht durch das neue Gesetzespaket nun auf alle BWE ausgedehnt und deren dauerhafte Anwendung gesetzlich zementiert.)
- Resilienzpläne: Betreiber müssen konkrete technische und organisatorische Maßnahmen zum physischen Schutz dokumentieren und anwenden (§ 13 Abs. 4 KRITISDachG).
Nachweise und Prüfungsmethodik
Unternehmen müssen die Umsetzung ihrer Sicherheitsmaßnahmen für den physischen Schutz lückenlos dokumentieren und gegenüber dem BSI alle drei Jahre durch Sicherheitsaudits oder Prüfungen nachweisen (§ 39 BSIG / § 16 KRITISDachG) Für die IT-Sicherheit nach IT-SiG 2.0 bleibt es – auch unter NIS-2 – beim gewohnten Zwei-Jahres-Turnus für die Nachweiserbringung gemäß § 39 BSIG. Während „wichtige Einrichtungen“ (WE) unter NIS-2 einer reaktiven Aufsicht unterliegen, müssen KRITIS-Betreiber eine proaktive Nachweispflicht gegenüber dem BSI erfüllen.
Zentrale Anforderungen und Standards:
- Erforderliche Dokumente: Der Nachweis umfasst detaillierte Angaben zur Kritischen Infrastruktur (Dokument KI), Prüfergebnisse (Dokument P), Geltungsbereich-Darstellungen (Netzstrukturplan PD.A) sowie verbindliche Umsetzungspläne zur Mängelbeseitigung (Anlage PE.A).
- Prüfungsstandards: Das BSI legt hierfür verbindliche Verfahren fest, bekannt als GAiN (Grundsätzliche Anforderungen im Nachweisverfahren) und RUN (Reife- und Umsetzungsgradbewertung). Ein gültiges ISO 27001 Zertifikat kann als Bestandteil von Nachweisen verwendet werden, ersetzt die spezifische Prüfung jedoch nicht vollständig, da KRITIS-spezifische Schutzziele (Verfügbarkeit der Dienstleistung) oft über den Standard-ISO-Scope hinausgehen.
Kleiner Tipp: Das BSI erkennt den Prüfungshinweis IDW PH 9.860.2 des Instituts der Wirtschaftsprüfer explizit als geeignete Grundlage für diese Prüfungen an. Dieser Standard wurde speziell entwickelt, um die Anforderungen des BSIG (ehemals § 8a, jetzt im Kontext von § 39) für Wirtschaftsprüfer prüfbar zu machen. Die Nutzung dieses Standards erhöht die Akzeptanz der Berichte beim BSI erheblich. Da viele KRITIS-Betreiber ohnehin einen Jahresabschlussprüfer haben, ist die Erweiterung des Prüfauftrags nach diesem Standard oft der effizienteste Weg zur Rechtssicherheit.
Warum der Mittelstand jetzt handeln muss
Viele mittelständische Unternehmen unterschätzen die indirekte Betroffenheit. Auch wenn Sie selbst die Schwellenwerte nicht erreichen, werden Ihre NIS-2-regulierten Kunden die Einhaltung der Sicherheitsstandards vertraglich einfordern (Lieferkettensicherheit). Wer hier keine Nachweise (z. B. ISO 27001 oder BSI-Prüfberichte) liefern kann, riskiert den Verlust wichtiger Geschäftsbeziehungen.
Diese zwei neuen Standards markieren einen grundlegenden Paradigmenwechsel: Resilienz wird zur unternehmensweiten Führungsaufgabe mit unmittelbaren regulatorischen, haftungsrechtlichen und strategischen Implikationen.
Die Umsetzung von NIS-2 und des KRITIS-Dachgesetzes ist kein standardisiertes Compliance-Vorhaben und erfordert eine individuelle Betrachtung. Betroffenheit, Umfang, Tiefe und zeitliche Priorisierung der Maßnahmen unterscheiden sich dabei erheblich – abhängig von Sektor, Konzernstruktur, Lieferkettenrolle und bestehendem Reifegrad. Eine belastbare Einordnung setzt daher eine unternehmensspezifische Analyse voraus.
Resilienzstrategien im Zeichen neuer Regulatorik
Die Komplexität der dualen Regulierung durch NIS-2 und das KRITIS-Dachgesetz lässt keinen Raum für „trial and error“. Unternehmen müssen jetzt die Weichen stellen, um regulatorische Anforderungen in belastbare Wettbewerbsvorteile zu übersetzen.
Unsere Experten unterstützen Sie mit einem ganzheitlichen Ansatz – von der präzisen Betroffenheitsanalyse über die Implementierung nach ISO 27001 bis hin zur prüfungssicheren Auditierung nach IDW PH 9.860.2 und darüber hinaus.
Gehen Sie den nächsten Schritt: Vereinbaren Sie ein Executive Briefing mit unseren Experten. Gemeinsam evaluieren wir Ihren aktuellen Reifegrad und entwickeln eine maßgeschneiderte Roadmap für Ihre digitale und physische Resilienz.