Suchformular öffnen Menü öffnen
Expertensuche
Suche
Öffentliches Wirtschaftsrecht Datenschutz und Cybersecurity
  • 09 Feb 2026
  • 3 Minuten Lesezeit

Neue Regularien zur hybriden Bedrohungslage – Anforderungen an Cybersicherheit und physische Sicherheit kritischer Infrastrukturen steigen

Verfasst von

Dr. Nicolas Sonder

Mit dem kürzlichen Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) im Dezember 2025 sowie dem neuen KRITIS-Dachgesetz wird die Regulierung kritischer Infrastrukturen in Deutschland grundlegend neu ausgerichtet. Betreiber kritischer Anlagen und wichtige Einrichtungen stehen vor weitreichenden Compliance-Anforderungen, die sowohl die digitale als auch die physische Resilienz umfassen.

Das NIS2-Umsetzungsgesetz

Die NIS2-Richtlinie (EU) 2022/2555 zielt darauf ab, ein einheitlich hohes Cybersicherheitsniveau in der gesamten Europäischen Union zu etablieren. Deutschland setzt diese Richtlinie durch das NIS2UmsuCG um, das weitreichende Änderungen am BSI-Gesetz und anderen Regelwerken vornimmt. Das Gesetz unterscheidet zwischen verschiedenen Kategorien von Einrichtungen:

  1. Betreiber kritischer Anlagen: Dies sind Einrichtungen, deren Ausfall erhebliche Versorgungsengpässe oder Gefahren für die öffentliche Sicherheit hätte - etwa in den Bereichen Energie, Wasser, Gesundheit oder Transport.
  2. Besonders wichtige Einrichtungen: Hierzu zählen größere Unternehmen in definierten Sektoren wie Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur und öffentliche Verwaltung.
  3. Wichtige Einrichtungen: Diese Kategorie erfasst weitere Unternehmen in den relevanten Sektoren, die weniger strenge, aber dennoch substanzielle Anforderungen erfüllen müssen.

Das KRITIS-Dachgesetz

Ergänzend zum NIS2UmsuCG adressiert das KRITIS-Dachgesetz die physische Resilienz kritischer Infrastrukturen. Es setzt die CER-Richtlinie (EU) 2022/2557 in deutsches Recht um und schließt damit eine entscheidende Lücke im Schutzkonzept. Während NIS2 die Cybersicherheit regelt, fokussiert das KRITIS-Dachgesetz auf den Schutz vor physischen Bedrohungen wie Naturkatastrophen, Terrorismus, Sabotage und menschlichem Versagen. Diese duale Regulierungsarchitektur trägt der zunehmend komplexen hybriden Bedrohungslage Rechnung, in der Cyberangriffe und physische Attacken oftmals Hand in Hand gehen.

Zusammenspiel der Regelwerke

Die beiden Gesetze sind bewusst aufeinander abgestimmt und greifen ineinander. Beide verwenden einen sektorspezifischen Ansatz mit weitgehend identischen Sektordefinitionen. Betreiber kritischer Infrastrukturen müssen künftig ein integriertes Resilienzmanagement etablieren, das sowohl Cyber- als auch physische Risiken berücksichtigt.

Handlungserfordernisse für Betreiber kritischer Infrastrukturen

Betreiber kritischer Infrastrukturen und Einrichtungen in kritischen Sektoren müssen sich auf die neuen Anforderungen einstellen. Hierbei bestehen insbesondere folgende Handlungserfordernisse:

  1. Betroffenheitsprüfung und Einstufung: Unternehmen müssen zunächst prüfen, ob sie als Betreiber kritischer Anlagen, besonders wichtige oder wichtige Einrichtung einzustufen sind. Dies erfordert eine genaue Analyse der eigenen Tätigkeit anhand der Sektordefinitionen und Schwellenwerte.
  2. Registrierungspflicht: Betroffene Einrichtungen müssen sich beim BSI registrieren und relevante Kontaktdaten sowie weitere Informationen übermitteln. Die Registrierung ist Grundvoraussetzung für die behördliche Aufsicht.
  3. Implementierung von Risikomanagementmaßnahmen: Sowohl im Cyberbereich als auch für physische Risiken müssen umfassende Risikomanagementmaßnahmen etabliert werden. Dies umfasst technische, operative und organisatorische Maßnahmen nach dem Stand der Technik.
  4. Meldepflichten: Erhebliche Sicherheitsvorfälle – sowohl Cyberangriffe als auch physische Vorfälle – müssen innerhalb enger Fristen an die zuständigen Behörden gemeldet werden. Das NIS2UmsuCG sieht ein dreistufiges Melderegime vor.
  5. Schulung und Awareness: Die Geschäftsleitung trägt eine besondere Verantwortung und muss regelmäßig an Schulungen teilnehmen. Auch Mitarbeiter sind für Cybersicherheits- und physische Sicherheitsrisiken zu sensibilisieren.
  6. Lieferkettensicherheit: Unternehmen müssen die Sicherheit ihrer Lieferketten gewährleisten und entsprechende Anforderungen an Zulieferer und Dienstleister stellen.
  7. Resilienzpläne: Das KRITIS-Dachgesetz verlangt die Erstellung und regelmäßige Aktualisierung von Resilienzplänen, die Maßnahmen zur Prävention, zum Schutz, zur Reaktion und zur Wiederherstellung umfassen.

Fazit

Der rechtliche Rahmen für den Betrieb kritischer Infrastrukturen in Deutschland wird durch NIS2UmsuCG und KRITIS-Dachgesetz erheblich ausgeweitet und erfordert sorgfältige Planung und Umsetzung. Durch eine frühzeitige Weichenstellung für die genannten Maßnahmen können Betreiber sicherstellen, dass sie die neuen regulatorischen Anforderungen erfüllen und zugleich ihre operative Resilienz stärken.

Kontaktieren Sie uns

Dr. Nicolas Sonder

Partner Stuttgart

Tel.  +49 151 52516789

Mail  E-Mail

Öffentliches Wirtschaftsrecht
Profil anzeigen

Weitere Fachbeiträge und Blogs

Existenzvernichtender Eingriff durch Vermögensentzug (OLG Brandenburg – 7 U 146/24)
Gesellschaftsrecht
Existenzvernichtender Eingriff durch Vermögensentzug (OLG Brandenburg – 7 U 146/24)
  • 05 Feb 2026
  • 3 Minuten Lesezeit
Financial Services
Von Reparatur zu Neuerfindung: EU-Finanzmarktregulierung im Wandel – Signale für das nächste Jahrzehnt
  • 30 Jan 2026
  • 0 Minuten Lesezeit
Gesellschaftsrecht Insolvenzen und Restrukturierungen
Geschäftsleiterhaftung in der Krise: Shift of fiduciary duties?
  • 30 Jan 2026
  • 4 Minuten Lesezeit
Alle Fachbeiträge und Blogs