Bundestag verschärft Cybersicherheit: 30.000 Firmen betroffen

Deutschland rüstet sich gegen digitale Angriffe. Nach monatelanger Verzögerung hat der Bundestag gestern das NIS-2-Umsetzungsgesetz verabschiedet – und die Spielregeln für Unternehmen grundlegend verändert. Statt bisher 4.500 müssen künftig rund 30.000 Firmen strenge Cybersicherheitsauflagen erfüllen. Die Botschaft ist klar: IT-Sicherheit ist keine Kür mehr, sondern Pflicht – und Verstöße können Millionen kosten.

Das Gesetz setzt eine EU-Richtlinie um, die eigentlich bereits seit Oktober 2024 hätte gelten sollen. Die verspätete Umsetzung brachte Deutschland ein Vertragsverletzungsverfahren der EU-Kommission ein. Doch angesichts der angespannten Bedrohungslage – das Bundesamt für Sicherheit in der Informationstechnik (BSI) verzeichnet dramatisch steigende Angriffszahlen – drängte die Zeit.

Wer glaubt, nur klassische Infrastrukturbetreiber seien betroffen, irrt gewaltig. Das Gesetz weitet den Kreis massiv aus: Neben Energie- und Wasserversorgern fallen nun auch Postdienste, Abfallentsorger, Chemiewerke, Lebensmittelproduzenten und digitale Anbieter unter die Regelung.

Viele Unternehmen sind auf die verschärften Vorgaben nicht vorbereitet — und riskieren empfindliche Strafen sowie Betriebsstörungen. Der kostenlose E‑Book-Report “Cyber Security Awareness Trends” fasst aktuelle Bedrohungen, neue Gesetze (inkl. NIS-2) und sofort umsetzbare Schutzmaßnahmen für Geschäftsführer und IT-Verantwortliche zusammen. Mit pragmatischen Checklisten und Priorisierungs‑Schritten hilft das Heft, Meldeprozesse, Krisenabläufe und Basis-Schutz schnell zu etablieren — auch ohne große IT-Budgets. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Entscheidend ist die Unternehmensgröße: Wer mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz von über 10 Millionen Euro erzielt, muss handeln. Die Firmen werden dabei in zwei Kategorien eingeteilt – besonders wichtige und wichtige Einrichtungen. Je nach Einstufung variieren Überwachungsintensität und mögliche Strafen erheblich.

BSI als digitaler Wachhund mit Biss

Das Bundesamt für Sicherheit in der Informationstechnik rückt ins Zentrum der neuen Sicherheitsarchitektur. Die Behörde überwacht künftig alle 30.000 betroffenen Unternehmen und erhält weitreichende Kontrollbefugnisse: Sie kann risikobasierte Audits durchführen und Nachweise über Sicherheitsmaßnahmen einfordern.

Besonders brisant: die verschärfte Meldepflicht. Unternehmen müssen bedeutende Sicherheitsvorfälle innerhalb von 24 Stunden dem BSI melden – gefolgt von detaillierteren Berichten. Was auf den ersten Blick nach Bürokratie klingt, hat System: Das BSI will aus den Meldungen ein nationales Lagebild erstellen und andere Firmen frühzeitig vor Angriffen warnen.

Betreiber kritischer Infrastrukturen müssen alle drei Jahre Compliance-Nachweise vorlegen. Damit verschiebt sich Cybersicherheit endgültig vom freiwilligen Engagement zur rechtlich durchsetzbaren Verpflichtung.

Chefs haften persönlich – und müssen büffeln

Eine der einschneidendsten Neuerungen: Geschäftsführungen tragen nun persönliche Verantwortung für IT-Sicherheit. Das Gesetz verpflichtet Top-Manager nicht nur zur Überwachung der Sicherheitsmaßnahmen, sondern auch zu regelmäßigen Schulungen. Die Zeiten, in denen Cybersecurity ausschließlich in der IT-Abteilung verortet wurde, sind vorbei.

Und die Strafen? Die haben es in sich. Besonders wichtige Einrichtungen riskieren Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ausfällt. Wichtige Einrichtungen müssen mit bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes rechnen.

Zum Vergleich: Für einen DAX-Konzern wie Siemens mit einem Umsatz von rund 77 Milliarden Euro könnte die Höchststrafe theoretisch 1,5 Milliarden Euro betragen. Diese Dimension macht deutlich: Cybersicherheit wird zum Vorstandsthema.

Zwischen Notwendigkeit und Kritik

Die Einschätzungen zum neuen Gesetz fallen gemischt aus. Regierungsvertreter loben es als ausgewogene Antwort auf eine kritische Bedrohungslage. Deutschland gehört weltweit zu den am häufigsten angegriffenen Ländern – von massiven DDoS-Attacken bis zu ausgefeilter Spionage durch staatlich gesteuerte Hackergruppen.

Experten äußern jedoch auch Bedenken. Manche bemängeln unklare Zuständigkeiten und sehen potenzielle Interessenkonflikte in den neuen Meldeverfahren. Wie werden die 30.000 Unternehmen ihre Systeme so schnell aufrüsten? Verfügt das BSI über ausreichend Personal für die massiv erweiterten Kontrollen?

Trotz dieser Fragen herrscht weitgehend Konsens: Angesichts der Bedrohungen führt kein Weg an strengeren Regeln vorbei. Die Frage ist nicht mehr, ob Deutschland seine digitale Resilienz stärken muss, sondern wie schnell die Umsetzung gelingt.

Keine Schonfrist: Unternehmen müssen sofort handeln

Das Gesetz soll Ende 2025 oder Anfang 2026 in Kraft treten – und hier liegt die nächste Überraschung: Es gibt keine Übergangsfrist. Die Pflichten gelten ab Tag eins. Betroffene Firmen haben lediglich drei Monate Zeit, sich beim BSI zu registrieren.

Was bedeutet das konkret? Unternehmen sollten bereits jetzt ihre Cybersicherheitsstrategie überprüfen. Zentrale Handlungsfelder umfassen:

• Risikomanagement: Proportionale Schutzmaßnahmen für Netz- und Informationssysteme
• Vorfallsbehandlung: Etablierung von Prozessen für die 24-Stunden-Meldepflicht
• Lieferkettensicherheit: Überprüfung und Absicherung von Zulieferern und Dienstleistern
• Kryptografie und Verschlüsselung: Implementierung starker Verschlüsselungsstandards
• Multi-Faktor-Authentifizierung: Einführung zusätzlicher Sicherheitsebenen beim Systemzugang
• Krisenmanagement: Aufbau von Strukturen für Geschäftskontinuität im Angriffsfall

Wer jetzt nicht vorbereitet, riskiert nicht nur empfindliche Strafen, sondern im Ernstfall auch die Handlungsfähigkeit seines Unternehmens. In einer Zeit, in der Cyberangriffe zur größten Bedrohung für Wirtschaft und Gesellschaft geworden sind, ist diese Gesetzesreform überfällig – auch wenn sie Tausende Unternehmen vor erhebliche Herausforderungen stellt.

PS: Sie müssen nicht erst Opfer werden, um wirksame Schutzmaßnahmen umzusetzen. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt praxisnah, wie mittelständische Firmen ihre Systeme ohne Großinvestitionen härten, Mitarbeiter sensibilisieren und die 24‑Stunden‑Meldepflicht effizient organisieren. Mit konkreten Maßnahmen, Vorfalls-Checklisten und einer Prioritätenliste lässt sich in wenigen Tagen vieles verbessern. Jetzt kostenlosen Cyber-Security-Leitfaden anfordern