KRITIS unter Druck: Neue Regeln und Vorfälle zwingen zum Handeln

Die Resilienz kritischer Infrastrukturen wird durch neue EU-Regeln und reale Störfälle auf eine harte Probe gestellt. Betreiber müssen ihre Geschäftskontinuität jetzt strategisch absichern.

24. Januar 2026 – Ein großflächiger Stromausfall in Berlin und ein möglicher Cyberangriff auf Warnsirenen in Sachsen-Anhalt: Die jüngsten Vorfälle zeigen drastisch, wie verwundbar Deutschlands Lebensadern sind. Gleichzeitig verschärft sich der regulatorische Druck durch neue EU-Vorgaben. Für Betreiber von Krankenhäusern, Energieversorgern oder Bahnen bedeutet das: Die Zeit des rein reaktiven Krisenmanagements ist vorbei. Ein proaktives Business-Continuity-Management (BCM) wird zur Überlebensfrage.

NIS2-Umsetzung: Neue Meldepflichten treten in Kraft

Der gesetzliche Rahmen zieht spürbar an. Seit dem 6. Januar ist das neue Melde- und Informationsportal (MIP) des Bundesamts für Sicherheit in der Informationstechnik (BSI) online. Es ist ein zentraler Baustein zur Umsetzung der EU-Richtlinie NIS2. Betroffene Unternehmen müssen sich dort bis spätestens 6. März 2026 registrieren. Künftig sind erhebliche Sicherheitsvorfälle innerhalb von nur 24 Stunden an das BSI zu melden.

Warum 73 % der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind. Neue Regeln wie NIS2 erhöhen Meldepflichten und Haftungsrisiken – trotzdem fehlen oft klare Prioritäten für Betreiber kritischer Infrastruktur. Der kostenlose Leitfaden zur Cyber‑Security erklärt praxisnah, welche Schutzmaßnahmen Sie jetzt sofort umsetzen können: Priorisierte Checklisten für IT, Lieferketten-Checks, und ein Incident‑Response‑Plan, der auch während einer Krise den Betrieb sichert. Für IT‑Verantwortliche und Entscheider mit verständlichen Schritten und Vorlagen. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Parallel stocken jedoch die Verhandlungen zum nationalen KRITIS-Dachgesetz. Es soll die physische Sicherheit kritischer Anlagen regeln und die EU-CER-Richtlinie umsetzen. Doch zwischen Bund und Ländern herrscht weiter Uneinigkeit über Details wie Schwellenwerte. Die EU-Frist zur Umsetzung ist bereits seit Oktober 2024 überschritten. Diese Verzögerung schafft Unsicherheit bei den Betreibern, obwohl der Handlungsdruck enorm ist.

Berliner Blackout und Sirenen-Alarm als Weckrufe

Die Dringlichkeit wird durch die Realität untermauert. Der tagelange Stromausfall in Teilen Berlins entfachte eine Debatte über die tatsächliche Resilienz der Hauptstadt. Experten werten ihn als ernste Warnung: Die bisherigen Vorsorgemaßnahmen reichen nicht aus.

In eine ähnliche Kerbe schlägt der Vorfall in Querfurt. Ein fälschlich ausgelöster Sirenen-Alarm führte zu Ermittlungen des Landeskriminalamts wegen eines möglichen Cyberangriffs. Solche Ereignisse nähren die Angst vor gezielten Attacken auf Steuerungssysteme der öffentlichen Infrastruktur. Die Bedrohung ist nicht mehr abstrakt, sondern konkret. Vor diesem Hintergrund einer weiterhin als „angespannt“ eingestuften IT-Sicherheitslage des BSI müssen Unternehmen ihre Abwehr kontinuierlich anpassen.

BCM wird ganzheitlich: Von der IT zur gesamten Lieferkette

Für 2026 zeichnet sich ein klarer Trend ab: Business-Continuity-Management wandelt sich. Es ist keine rein IT-lastige Aufgabe mehr, sondern ein strategischer, ganzheitlicher Ansatz. Moderne Resilienz muss die gesamte Lieferkette und die Abhängigkeit von externen Dienstleistern wie Cloud-Providern im Blick haben. Es geht nicht mehr nur um die Wiederherstellung nach einem Vorfall, sondern zunehmend um die Fähigkeit, den Betrieb während einer Krise aufrechtzuerhalten.

Diese strategische Bedeutung spiegelt sich auch auf höchster Ebene wider. Auf dem Weltwirtschaftsforum in Davos betonte BSI-Präsidentin Claudia Plattner erst kürzlich die Notwendigkeit Strategien für ein digital souveränes Europa. Die Resilienz der KRITIS wird damit zum entscheidenden Faktor für die wirtschaftliche Stabilität der gesamten EU.

Ausblick: Fristen, Gesetze und der Praxistest

Die kommenden Monate werden entscheidend. Die Registrierungsfrist beim BSI Ende März ist ein erster, verbindlicher Meilenstein. Zugleich wird mit einem Abschluss der Dachgesetz-Verhandlungen gerechnet, der neue Anforderungen an die physische Sicherheit bringt. Auf EU-Ebene wird bereits über eine Stärkung der Cybersicherheits-Agentur ENISA diskutiert.

Der Fokus verschiebt sich immer mehr von der Planung zur Bewährung. Künftig wird es stärker darum gehen, die Wirksamkeit von BCM-Maßnahmen durch regelmäßige Tests und Übungen unter Beweis zu stellen. Unternehmen, die jetzt in ihre Resilienz investieren, schützen nicht nur sich selbst, sondern tragen wesentlich zur Stabilität von Gesellschaft und Wirtschaft bei.

PS: Sie wollen Ihre BCM-Strategie auch gegen gezielte Hacker‑Angriffe und Phishing‑Kampagnen testen? Der Gratis-Report liefert konkrete Test‑Szenarien, Checklisten für Notfallübungen und eine Übersicht zu NIS2‑Pflichten, damit Sie Meldeprozesse und Incident Response rechtssicher und praxistauglich aufsetzen können. Ideal für Betreiber kritischer Infrastruktur, die den Betrieb während einer Störung garantieren müssen. Gratis E‑Book zur Cyber‑Resilienz sichern