NIS2, KRITIS und CRA: Deutschlands langer Weg zu einer umfassenden Cybersicherheitsarchitektur
Vor dem Hintergrund vermehrter hybriden Bedrohungen erneuert Deutschland sein Cybersicherheitsgerüst grundlegend: Mit der Umsetzung der NIS2-Richtlinie, dem KRITIS-Dachgesetz und dem Cyber Resilience Act soll erstmals ein vernetztes, umfassendes Regelwerk zum Schutz digitaler Infrastrukturen entstehen. Drei Gesetze, ein Ziel – Deutschland zukunftssicher, aber vor allem sicher in der Zukunft zu machen. Doch zwischen ambitionierten Gesetzestext und gelebter Praxis klafft nach wie vor eine deutliche Lücke.
Der grundlegende Umbau der deutschen Cybersicherheitsarchitektur besteht aus dem Zusammenwirken von drei Säulen: Die Umsetzung der NIS2-Richtlinie (Network and Information Security Directive) (öffnet in neuem Tab) verpflichtet erstmals Unternehmen zu umfassenden organisatorischen und technischen Cybersicherheitsmaßnahmen. Parallel dazu dient das KRITIS-Dachgesetz dazu, die physische Resilienz kritischer Infrastrukturen durch verpflichtende Maßnahmen zu stärken. Dabei handelt es sich um die Umsetzung einer weiteren EU- Richtlinie, der Critical Entities Resilience Directive (CER) (öffnet in neuem Tab) Ergänzt wird das Duo durch den Cyber Resilience Act, der verbindliche Sicherheitsanforderungen und Update-Pflichten für digitale Produkte über ihren gesamten Lebenszyklus festlegt. Zusammen liefern sie erstmals ein verzahntes Regelwerk, das organisatorische, physische und produktspezifische Sicherheit verknüpfen soll Zumindest ist das das erklärte Ziel des Gesetzgebers. Da viele Umsetzungsfragen noch offen sind, steht der Praxistest aber noch aus. Wir geben einen Stand der Dinge zum neuen Dreiklang in der Cybersicherheitsgesetzgebung.
Umsetzung der NIS2-Richtlinie: Die Uhr tickt
Die Umsetzung der europäischen NIS2-Richtlinie stellt Deutschland vor ein Dilemma: Auf der einen Seite steht die Dringlichkeit der Umsetzung – die EU-Frist vom 17. Oktober 2024 ist längst verstrichen, ein Vertragsverletzungsverfahren (öffnet in neuem Tab) läuft seit November 2024. Mit jedem Tag der Verzögerung wächst nicht nur die Rechtsunsicherheit für über 30.000 potenziell betroffene Unternehmen (öffnet in neuem Tab), sondern auch das Risiko erheblicher Strafzahlungen durch die EU-Kommission. Auf der anderen Seite offenbart sich die enorme Komplexität des Vorhabens: Eine der weitreichendste Cybersicherheitsregulierung in der deutschen Geschichte erfordert grundlegende Veränderungen in Wirtschaft und Verwaltung.
Der beschlossene Regierungsentwurf erweitert den Kreis der zu regulierenden Institutionen massiv: Künftig fallen nicht nur Großunternehmen unter die Vorschriften, sondern auch mittlere Unternehmen ab 50 Mitarbeitern (öffnet in neuem Tab) oder einem Jahresumsatz von über 10 Millionen Euro. Diese Ausweitung geht deutlich über die bisherigen Bestimmungen hinaus und erfasst erstmals auch Bereiche wie Post- und Kurierdienste, Abfallbewirtschaftung oder Forschungseinrichtungen (öffnet in neuem Tab).
Der ursprüngliche Ansatz der EU-Richtlinie zielte nur auf kritische Infrastrukturen – nun sind aber von der NIS 2 Richtlinie Zehntausende Unternehmen erfasst. Grund dafür ist, dass auch Unternehmen unter die Regulierung fallen, die zwar keine kritischen Infrastrukturen betreiben, aber für deren Betrieb unverzichtbar sind – quasi die Zulieferer der Sicherheitsinfrastrukturen. Zwar soll der Einschub “vernachlässigbarer Tätigkeiten” nach § 28 (3) die Anzahl an betroffenen Unternehmen vermindern, jedoch bleibt zunächst unklar, (öffnet in neuem Tab) wie diese Schwelle genau definiert wird.
Besonders kontrovers diskutiert wird die Ausnahme der nachgeordneten Bundesbehörden (öffnet in neuem Tab) von den NIS2-Pflichten. Während das Bundeskanzleramt und die Bundesministerien den vollen Anforderungen unterliegen, bleiben alle weiteren Behörden des Bundes den vollständigen Anforderungen des Risikomanagements ausgenommen. Ob dies tatsächlich auf knappe Haushaltsmittel (öffnet in neuem Tab) oder auf die lang verzögerte Priorisierung der IT-Sicherheit in Bundesbehörden zurückzuführen ist, bleibt unklar. Sachverständige wie Prof. Timo Kob (öffnet in neuem Tab) kritisieren: „Statt Cybersicherheit zu stärken, schwächt das Gesetz sie sogar”. Die fehlende Einbeziehung der kommunalen Ebene (öffnet in neuem Tab) verschärft die Fragmentierung zusätzlich.
Bei den Zuständigkeiten wünschen sich Industrieverbände zudem eine engere Verzahnung zwischen BSI und Innenministerium. Derzeit übernimmt das BSI als zentrale Aufsichtsbehörde für Cybersicherheit die Überwachung von rund 30.000 Unternehmen – ein massiver Sprung (öffnet in neuem Tab) gegenüber den bisherigen 4.500 Einrichtungen. Die konkrete Umsetzung zukünftiger Kooperationen zwischen dem BMI und der nachgeordneten Behörde BSI bleibt bisher offen. Während der Bundesverband der Deutschen Industrie (öffnet in neuem Tab) das Organisationskonto des Onlinezugangsgesetzes als zentrale Portallösung favorisiert, hat das BSI sich vorbehalten, sich zu den Meldewegen “rechtzeitig (öffnet in neuem Tab)” zu äußern.
In der öffentlichen Anhörung der geladenen Sachverständigen im Innenausschuss haben sich die Branchen-Experten für eine zügige eins-zu-eins-Umsetzung der europäischen Vorgaben ohne zusätzliche nationale Verschärfungen plädiert. Nur so ließen sich Rechts- und Planungsklarheit sowie faire Wettbewerbsbedingungen im europäischen Binnenmarkt gewährleisten. Die Bundesregierung habe sich öffentlich gegen sogenanntes „Goldplating“ ausgesprochen – dieses Bekenntnis müsse sich nun auch in der konkreten Umsetzung widerspiegeln.
KRITIS-Dachgesetz: Physische Resilienz als zusätzliche Säule
Während NIS2 die Cybersicherheit adressiert, komplettiert das KRITIS-Dachgesetz (öffnet in neuem Tab) zur Umsetzung der EU CER-Richtlinie (öffnet in neuem Tab) die deutsche Sicherheitsarchitektur um die physische Sicherheitsdimension kritischer Infrastrukturen. Das im September 2025 vom Bundeskabinett beschlossene Gesetz (öffnet in neuem Tab) verpflichtet Betreiber kritischer Anlagen erstmals zu umfassenden Resilienzmaßnahmen gegen physische Bedrohungen wie Sabotage, Naturkatastrophen oder gezielte Angriffe.
Das Dachgesetz will einen einen ganzheitlichen Ansatz etablieren: Betreiber müssen z. B. künftig Risikoanalysen durchführen, die sowohl natürliche Gefahren als auch hybride oder andere feindliche Bedrohungen (öffnet in neuem Tab) berücksichtigen. Die geforderten Maßnahmen (öffnet in neuem Tab)reichen von baulicher und technischer Sicherung über Zugangskontrollsysteme bis hin zu Business Continuity Management und Krisenreaktionsplänen. Während das Bundesamt für Sicherheit in der Informationstechnik (BSI) im NIS2-Gültigkeitsbereich für Cybersicherheit zuständig bleibt, übernimmt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) die Koordination für physische Resilienz.
Kritisch zu bewerten, bleibt die mangelnde Harmonisierung mit der parallel laufenden Umsetzung der NIS2-Richtlinie. Die deutsche Industrie kritisiert in ihren Stellungnahmen (öffnet in neuem Tab) die fehlende Abstimmung der beiden Gesetzespakete. So warnen Unternehmen und Verbände, dass unterschiedliche Begriffsdefinitionen, unklare Schwellenwerte und parallele Meldepflichten die angestrebte Kohärenz zu untergraben drohen.
Cyber Resilience Act: Produktsicherheit als präventiver Baustein
Der Cyber Resilience Act ergänzt die infrastrukturbezogenen Ansätze um eine produktzentrierte Perspektive auf Cybersicherheit. Die EU-Verordnung (öffnet in neuem Tab), die am 10. Dezember 2024 in Kraft getreten ist und ab dem 11. Dezember 2027 Anwendung findet, legt verbindliche Mindestanforderungen an die Cybersicherheit von Produkten mit digitalen Elementen fest.
Der CRA hat dabei eine breite Anwendungspalette (öffnet in neuem Tab): Von IoT-Geräten wie Smart-Home-Produkten über industrielle Steuerungssysteme bis hin zu reinen Softwarelösungen. Die Verordnung kategorisiert Produkte nach sogenannter Kritikalität: Standard-Produkte unterliegen Grundanforderungen mit Selbstbewertung, während kritische Produkte zusätzliche Konformitätsbewertungsverfahren (öffnet in neuem Tab) durchlaufen müssen. Besonders bedeutsam: Hersteller müssen über den gesamten Produktlebenszyklus – mindestens fünf Jahre – Sicherheitsupdates bereitstellen. Das BSI wurde im Oktober 2025 offiziell als nationale Aufsichts- und Marktüberwachungsbehörde (öffnet in neuem Tab) benannt. Bei Nichteinhaltung der Vorgaben drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent (öffnet in neuem Tab)des weltweiten Jahresumsatzes.
Orchestrierte Symphonie oder vielstimmige Dissonanz?
Im besten Fall bilden die drei Gesetze ein kohärentes Sicherheitsökosystem, das zusammen verschiedene Schutzbereiche abdeckt: die NIS2 Richtlinie für organisatorische Cybersicherheit, das KRITIS-Dachgesetz für physische Resilienz und der Cyber Resilience Act für Produktsicherheit über den gesamten Lebenszyklus. Diese Komplementarität soll die Komplexität moderner Bedrohungslagen widerspiegeln.
Die operationale Verzahnung soll etwa durch die gemeinsame Meldestelle und harmonisierte Registrierungsverfahren erfolgen. Doppelstrukturen sollen so vermeiden und der bürokratische Erfüllungsaufwand für Unternehmen reduziert werden. Gleichzeitig entstehen neue Herausforderungen bei der Harmonisierung: So kritisieren Sachverständige (öffnet in neuem Tab), dass “es mehr als erforderlich” sei, “im Interesse einer umfassenden Erhöhung der Sicherheit und Resilienz das NIS-2-Umsetzungsgesetz und das KRITIS-Dachgesetz viel stärker aufeinander abzustimmen”.
Die deutsche Cybersicherheitsarchitektur steht damit vor einer historischen Zäsur: Erstmals entsteht ein umfassender, mehrdimensionaler Schutzrahmen, der sowohl präventive als auch reaktive Elemente kombiniert. Ob dieser ambitionierte Dreiklang zur Blaupause wird oder als warnendes Beispiel für überambitionierte und unkoordinierte Regulierung dient, entscheidet sich in den kommenden Monaten – in den Behörden, Unternehmen und letztlich wohl auch vor den Gerichten der Europäischen Union.
Mehr Informationen:
Kritische Infrastruktur: Das KRITIS-Dachgesetz ist auf dem Weg (öffnet in neuem Tab)
Standpunkt: Was kann die EU für bessere digitale Infrastrukturen tun? (öffnet in neuem Tab)
Zwischen Innovation und Geschäftsgeheimnis: Wie der Data Act Europas Datenökonomie reformieren will (öffnet in neuem Tab)
Empfehlung der Redaktion
Autor:in
