Regulierung im Eiltempo: Wie belastbar ist Deutschlands Cyberwende?
Ohne, den Begriff „Zeitenwende“ überstrapazieren zu wollen – Deutschland befindet sich inmitten eines historischen Umbruchs im Thema Cybersicherheit: Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes (öffnet in neuem Tab) im Dezember 2025 und der Verabschiedung des KRITIS-Dachgesetzes (öffnet in neuem Tab) Ende Januar 2026 steht die Bundesrepublik vor der größten Transformation ihrer Cybersicherheitsarchitektur seit Jahren. Doch während die Gesetzgebungsmaschine auf Hochtouren läuft, offenbart die politische Diskussion grundlegende Spannungen zwischen Anspruch und Wirklichkeit.
Das deutsche (Cyber)Sicherheitsgerüst ruht auf drei zentralen Säulen: Das NIS2-Umsetzungsgesetz weitet den Kreis regulierter Unternehmen von rund 4.500 auf etwa 30.000 aus und verpflichtet Betriebe ab 50 Mitarbeitenden oder über 10 Millionen Euro Jahresumsatz in 18 kritischen Sektoren zu deutlich strengeren Cybersicherheitsmaßnahmen.
Ergänzend stärkt das KRITIS-Dachgesetz (öffnet in neuem Tab) die physische Resilienz: Der Brandanschlag auf eine Berliner Stromtrasse Anfang 2026 verdeutlicht die Dringlichkeit eines Beschlusses. Konkret sollen Betreiber kritischer Anlagen zu Risikoanalysen, der Berücksichtigung hybrider Bedrohungen sowie zusätzlichen Schutzmaßnahmen verpflichtet werden.
Die dritte Säule ist der Cyber Resilience Act (öffnet in neuem Tab), der seit Dezember 2024 gilt, Mindeststandards für die Sicherheit vernetzter Produkte setzt, Hersteller zu mehrjährigen Sicherheitsupdates verpflichtet und bei Verstößen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes vorsieht.
Rückstand unter Zeitdruck aufholen
Die politische Debatte um die neuen Cybersicherheitsgesetze offenbart tiefe Konflikte: In der Bundestagsdebatte zur NIS2-Richtlinie (öffnet in neuem Tab) wurde die Notwendigkeit strengerer Standards zwar parteiübergreifend anerkannt, zugleich aber die konkrete Ausgestaltung scharf kritisiert.
Experten, Wirtschaftsverbände und Teile der Opposition haben im Gesetzgebungsverfahren deutliche Kritik am NIS2-Umsetzungsgesetz (öffnet in neuem Tab) geäußert. Zentrale Kritikpunkte betreffen insbesondere die fehlende europäische Kohärenz der nationalen Umsetzungen: Unterschiedliche Auslegungen und Umsetzungsmodelle in den Mitgliedstaaten führen dazu, dass für grenzüberschreitend tätige Unternehmen kein einheitlicher Rechts- und Compliance-Rahmen entsteht. Dies untergräbt eines der Kernziele der NIS2-Richtlinie, nämlich ein konsistentes Sicherheitsniveau im Binnenmarkt, und erhöht zugleich den administrativen und finanziellen Aufwand für Unternehmen erheblich.
Auch der Bundesrat hat wesentliche Anmerkungen (öffnet in neuem Tab) vorgebracht. Diese beziehen sich unter anderem auf die bislang unzureichende Entbürokratisierung sowie auf die föderale Governance der Cybersicherheitsarchitektur. Kritisiert wird insbesondere, dass die Rolle der Länder bei Aufsicht, Umsetzung und Krisenbewältigung nicht hinreichend klar definiert ist. Dadurch drohen Doppelstrukturen, Kompetenzkonflikte und Verzögerungen in der operativen Umsetzung.
Bei der Verabschiedung des KRITIS-Dachgesetzes am 29. Januar 2026 (öffnet in neuem Tab) wurde ebenfalls deutlich, dass auch dieses Gesetz sehr unterschiedlich bewertet wird. CDU/CSU, SPD und AfD stimmten für das Gesetz, während Grüne und Linke dagegen votierten. Sebastian Schmidt (CDU/CSU) sprach von einem „echten Meilenstein (öffnet in neuem Tab)“ und einer „innenpolitischen Zeitenwende der schwarz-roten Koalition„. Die Opposition kritisierte jedoch, dass das Gesetz hinter den Notwendigkeiten eines ganzheitlichen Schutzes zurückbleibe und die mangelnde Abstimmung mit dem parallel laufenden NIS2-Gesetz die angestrebte Kohärenz untergrabe.
Aus Fachkreisen, von Wirtschaftsverbänden und Ländern wird ebenfalls grundlegende Kritik geäußert. Beanstandet werden insbesondere unklare Abgrenzungen zu bestehenden Regelwerken (öffnet in neuem Tab) wie dem BSI-Gesetz und der NIS2-Umsetzung, die zu Überschneidungen bei Zuständigkeiten, Meldepflichten und Aufsicht führen können. Für betroffene Unternehmen entsteht dadurch ein komplexer und teils widersprüchlicher Compliance-Rahmen, der den administrativen Aufwand deutlich erhöht.
Darüber hinaus wird der hohe Bürokratie- und Kostenaufwand kritisiert, insbesondere für mittelgroße Betreiber kritischer Infrastrukturen. Auch die föderale Governance wird als problematisch bewertet, da die Rollen von Bund und Ländern nicht klar genug definiert sind und Doppelstrukturen drohen.
Die Bedrohungslage: Kein Grund zur Entwarnung
Die Dringlichkeit der neuen Regulierung wird durch die aktuelle Bedrohungslage unterstrichen. Der BSI-Lagebericht 2025 (öffnet in neuem Tab) stuft die Situation als „besorgniserregend“ ein. Täglich werden 119 neue Schwachstellen gemeldet. Das ist ein Anstieg von 24 Prozent gegenüber dem Vorjahr. Aus den KRITIS-Sektoren gingen im Berichtszeitraum 726 Meldungen ein (2023: 490), davon allein 137 aus der Energieversorgung.
Dabei ist besonders die Zunahme hybrider Bedrohungen alarmierend. Um dies anzugehen, kündigte Bundesinnenminister Alexander Dobrindt (CSU) im November 2025 (öffnet in neuem Tab)einen „Aktionsplan zur Abwehr hybrider Bedrohungen“ an. Neben Cyberangriffen soll der Plan auch Drohnenüberflüge über kritische Infrastrukturen umfassen. Der Bundesnachrichtendienst (öffnet in neuem Tab) (BND) erklärt, dass Cyberangriffe auf staatliche Einrichtungen und kritische Infrastrukturen „fast täglich“ erfolgen.
Besonders kleine und mittlere Unternehmen (KMU) sind von den neuen Regelungen betroffen: Fast 50 Prozent der Unternehmen in Deutschland wissen laut aktuellen Studien (öffnet in neuem Tab) noch gar nicht, ob NIS2 für sie überhaupt relevant ist.
Digitale Souveränität und europäische Perspektive
Die Debatte um Cybersicherheit ist untrennbar mit der Frage digitaler Souveränität verbunden. Die geopolitischen Spannungen, vom Ukraine-Krieg über chinesische Cyberaktivitäten bis zu einer unvorhersehbaren US-Außenpolitik, haben das Bewusstsein geschärft, dass digitale Abhängigkeiten ein Sicherheitsrisiko darstellen (öffnet in neuem Tab). Bundeskanzler Friedrich Merz unterstreicht beim deutsch-französischen Gipfel im November 2025: (öffnet in neuem Tab) „Europa muss in vereinter Kraftanstrengung einen eigenen digitalen Weg gehen, und dieser Weg muss in die digitale Souveränität führen.“
Auf europäischer Ebene hat die Kommission am 20. Januar 2026 den Cybersecurity Act 2 (öffnet in neuem Tab) vorgestellt (CSA 2): eine Revision des bisherigen Rechtsakts zur Cybersicherheit. Ziel ist eine Vereinfachung der Zertifizierungsverfahren, eine bessere Harmonisierung zwischen verschiedenen Rechtsakten (NIS2, CRA, DSGVO) und eine Stärkung der EU-Agentur für Cybersicherheit ENISA, die im nächsten EU-Haushaltszeitraum 49 Millionen Euro zusätzlich pro Jahr erhalten soll. Die Ausgestaltung und die Bewertung des CSA wird sich im Zuge des Trilog Verfahrens vermutlich noch sehr spannend entwickeln, da bereits jetzt deutlich klar wird, dass der Regelungsrahmen in die Hoheitsrechte in Punkto Sicherheit einzelner EU-Mitgliedstaaten eingreifen könnte.
Ausblick: 2026 als Schlüsseljahr für Cybersicherheit
Das Jahr 2026 wird für die deutsche Cybersicherheit entscheidend. Bis zum 6. März müssen sich Zehntausende Unternehmen, die unter die europäische NIS2-Richtlinie fallen, beim BSI registrieren. Ab September 2026 greifen die ersten Meldepflichten des Cyber Resilience Act. Im Verlauf des Jahres wird sich zeigen, ob die neuen Gesetze tatsächlich zu mehr Sicherheit führen.
Der Erfolg wird dabei nicht nur von Politik und Behörden gemessen, auch Wirtschaft, Zivilgesellschaft und Wissenschaft beteiligen sich am Diskurs, wie etwa im Rahmen der Potsdamer Konferenz für Nationale CyberSicherheit (öffnet in neuem Tab) oder der Zukunftskongress „Wir bauen die Cybernation“ (öffnet in neuem Tab) des Wirtschaftsrates die sich auch in diesem Jahr mit der Cybersicherheitsarchitektur des Landes beschäftigen wird. Dort werden unter anderem Fragen diskutiert, wie Deutschland zu einer resilienten Cybernation werden kann und welche Rollen neue Technologien wie KI und Quantencomputing dabei spielen wird.
Deutschland hat die Notwendigkeit erkannt, seine Cybersicherheit grundlegend neu zu denken und zu ordnen. Doch zwischen ambitionierten Gesetzestexten und gelebter Praxis klafft noch eine deutliche Lücke. Ob aus dem Dreiklang von NIS2, KRITIS-Dachgesetz,Cyber Resilience Act und dem Ausblick auf den Cyber Security Act 2 eine kohärente Sicherheitsstrategie wird oder ein Flickenteppich widersprüchlicher Vorgaben, entscheidet sich in den kommenden Monaten.
Mehr Informationen:
NIS2, KRITIS und CRA: Deutschlands langer Weg zu einer umfassenden Cybersicherheitsarchitektur
Katastrophen, Krisen, kritische Infrastruktur: Interview mit Ralph Tiesler
Zwischen Symbolpolitik und Aufbruch: Europas Suche nach digitaler Souveränität
Empfehlung der Redaktion
Autor:in
