Rund 29.500 Unternehmen sollen aktiv zur Cybersicherheit beitragen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält mehr Möglichkeiten zur Unterstützung und Kontrolle: Das Bundeskabinett hat am 30.07.2025 einen Gesetzentwurf zur Stärkung der Cybersicherheit beschlossen. Damit wird die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) in deutsches Recht umgesetzt und das bestehende IT-Sicherheitsrecht umfassend modernisiert, wie das Bundesinnenministerium (BMI) mitteilt.

Nach dem Entwurf sollen künftig deutlich mehr Unternehmen eine aktive Rolle beim Schutz ihrer digitalen Infrastruktur übernehmen, quer durch zentrale Wirtschaftsbereiche. Auch die Bundesverwaltung soll besser abgesichert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll Aufsichtsinstrumente erhalten, um Unternehmen gezielter zu begleiten und die Einhaltung der Sicherheitsstandards zu überwachen.

Bei den Unternehmen rückt laut BMI neben Betreibern Kritischer Infrastrukturen ein breiteres Spektrum in den Mittelpunkt, darunter so genannte wichtige und besonders wichtige Einrichtungen. Insgesamt betreffe das rund 29.500 Unternehmen, zum Beispiel aus den Bereichen Energie, Gesundheit, Transport oder digitale Dienste.

Alle betroffenen Unternehmen sollen künftig zentrale Schutzmaßnahmen etablieren. – etwa Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen. Der Umfang richte sich nach der Bedeutung der Einrichtung, ein ausgewogenes Verhältnis bleibe also gewahrt.

Wenn es zu einem Cyberangriff kommt, greife ein gestuftes Meldeverfahren: Zunächst eine kurze Erstmeldung innerhalb von 24 Stunden, gefolgt von einem Zwischenstand nach 72 Stunden und einem Abschlussbericht innerhalb eines Monats.

Außerdem erhalte das BSI mehr Befugnisse zur Aufsicht und Durchsetzung. Bei schwerwiegenden Verstößen soll es künftig auch Bußgelder verhängen können, die sich am Jahresumsatz orientieren.

Das Amt stelle bereits jetzt auf seinen Seiten umfangreiche Informationen bereit, inklusive eines digitalen Tools zur Selbsteinschätzung (https://www.bsi.bund.de/). So könnten Unternehmen frühzeitig prüfen, welche Regelungen für sie relevant sind und wie sie sich bestmöglich aufstellen.

Parallel plane das Bundesinnenministerium ein so genanntes KRITIS-Dachgesetz, das erstmals branchenübergreifende Mindeststandards für den physischen Schutz Kritischer Infrastrukturen festlegt – also für Bereiche wie Strom, Wasser, Gesundheit oder Ernährung. Das Ziel: Unternehmen sollen ihre wichtigen Dienstleistungen auch im Ernstfall zuverlässig aufrechterhalten können, zum Wohl der gesamten Gesellschaft.

Bundesinnenministerium, PM vom 30.07.2025