Stand: März 2026
Cyberangriffe auf Krankenhäuser, Sabotage an Energieversorgern, Datenlecks bei Behörden – digitale Bedrohungen sind längst kein abstraktes Risiko mehr. Die sicherheitspolitische Lage in Europa hat sich deutlich verschärft. Wirtschaft und Verwaltung sehen sich zunehmend Angriffen durch Desinformation, Hacktivismus, Spionage und Sabotage ausgesetzt. Der gesetzliche Rahmen, der Unternehmen zum Schutz ihrer IT-Systeme verpflichtet, hat sich daher in den vergangenen Jahren grundlegend gewandelt. Wer heute als Unternehmer oder Geschäftsführer in Deutschland tätig ist, sollte verstehen, was das IT-Sicherheitsgesetz bedeutet, wen es betrifft – und was die aktuellen Entwicklungen konkret für den eigenen Betrieb bedeuten können.
Von der ersten Version bis heute: Die Entwicklung des IT-Sicherheitsgesetzes
Das IT-Sicherheitsgesetz trat erstmals am 25. Juli 2015 in Kraft. Es dient vor allem dazu, die IT-Sicherheit und Resilienz kritischer Infrastrukturen (KRITIS) zu erhöhen. Der Begriff KRITIS steht dabei für Einrichtungen und Anlagen, die für das Funktionieren des Gemeinwesens unverzichtbar sind – also Strom- und Wasserversorgung, Gesundheitsversorgung, Telekommunikation oder der Finanzsektor. Die Bundesregierung setzte damals das oberste Ziel, „die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen” – sowohl in Unternehmen und der Bundesverwaltung als auch bei der alltäglichen Nutzung des Internets.
Das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) trat am 28. Mai 2021 in Kraft. Es enthält neue Anforderungen an Unternehmen (KRITIS) und räumt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) deutlich mehr Befugnisse ein, mit dem Ziel, die IT-Sicherheit in Deutschland zu stärken. Konkret bedeutete das: Mit der Fortschreibung verpflichtete die Bundesregierung die KRITIS-Betreiber, ihre Systeme auf den „Stand der Technik” zu bringen und zusätzliche Sicherheitsmaßnahmen für ihre IT-Infrastrukturen umzusetzen. So müssen sie seitdem beispielsweise Systeme zur Angriffserkennung einsetzen. Gleichzeitig wurden die Bußgelder erhöht: Nach IT-Sicherheitsgesetz 2.0 sind nun Strafen bis 2 Mio. Euro möglich.
Wichtiger Hinweis: Das IT-Sicherheitsgesetz richtet sich nicht nur an Großkonzerne. Schon mit Version 2.0 wurden die Schwellenwerte abgesenkt, sodass auch mittelständische Unternehmen unter die Regelungen fallen können. Eine Prüfung der eigenen Betroffenheit ist in jedem Fall empfehlenswert.
Entsprechend der unionsrechtlichen Vorgaben soll der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert werden. Das ist inzwischen geschehen. Zum Jahreswechsel 2025/2026 ist mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2-RLUG) der große Wurf erfolgt: Das Gesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt verkündet und ist am 6. Dezember 2025 in Kraft getreten.
Parallel dazu trat das KRITIS-Dachgesetz im März 2026 in Kraft. Es ergänzt das NIS-2-Umsetzungsgesetz um Vorgaben zur physischen Resilienz kritischer Anlagen.
Wen betrifft das IT-Sicherheitsgesetz – und ab welcher Größe?
Diese Frage stellen sich viele Unternehmer zu Recht. Die Antwort hat sich mit jeder Gesetzesnovelle verändert – und ist heute deutlich breiter als noch vor einigen Jahren. Die Anzahl betroffener Unternehmen steigt in Deutschland deutlich von 2.000 auf über 30.000 – einen großen Teil der Wirtschaft. Das ist keine Kleinigkeit.
Das NIS-2-Umsetzungsgesetz unterscheidet zwischen „wesentlichen” (Essential) und „wichtigen” (Important) Einrichtungen. Beide Gruppen müssen umfassende Sicherheitsvorgaben erfüllen, bei wesentlichen Einrichtungen sind Aufsicht und mögliche Sanktionen jedoch strenger. Die Einstufung hängt von Branche und Unternehmensgröße ab:
- Wesentliche Einrichtungen. Unternehmen in besonders kritischen Sektoren mit normalerweise mindestens 250 Mitarbeitenden und mindestens 50 Mio. Euro Jahresumsatz oder 43 Mio. Euro Bilanzsumme.
- Wichtige Einrichtungen. Unternehmen mit mindestens 50 Mitarbeitenden und mindestens 10 Mio. Euro Umsatz bzw. Bilanzsumme in den von NIS2 erfassten Sektoren.
- KRITIS-Betreiber (kritische Anlagen). Adressaten des Gesetzes sind Einrichtungen, die entscheidend für die allgemeine Versorgung in Deutschland sind und zu deren Zuständigkeitsbereich mehr als 500.000 Einwohner zählen.
Rund 29.500 Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in 18 Sektoren – darunter Energie, Produktion, Logistik, Chemie und Abfall – fallen unter das Gesetz. Wer unsicher ist, ob das eigene Unternehmen betroffen ist, kann auf der Website des BSI eine Betroffenheitsprüfung durchführen. Eine Prüfung im Einzelfall, idealerweise gemeinsam mit einem spezialisierten Berater, ist empfehlenswert.
Tipp: Das BSI stellt auf seiner Website eine Selbstauskunft zur NIS-2-Betroffenheit bereit. Auch Steuerberater und Rechtsanwälte mit IT-Rechtskenntnissen können bei der Einordnung helfen.
Was müssen betroffene Unternehmen konkret umsetzen?
Der Regelungskatalog ist umfangreich. Fachleute weisen darauf hin, dass Cybersicherheit durch das NIS-2-Umsetzungsgesetz zur echten Chefsache geworden ist – nicht zur reinen IT-Aufgabe. Während Cybersicherheit lange Zeit als technisches Thema galt, das man an IT-Abteilungen oder externe Dienstleister delegieren konnte, macht NIS2 klar: Die Verantwortung liegt bei der Geschäftsführung – persönlich, dauerhaft und prüfbar.
Das Gesetz fordert umfassende Sicherheitsmaßnahmen mit großem Geltungsbereich im ganzen Unternehmen: Risikomanagement, Vorfallsmeldungen, technische Maßnahmen und Governance. Im Einzelnen umfassen die zentralen Pflichten:
- Registrierung beim BSI. Betroffene Einrichtungen mussten sich ab dem 6. Januar 2026 über das Meldeportal des BSI registrieren. „Besonders wichtige Einrichtungen” hatten hierfür eine gesetzliche Frist bis spätestens 6. März 2026.
- Meldepflicht bei Sicherheitsvorfällen. Die Pflicht zur Meldung erheblicher Vorfälle innerhalb von 24 Stunden gilt ab sofort. Das dreistufige Melderegime ersetzt die bisherige einstufige Meldepflicht.
- Technische und organisatorische Maßnahmen. Da das Gesetz keine Übergangsfristen für die technischen und organisatorischen Maßnahmen (§ 30 BSIG) vorsieht, mussten diese seit dem 6. Dezember 2025 implementiert sein.
- Schulungspflicht der Geschäftsleitung. Geschäftsleiter müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Bewertung von Risiken und Maßnahmen sicherzustellen.
- Systeme zur Angriffserkennung. Betreiber kritischer Infrastrukturen verpflichtet das IT-Sicherheitsgesetz 2.0, Systeme zur Angriffserkennung einzusetzen.
Unternehmen, die als kritisch gelten, müssen ihre IT-Systeme nach dem aktuellen Stand der Technik absichern und ihre Informationssicherheit mindestens alle zwei Jahre überprüfen lassen. Ein Informationssicherheits-Managementsystem (ISMS) – das ist ein strukturiertes Regelwerk zur Steuerung aller sicherheitsrelevanten Prozesse im Unternehmen – bildet dabei die organisatorische Grundlage.
Wichtiger Hinweis: Das NIS-2-Umsetzungsgesetz trat ohne Übergangsfristen in Kraft. Für das Management bedeutet dies: NIS2 ist kein Zukunftsthema mehr, sondern ein geltender Rechtsrahmen, der unmittelbar in Strategie, Governance und Budgetplanung abgebildet werden muss. Eine Prüfung der eigenen Betroffenheit und des Umsetzungsstands ist zeitnah empfehlenswert.
Welche Sanktionen drohen bei Verstößen?
Die Konsequenzen bei Nichtbeachtung sind erheblich. Die Sanktionen umfassen erweiterte Bußgeldvorschriften mit neuen Tatbeständen und erhöhten Bußgeldern zwischen 100.000 und 20 Mio. Euro, teils gekoppelt an den weltweiten Umsatz. Dabei hängt die genaue Höhe von der Einordnung des Unternehmens ab.
Neben der persönlichen Haftung der Leitungsorgane drohen auch den Unternehmen selbst erhebliche Sanktionen. Das NIS-2-Umsetzungsgesetz sieht, ähnlich wie die Datenschutz-Grundverordnung (DSGVO), Bußgelder in Millionenhöhe vor. Bei besonders wichtigen Einrichtungen können diese bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen. Für wichtige Einrichtungen liegt die Grenze bei bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Gesamtumsatzes.
Hinzu kommt: Viele Unternehmen delegieren die NIS2-Umsetzung ausschließlich an ihre IT-Abteilung. Experten betonen, dass dieser Ansatz zum Scheitern verurteilt sei. Das Gesetz verlange explizit ganzheitliche Maßnahmen, die Cybersecurity zur Chefsache machen. Die persönliche Haftung der Geschäftsleitung ist damit ein reales Risiko, das über die bloße Unternehmenssanktion hinausgeht.
Das KRITIS-Dachgesetz: Physische Resilienz als neue Anforderung
Neben dem NIS-2-Umsetzungsgesetz tritt seit März 2026 das KRITIS-Dachgesetz in Kraft. Es ergänzt die IT-Sicherheitsanforderungen um Vorgaben zur physischen Sicherheit. KRITIS-Betreiber müssen Vorkehrungen treffen, um auf die spezifischen Bedrohungen verhältnismäßig reagieren zu können. Hierzu gilt es, Risikoanalysen durchzuführen und daraufhin entsprechende Resilienzpläne zu entwickeln.
Betreiber kritischer Anlagen müssen Vorfälle unverzüglich, innerhalb von 24 Stunden, an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe melden. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) übernimmt dabei die Rolle der nationalen zuständigen Behörde für Resilienzfragen – während das BSI weiterhin für die IT-Sicherheit zuständig bleibt.
Weiterlesen:NIS-2-Richtlinie: Anforderungen und Umsetzung für Unternehmen
Was bedeutet das praktisch für Geschäftsführer und Unternehmer?
Für viele Unternehmer stellt sich die Frage: Bin ich überhaupt betroffen? Und wenn ja – wo fange ich an? Es empfiehlt sich, zunächst die eigene Branche und das Tätigkeitsfeld gegen die NIS2-Sektoren zu prüfen und anschließend die Unternehmensgröße nach Mitarbeitenden, Umsatz und Bilanz zu bewerten.
Wer unter das Gesetz fällt, steht vor einer mehrschichtigen Aufgabe. Ein etabliertes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder ein nach NIST CSF ausgerichtetes Programm ist eine sehr gute Basis, garantiert aber nicht automatisch vollständige NIS2-Konformität. Meldepflichten, Management-Verantwortlichkeiten, nationale Besonderheiten und branchenspezifische Vorgaben müssen zusätzlich berücksichtigt werden.
In der Praxis empfiehlt sich eine frühzeitige Abstimmung mit einem spezialisierten Berater – sei es ein IT-Sicherheitsexperte, ein Rechtsanwalt mit IT-Rechtskenntnissen oder ein Steuerberater, der die betriebswirtschaftlichen Auswirkungen einschätzen kann. Gerade die Frage, welche internen Ressourcen und Investitionen notwendig sind, lässt sich am besten im Einzelfall klären.
Häufig gestellte Fragen
Was ist das IT-Sicherheitsgesetz in Deutschland?
Beim IT-Sicherheitsgesetz handelt es sich um ein 2015 vom deutschen Bundestag verabschiedetes Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Es betrifft Telekommunikationsunternehmen, Anbieter von digitalen Diensten und Betreiber von kritischen Infrastrukturen und soll zum Schutz von kritischen Infrastrukturen (KRITIS) in Deutschland beitragen. Seit Dezember 2025 gilt mit dem NIS-2-Umsetzungsgesetz eine grundlegend erweiterte Fassung des Rechtsrahmens.
Für wen gilt das IT-Sicherheitsgesetz bzw. das NIS-2-Umsetzungsgesetz?
Die NIS2-Umsetzung betrifft große Teile der deutschen Wirtschaft mit über 30.000 Unternehmen. Betroffen sind Unternehmen in 18 Sektoren – darunter Energie, Gesundheit, Transport, Finanzwesen, IT und Telekommunikation – sofern sie bestimmte Größenschwellen (ab 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz) überschreiten. Eine individuelle Betroffenheitsprüfung beim BSI ist empfehlenswert.
Was passiert, wenn ein Unternehmen die Anforderungen nicht erfüllt?
Die Sanktionen umfassen erhöhte Bußgelder zwischen 100.000 und 20 Mio. Euro, teils gekoppelt an den weltweiten Umsatz. Hinzu kommt die persönliche Haftung der Geschäftsleitung bei Pflichtverletzungen. Eine frühzeitige Umsetzung der gesetzlichen Anforderungen kann erhebliche Haftungsrisiken vermeiden helfen.
Müssen sich betroffene Unternehmen beim BSI registrieren?
Alle betroffenen Einrichtungen – sowohl „wesentliche” als auch „wichtige” – sind verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Das BSI-Portal wurde am 6. Januar 2026 freigeschaltet und dient unter anderem als Meldestelle für erhebliche Sicherheitsvorfälle.
Was ist der Unterschied zwischen dem IT-Sicherheitsgesetz 2.0 und dem NIS-2-Umsetzungsgesetz?
Das IT-Sicherheitsgesetz 2.0 aus dem Jahr 2021 bildete den bisherigen nationalen Rechtsrahmen für KRITIS-Betreiber. Der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen wird durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert. Das neue Gesetz gilt seit Dezember 2025 und weitet den Kreis der betroffenen Unternehmen deutlich aus.
Was ist das KRITIS-Dachgesetz?
Das KRITIS-Dachgesetz setzt die CER-Richtlinie der EU in Deutschland um. Es definiert Mindeststandards für den physischen Schutz kritischer Infrastrukturen, um deren Widerstandskraft zu erhöhen und IT-Sicherheitsmaßnahmen zu ergänzen. Das Gesetz trat im März 2026 in Kraft und gilt ergänzend zum NIS-2-Umsetzungsgesetz für Betreiber kritischer Anlagen.
Stand: März 2026
Hinweis: Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine steuerliche oder rechtliche Beratung dar. Rechtliche und steuerliche Sachverhalte sind individuell verschieden. Für verbindliche Auskünfte wenden Sie sich bitte an einen zugelassenen Steuerberater oder Rechtsanwalt. Trotz sorgfältiger Recherche übernehmen wir keine Gewähr für die Vollständigkeit und Aktualität der Angaben.
TABAK Steuerberatung
Augustaanlage 33, 68165 Mannheim
Inhaberin & Steuerberaterin: Fatma Tabak-Özkul
