Der Regierungsentwurf für ein Gesetz zur Stärkung der Cybersicherheit sieht vor, Unternehmen stärker als bisher in die staatliche Cyberabwehr einzubinden. Betroffen wären vor allem Betreiber kritischer Infrastrukturen (KRITIS) sowie Anbieter von Telekommunikations- und digitalen Diensten. Wir erklären die Regelungen, die für Unternehmen am bedeutsamsten werden dürften.
In aller Kürze
- Aktuell liegt ein Regierungsentwurf vom 27. Mai 2026 Das Gesetz muss also noch durch die vorgeschriebenen Lesungen im Bundestag sowie in den entsprechenden Fachausschuss. Wann es beschlossen wird, ist derzeit noch unklar.
- Betroffene Unternehmen sind insbesondere KRITIS-Betreiber sowie Anbieter von Telekommunikations- und digitalen Diensten.
- In vier zentralen Bereichen bringt das Gesetz neue Compliance-Pflichten, die zum Teil mit erheblichem technischen Aufwand und entsprechenden Investitionen verbunden sind.
- Unternehmen ist jetzt schon eine Betroffenheitsprüfung und genaue Beobachtung des Gesetzgebungsprozesses zu empfehlen.
Was ändert das Gesetz zur Stärkung der Cybersicherheit?
Angesichts zunehmender Cyberangriffe auf Unternehmen und staatliche Stellen hat die Bundesregierung einen Gesetzentwurf vorgelegt, der die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI), des Bundeskriminalamts (BKA) und der Bundespolizei zur Erkennung und Abwehr von Cyberangriffen ausbauen soll.
Der Entwurf sieht Änderungen in folgenden Gesetzen vor:
- dem BSI-Gesetz (BSIG),
- dem Bundespolizeigesetz (BPolG),
- dem Gesetz über das Bundeskriminalamt (BKAG),
- dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) sowie
- ergänzend Folgeänderungen im Energiewirtschaftsgesetz (EnWG).
Ein wesentliches Element des Entwurfs ist die stärkere Einbindung privater Wirtschaftsakteure in die staatliche Cyberabwehr. Für Unternehmen – insbesondere Betreiber kritischer Anlagen sowie Anbieter von Telekommunikations- und digitalen Diensten – würden sich daraus neue, teils weitreichende Pflichten ergeben.
Die folgenden vier Regelungsbereiche dürften aus Unternehmenssicht die größte Relevanz entfalten.
Anbindung von Angriffserkennungssystemen an das BSI (§ 31 BSIG)
Was soll geändert werden?
Nach geltendem Recht sind Betreiber kritischer Anlagen bereits verpflichtet, Systeme zur Angriffserkennung (SzA) einzusetzen und deren Einsatz gegenüber dem BSI nachzuweisen.
Das Gesetz zur Stärkung der Cybersicherheit will diese Pflicht nun grundlegend erweitern:
- Betreiber kritischer Anlagen sollen nach § 31 Abs. 2 und 3 BSIG-E ihre Systeme zur Angriffserkennung künftig direkt an das BSI anbinden und kontinuierlich automatisiert Verfügbarkeitsindikatoren sowie Indikatoren zu tatsächlichen und potenziellen Angriffen und Informationen zu Schwachstellen übermitteln.
- Bestimmte Nachweispflichten würden nach § 39 Abs. 1 BSIG-E entfallen und durch die direkte Datenanbindung ersetzt. Das BSI kann in Einzelfällen, z.B. bei wirtschaftlicher Unzumutbarkeit, auf die Anbindung verzichten.
- Für Betreiber von Strom- und Gasnetzen sowie bestimmten Energieanlagen sieht der geänderte § 5c Abs. 7 ff. EnWG ähnliche Anforderungen vor.
Was würde das in der Praxis bedeuten?
Dieser Schritt stellt – sofern er so Gesetz wird – einen erheblichen Systemwechsel dar. Bisher genügte es, den Einsatz geeigneter Systeme nachzuweisen. Künftig sollen die Systeme eine automatisierte, gesicherte, unidirektionale, rückwirkungsfreie Ausleitung zum BSI unterhalten.
Es ist dabei ausdrücklich darauf hinzuweisen, dass der Entwurf keine Pflicht begründet, ein bestimmtes System bzw. ein bestimmtes Produkt zur Angriffserkennung einzusetzen. Die Pflicht, überhaupt ein System zur Angriffserkennung einzusetzen und anzubinden, besteht jedoch.
Dennoch dürfte die Anbindung für viele Betreiber technische Anpassungen an bestehenden IT- und OT-Architekturen erfordern. Der Entwurf schätzt die einmaligen Anbindungskosten für alle ca. 2.100 betroffenen Anlagen auf ca. 4,4 Millionen Euro. Die behördliche Schätzung dürfte den realen Integrationsaufwand pro Betreiber eher konservativ abbilden.
Bei Verstößen gegen diese Pflicht sollen nach dem neuen § 65 Abs. 2 Nr. 3a und 3b BSIG-E Bußgeldverfahren möglich werden. Die Bußgeldhöhe würde sich nach dem bereits geltenden § 65 Abs. 5 S. 1 Nr. 4 richten.
Nutzerbenachrichtigung bei Sicherheitsstörungen (§ 19 TDDDG)
Was soll geändert werden?
Der Entwurf sieht in Artikel 4 eine Ergänzung des TDDDG vor, die bislang nur für Anbieter von Telekommunikationsdiensten geltende Regelung zur Nutzerbenachrichtigung auf Anbieter digitaler Dienste auszuweiten.
Nach dem vorgesehenen § 19 Abs. 5 und 6 TDDDG soll jeder Anbieter digitaler Dienste künftig unter bestimmten Voraussetzungen verpflichtet sein, Nutzer über Sicherheitsstörungen zu informieren, die von einem seiner Systeme ausgehen.
Was würde das in der Praxis bedeuten?
Der Entwurf unterscheidet dabei zwei Konstellationen.
- Erkennt ein Anbieter selbst, dass im Zuge der Inanspruchnahme durch einen Nutzer von einem seiner Dienste Störungen ausgehen, soll er den betroffenen Nutzer informieren und auf verfügbare technische Abhilfemaßnahmen hinweisen müssen. Für die Benachrichtigung selbst dürfen Anbieter nach dem Entwurf Teile des betroffenen Datenverkehrs vorübergehend umleiten.
- Wird ein Anbieter vom BSI über eine konkrete Gefahr informiert, soll dieselbe Benachrichtigungspflicht ausgelöst werden.
Auskunftspflicht gegenüber dem BSI (§ 15 Abs. 6 BSIG)
Was soll geändert werden?
Weniger im Blickpunkt der öffentlichen Diskussion, aber für einen potenziell größeren Kreis von Unternehmen relevant, ist die geplante Erweiterung der Auskunftspflicht in § 15 Abs. 6 BSIG-E.
Danach sollen Anbieter von öffentlich zugänglichen Telekommunikationsdiensten sowie geschäftsmäßige Anbieter digitaler Dienste verpflichtet werden, dem BSI auf Anfrage sicherheitsrelevante technische Informationen bereitzustellen (soweit diese ihnen bekannt sind), die Rückschlüsse auf Schadaktivitäten, Schwachstellen, Verwundbarkeiten oder aktuelle Bedrohungen erlauben – zumindest soweit die Bereitstellung technisch möglich und wirtschaftlich zumutbar ist. Ausdrücklich erfasst sind dabei Verkehrs- und Steuerungsdaten sowie technische Informationen, die Anbieter zur Verkehrsanalyse für die eigene Qualitätssicherung oder im Rahmen technischer Vorkehrungen auswerten.
Was würde das in der Praxis bedeuten?
Auch wenn die Zumutbarkeitsklausel die Pflicht etwas abfedert, sollten Unternehmen, die unter diesen Begriff fallen könnten, dennoch frühzeitig prüfen, ob und in welchem Umfang sie betroffen wären und ob interne Prozesse vorhanden sind, um auf BSI-Auskunftsverlangen angemessen reagieren zu können.
Dies betrifft insbesondere den Umgang mit personenbezogenen Daten, die in diesem Zusammenhang verarbeitet werden müssen. Der Entwurf enthält dafür eine ausdrückliche Rechtsgrundlage, die es Anbietern erlaubt, für die Erfüllung dieser Pflicht personenbezogene Daten zu verarbeiten, schreibt aber eine Zweckbindung sowie eine Löschfrist von 24 Monaten vor.
Mitwirkungspflichten bei behördlichen Cyberabwehrmaßnahmen (BPolG / BKAG)
Was soll geändert werden?
Die wohl weitreichendsten Neuerungen für Unternehmen finden sich in den Änderungen des BPolG und des BKAG. BKA und Bundespolizei sollen nach dem Entwurf neue Befugnisse zur aktiven Cyberabwehr erhalten. Diese umfassen nach §§ 68b ff. BKAG-E bzw. § 41a BPolG-E die Untersagung des Betriebs eines informationstechnischen Systems, die Umleitung, Einschränkung oder Unterbindung von Datenverkehr sowie die Erhebung, Löschung oder Veränderung von Daten.
Damit diese Maßnahmen wirksam ergriffen werden können, sieht der Entwurf für Anbieter von Telekommunikationsdiensten nach § 170 Abs. 1 und 2 des Telekommunikationsgesetzes (TKG) sowie für Anbieter digitaler Dienste nach § 1 Abs. 4 Nr. 5 DDG eine Pflicht vor, auf behördliche Anordnung hin unverzüglich mitzuwirken und erforderliche Auskünfte zu erteilen.
Was würde das in der Praxis bedeuten?
Besonders bemerkenswert ist das vorgesehene Offenbarungsverbot nach § 68f BKAG-E bzw. § 60a BPolG-E. BKA und Bundespolizei können im Einzelfall anordnen, dass das betroffene Unternehmen die Maßnahme gegenüber den davon betroffenen Nutzern oder Kunden nicht offenbaren darf, wenn die Offenbarung den Zwecken der Gefahrenabwehr entgegenstünde. Das Offenbarungsverbot ist zeitlich begrenzt. Wird es nicht binnen 12 Monaten aufgehoben, bedarf seine weitere Aufrechterhaltung der gerichtlichen Zustimmung.
Verstöße gegen das Offenbarungsverbot, gegen die Mitwirkungs-/Auskunftspflichten sowie gegen eine Betriebsuntersagung sollen als Ordnungswidrigkeit mit einer Geldbuße von bis zu 500.000 Euro geahndet werden können.
Diese Regelungskombination wirft aus Unternehmensperspektive Fragen auf, die der Entwurf in seiner vorliegenden Fassung nicht vollständig beantwortet. So ist bislang nicht ausdrücklich geregelt, ob und in welchem Umfang Unternehmen, die in Vollzug einer behördlichen Anordnung handeln und dabei bei Kunden Schäden verursachen, von der Haftung freigestellt werden. Ebenso stellen sich Fragen zum Verhältnis der Mitwirkungspflicht zu bestehenden Kundenverträgen sowie zur Vereinbarkeit mit datenschutzrechtlichen Anforderungen der DSGVO wie Betroffenenrechten und Transparenzpflichten. Ob und wie diese Punkte im weiteren Gesetzgebungsverfahren adressiert werden, bleibt abzuwarten.
Empfehlungen für Unternehmen: Betroffenheit der umfangreicheren Compliance-Pflichten prüfen
Der Regierungsentwurf für das Gesetz zur Stärkung der Cybersicherheit würde, wenn er in der vorliegenden Form zum Gesetz wird, die Compliance-Anforderungen für bestimmte Unternehmen erheblich erweitern.
Die vier beschriebenen Regelungsbereiche BSI-Anbindungspflicht (§ 31 BSIG), Nutzerbenachrichtigung (§ 19 TDDDG), technische Auskunftspflicht (§ 15 Abs. 6 BSIG) sowie Mitwirkungs- und Offenbarungsverbotspflichten nach BPolG und BKAG, sind in Reichweite und Intensität unterschiedlich. Alle sind jedoch technisch und organisatorisch anspruchsvoll und lassen teils rechtliche Folgefragen offen, die erst durch die abschließende Gesetzesfassung, ergänzende Vorgaben der Behörden und gegebenenfalls die Rechtsprechung beantwortet werden dürften.
Da sich der Entwurf nun im parlamentarischen Verfahren befindet, empfiehlt es sich, die weiteren Entwicklungen aufmerksam zu beobachten. Sinnvoll ist es zudem, bereits jetzt zu prüfen, ob das eigene Unternehmen in den Anwendungsbereich einer oder mehrerer dieser Regelungen fallen könnte und erste organisatorische und technische Vorbereitungen einzuleiten.
Achtung: Das Gesetz soll am Tag nach der Verkündung in Kraft treten mit Übergangsfristen für einzelne Pflichten von bis zu zwölf Monaten. Wer früh mit dieser Analyse beginnt, ist besser positioniert, wenn die Detailvorgaben der Behörden folgen und das Gesetz in Kraft tritt.
