Canadian Criminal Law Cases
Posted inDatenschutz IT Audit / Compliance / Security

Compliance und Resilienz unter NIS2 und KRITIS-Dachgesetz: Ende der Freiwilligkeit

Die neue Rechtslage: Ende der Freiwilligkeit

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft. Damit hat sich der Prüfungsmaßstab für die Revision fundamental geändert: Informationssicherheit ist keine reine „Best Practice“ mehr, sondern eine zwingende Frage der Legal Compliance. Ein nicht gepatchtes System kann nun direkt als Gesetzesverstoß gewertet werden.

NIS2 vs. KRITIS-Dachgesetz: Ein „regulatorischer Zangengriff“

Unternehmen müssen zwei eng verzahnte, aber unterschiedliche Regelwerke bedienen:

  • NIS2 (Der digitale Schutzschild): Basiert auf dem novellierten BSI-Gesetz und schützt Netz- und Informationssysteme. Das Ziel ist die Sicherstellung der CIA-Triade (Vertraulichkeit, Integrität, Verfügbarkeit) digitaler Dienste.
  • KRITIS-Dachgesetz (Der physische Festungswall): Erwartet für Anfang 2026, setzt es die europäische CER-Richtlinie um. Es schützt physische Anlagen, Gebäude und Personal gegen Gefahren wie Sabotage, Terrorismus oder Naturkatastrophen.
  • Beispiel zur Abgrenzung: Fällt die Steuerung eines Wasserwerks durch einen Hackerangriff aus, greift NIS2; wird dieselbe Steuerung durch ein Hochwasser geflutet, ist dies ein Fall für das KRITIS-Dachgesetz.

Der massive Scope-Wechsel: Die „Size-Cap-Rule“

Die Zahl der betroffenen Unternehmen steigt von etwa 2.000 auf geschätzte 30.000. Ausschlaggebend ist nicht mehr nur eine Versorgungs-Schwelle, sondern die Größe:

  • Betroffenheit: 18 regulierte Sektoren (u. a. Energie, Gesundheit, Chemie, Lebensmittel, verarbeitendes Gewerbe).
  • Schwellenwert: Mindestens 50 Mitarbeiter ODER über 10 Mio. Euro Jahresumsatz.
  • Wichtig: Es gibt keinen offiziellen Bescheid. Unternehmen müssen selbst prüfen, ob sie betroffen sind, und sich eigenständig beim BSI registrieren.

Man unterscheidet zudem zwischen Besonders wichtigen Einrichtungen (Aufsicht jederzeit anlasslos) und Wichtigen Einrichtungen (Aufsicht nur ex post bei Vorfällen).

Management-Haftung: „Tone from the Top“ wird Gesetz

Die Geschäftsleitung (Vorstand/GmbH-Geschäftsführung) wird persönlich in die Pflicht genommen (§ 38 BSIG-neu).

  • Billigungs- und Überwachungspflicht: Die Führungsebene muss Risikomanagementmaßnahmen absegnen und kontrollieren.
  • Persönliche Haftung: Bei schuldhafter Verletzung haften Geschäftsführende der Gesellschaft gegenüber mit ihrem Privatvermögen.
  • Schulungspflicht: Das Management muss regelmäßig an Schulungen teilnehmen; Unwissenheit schützt nicht.

Die Kernpflichten im Detail

  1. Risikomanagement (§ 30-Katalog): Erfordert Konzepte zur Risikoanalyse („Kronjuwelen-Identifikation“), Incident-Response-Pläne, Business Continuity Management (BCM) und Backup-Strategien.
  2. Lieferkettensicherheit: Ein massiver neuer Block. Unternehmen müssen Sicherheitsaspekte in Verträgen mit Zulieferern verankern und deren Sicherheitsniveau bewerten.
  3. Technik: Multi-Faktor-Authentifizierung (MFA) ist nun gesetzlicher Standard für alle zugangsgeschützten Bereiche.
  4. Verschärftes Meldewesen: Bei erheblichen Vorfällen gilt ein 24-Stunden-Takt für die erste Frühwarnung an das BSI, gefolgt von einer detaillierten Meldung nach 72 Stunden und einem Abschlussbericht nach einem Monat.

Sanktionen: Wenn das BSI Ernst macht

Der Sanktionsrahmen ist an die Wirtschaftskraft gekoppelt:

  • Besonders wichtige Einrichtungen: Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.
  • Wichtige Einrichtungen: Bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes.
  • Ultima Ratio: Das BSI kann sogar beantragen, Geschäftsführern vorübergehend die Leitung zu untersagen, bis die Compliance wiederhergestellt ist.

Die 4-Phasen-Roadmap zur Umsetzung

Für Unternehmen, die noch nicht „ready“ sind, empfiehlt der Autor folgendes Vorgehen:

  • Phase 1 (Woche 1–4): BSI-Registrierung, Etablierung von 24/7-Meldewegen und dokumentierte Haftungs-Aufklärung der Geschäftsleitung.
  • Phase 2 (Monat 2–6): „Quick Wins“ wie MFA für alle externen Zugänge, Validierung von Restore-Prozessen (Backups) und Schließen kritischer Patch-Lücken binnen 72 Stunden.
  • Phase 3 (Monat 7–12): Aufbau eines vollwertigen ISMS/BCMS, physische Bestandsaufnahme für das KRITIS-Dachgesetz und Audits der wichtigsten Lieferanten.
  • Phase 4 (Laufend): Jährliche Tabletop-Krisenübungen, Stichprobenprüfungen durch die Interne Revision und fortlaufende Security-Awareness-Schulungen.

Fazit: NIS2 und das KRITIS-Dachgesetz markieren den Übergang von der „Kür“ zur „Pflicht“. Resilienz wird so zum neuen Qualitätsmerkmal „Made in Germany“ – wer seine Lieferfähigkeit auch in Krisenzeiten nachweisen kann, gewinnt einen klaren Wettbewerbsvorteil.