{"id":1039,"date":"2026-02-12T09:22:12","date_gmt":"2026-02-12T08:22:12","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=1039"},"modified":"2026-02-12T09:22:12","modified_gmt":"2026-02-12T08:22:12","slug":"compliance-und-resilienz-unter-nis2-und-kritis-dachgesetz-ende-der-freiwilligkeit","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2026\/02\/12\/compliance-und-resilienz-unter-nis2-und-kritis-dachgesetz-ende-der-freiwilligkeit\/","title":{"rendered":"Compliance und Resilienz unter NIS2 und KRITIS-Dachgesetz: Ende der Freiwilligkeit"},"content":{"rendered":"

Die neue Rechtslage: Ende der Freiwilligkeit<\/h3>\n

Seit dem 6. Dezember 2025<\/strong> ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG<\/strong>) in Kraft. Damit hat sich der Pr\u00fcfungsma\u00dfstab f\u00fcr die Revision fundamental ge\u00e4ndert: Informationssicherheit ist keine reine \u201eBest Practice\u201c mehr, sondern eine zwingende Frage der Legal Compliance<\/strong>. Ein nicht gepatchtes System kann nun direkt als Gesetzesversto\u00df gewertet werden.<\/p>\n

NIS2 vs. KRITIS-Dachgesetz: Ein \u201eregulatorischer Zangengriff\u201c<\/h3>\n

Unternehmen m\u00fcssen zwei eng verzahnte, aber unterschiedliche Regelwerke bedienen:<\/p>\n

    \n
  • NIS2 (Der digitale Schutzschild):<\/strong> Basiert auf dem novellierten BSI-Gesetz und sch\u00fctzt Netz- und Informationssysteme. Das Ziel ist die Sicherstellung der CIA-Triade<\/strong> (Vertraulichkeit, Integrit\u00e4t, Verf\u00fcgbarkeit) digitaler Dienste.<\/li>\n
  • KRITIS-Dachgesetz (Der physische Festungswall):<\/strong> Erwartet f\u00fcr Anfang 2026, setzt es die europ\u00e4ische CER-Richtlinie um. Es sch\u00fctzt physische Anlagen<\/strong>, Geb\u00e4ude und Personal gegen Gefahren wie Sabotage, Terrorismus oder Naturkatastrophen.<\/li>\n
  • Beispiel zur Abgrenzung:<\/strong> F\u00e4llt die Steuerung eines Wasserwerks durch einen Hackerangriff aus, greift NIS2; wird dieselbe Steuerung durch ein Hochwasser geflutet, ist dies ein Fall f\u00fcr das KRITIS-Dachgesetz.<\/li>\n<\/ul>\n

    Der massive Scope-Wechsel: Die \u201eSize-Cap-Rule\u201c<\/h3>\n

    Die Zahl der betroffenen Unternehmen steigt von etwa 2.000 auf gesch\u00e4tzte 30.000<\/strong>. Ausschlaggebend ist nicht mehr nur eine Versorgungs-Schwelle, sondern die Gr\u00f6\u00dfe:<\/p>\n

      \n
    • Betroffenheit:<\/strong> 18 regulierte Sektoren (u. a. Energie, Gesundheit, Chemie, Lebensmittel, verarbeitendes Gewerbe).<\/li>\n
    • Schwellenwert:<\/strong> Mindestens 50 Mitarbeiter<\/strong> ODER \u00fcber 10 Mio. Euro Jahresumsatz<\/strong>.<\/li>\n
    • Wichtig:<\/strong> Es gibt keinen offiziellen Bescheid. Unternehmen m\u00fcssen selbst pr\u00fcfen, ob sie betroffen sind, und sich eigenst\u00e4ndig beim BSI registrieren.<\/li>\n<\/ul>\n

      Man unterscheidet zudem zwischen Besonders wichtigen Einrichtungen<\/strong> (Aufsicht jederzeit anlasslos) und Wichtigen Einrichtungen<\/strong> (Aufsicht nur ex post bei Vorf\u00e4llen).<\/p>\n

      Management-Haftung: \u201eTone from the Top\u201c wird Gesetz<\/h3>\n

      Die Gesch\u00e4ftsleitung (Vorstand\/GmbH-Gesch\u00e4ftsf\u00fchrung) wird pers\u00f6nlich in die Pflicht genommen (\u00a7 38 BSIG-neu).<\/p>\n

        \n
      • Billigungs- und \u00dcberwachungspflicht:<\/strong> Die F\u00fchrungsebene muss Risikomanagementma\u00dfnahmen absegnen und kontrollieren.<\/li>\n
      • Pers\u00f6nliche Haftung:<\/strong> Bei schuldhafter Verletzung haften Gesch\u00e4ftsf\u00fchrende der Gesellschaft gegen\u00fcber mit ihrem Privatverm\u00f6gen.<\/li>\n
      • Schulungspflicht:<\/strong> Das Management muss regelm\u00e4\u00dfig an Schulungen teilnehmen; Unwissenheit sch\u00fctzt nicht.<\/li>\n<\/ul>\n

        Die Kernpflichten im Detail<\/h3>\n
          \n
        1. Risikomanagement (\u00a7 30-Katalog):<\/strong> Erfordert Konzepte zur Risikoanalyse (\u201eKronjuwelen-Identifikation\u201c), Incident-Response-Pl\u00e4ne, Business Continuity Management (BCM) und Backup-Strategien.<\/li>\n
        2. Lieferkettensicherheit:<\/strong> Ein massiver neuer Block. Unternehmen m\u00fcssen Sicherheitsaspekte in Vertr\u00e4gen mit Zulieferern verankern und deren Sicherheitsniveau bewerten.<\/li>\n
        3. Technik:<\/strong> Multi-Faktor-Authentifizierung (MFA) ist nun gesetzlicher Standard f\u00fcr alle zugangsgesch\u00fctzten Bereiche.<\/li>\n
        4. Versch\u00e4rftes Meldewesen:<\/strong> Bei erheblichen Vorf\u00e4llen gilt ein 24-Stunden-Takt<\/strong> f\u00fcr die erste Fr\u00fchwarnung an das BSI, gefolgt von einer detaillierten Meldung nach 72 Stunden und einem Abschlussbericht nach einem Monat.<\/li>\n<\/ol>\n

          Sanktionen: Wenn das BSI Ernst macht<\/h3>\n

          Der Sanktionsrahmen ist an die Wirtschaftskraft gekoppelt:<\/p>\n

            \n
          • Besonders wichtige Einrichtungen:<\/strong> Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes<\/strong>.<\/li>\n
          • Wichtige Einrichtungen:<\/strong> Bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes<\/strong>.<\/li>\n
          • Ultima Ratio:<\/strong> Das BSI kann sogar beantragen, Gesch\u00e4ftsf\u00fchrern vor\u00fcbergehend die Leitung zu untersagen, bis die Compliance wiederhergestellt ist.<\/li>\n<\/ul>\n

            Die 4-Phasen-Roadmap zur Umsetzung<\/h3>\n

            F\u00fcr Unternehmen, die noch nicht \u201eready\u201c sind, empfiehlt der Autor folgendes Vorgehen:<\/p>\n

              \n
            • Phase 1 (Woche 1\u20134):<\/strong> BSI-Registrierung, Etablierung von 24\/7-Meldewegen und dokumentierte Haftungs-Aufkl\u00e4rung der Gesch\u00e4ftsleitung.<\/li>\n
            • Phase 2 (Monat 2\u20136):<\/strong> \u201eQuick Wins\u201c wie MFA f\u00fcr alle externen Zug\u00e4nge, Validierung von Restore-Prozessen (Backups) und Schlie\u00dfen kritischer Patch-L\u00fccken binnen 72 Stunden.<\/li>\n
            • Phase 3 (Monat 7\u201312):<\/strong> Aufbau eines vollwertigen ISMS\/BCMS, physische Bestandsaufnahme f\u00fcr das KRITIS-Dachgesetz und Audits der wichtigsten Lieferanten.<\/li>\n
            • Phase 4 (Laufend):<\/strong> J\u00e4hrliche Tabletop-Krisen\u00fcbungen, Stichprobenpr\u00fcfungen durch die Interne Revision und fortlaufende Security-Awareness-Schulungen.<\/li>\n<\/ul>\n

              Fazit:<\/strong> NIS2 und das KRITIS-Dachgesetz markieren den \u00dcbergang von der \u201eK\u00fcr\u201c zur \u201ePflicht\u201c. Resilienz wird so zum neuen Qualit\u00e4tsmerkmal \u201eMade in Germany\u201c<\/strong> \u2013 wer seine Lieferf\u00e4higkeit auch in Krisenzeiten nachweisen kann, gewinnt einen klaren Wettbewerbsvorteil.<\/p>\n","protected":false},"excerpt":{"rendered":"

              Die neue Rechtslage: Ende der Freiwilligkeit Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG)…<\/p>\n","protected":false},"author":1,"featured_media":898,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,4],"tags":[],"class_list":["post-1039","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1039","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1039"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1039\/revisions"}],"predecessor-version":[{"id":1040,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1039\/revisions\/1040"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/898"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1039"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1039"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1039"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}