Gesetzgebung

Der Grundstein der Regulierung von Cyber Sicherheit in Deutschland ist das BSI-Gesetz, das seit 2014 mehrfach erweitert wurde. Das BSI-Gesetz reguliert die Sicherheit bei einer großen Zahl an Unternehmen uund legt Pflichten, Aufgaben und Befugnisse von Betreibern und Staat fest. Die Regulierung besteht aus mehreren Gesetzen und Verordnungen, die Sicherheit und Resilienz erhöhen sollen.

Die deutsche Gesetzgebung für Kritische Infrastrukturen wurde zuletzt im Dezember 2025 verändert, mit der deutschen EU NIS2-Umsetzung, durch weitere Änderungen am BSI-Gesetz. Noch ausstehend ist ein neues KRITIS-Dachgesetz zur Umsetzung von EU CER.

Geschichte und Zukunft vom IT-Sicherheitsgesetz

Die Entwicklung Kritischer Infrastrukturen in Deutschland seit den 2000ern bis zum IT-Sicherheitsgesetz 3.0. Ein Austausch über MINT-Nerds, Lieblingsparagraphen und Tipps für Betreiber.
Mit Wilhelm Dolle
🎧 Podcast ∙ Spotify und Apple Podcasts ∙ 44 Min ∙ 8.11.2021

Überblick

NIS2 und IT-Sicherheitsgesetze

Der Kern der Gesetzgebung zu Kritischen Infrastrukturen war lange Zeit das IT-Sicherheitsgesetz von 2015, das 2021 durch das IT-Sicherheitsgesetz 2.0 erweitert wurde. Es änderte als Artikelgesetz bestehende Gesetze zum Schutz Kritischer Infrastrukturen, vor allem das BSIG. Das BSIG von 2021 wurde im Dezember 2025 durch das NIS2-Umsetzungsgesetz aktualisiert, ebenfalls ein Artikelgesetz.

eigene Zusammenstellung IT-Sicherheitsgesetze seit 2015, Stand Dezember 2025
Gesetz	Jahr	Bedeutende Inhalte
IT-Sicherheitsgesetz	2015	Änderungsgesetz für BSIG und weitere Gesetze Umfangreiche KRITIS-Definitionen und Sektoren Pflichten für Betreiber in §8a BSIG, Nachweise, Prüfungen Anlagenmethodik und Schwellenwerte (KritisV)
IT-Sicherheitsgesetz 2.0	2021	Änderungsgesetz für BSIG und weitere Gesetze Mehr KRITIS-Betreiber, neuer Sektor Entsorgung, zusätzlich UBI Mehr Pflichten für Betreiber, u.a. Angriffserkennung in §8a (1a) BSIG Höhere Sanktionen
NIS2-Umsetzung	2025	Änderungsgesetz für BSIG und weitere Gesetze Neue Einrichtungen, mehr Sektoren, neue Gruppen Mehr Pflichten für Unternehmen, spezifisch Cybersecurity Viel höhere Sanktionen, engere Meldepflichten ans BSI
KRITIS-Dachgesetz	2026	Eigenes Gesetz KRITIS-Sektoren und Betreiber, mit Ausnahmen Neue Pflichten für Betreiber: Resilienz, physische Sicherheit Sanktionen, Meldepflichten ans BBK

Das NIS2-Umsetzunsgesetz ändert als Artikelgesetz neben dem BSIG viele weitere Gesetze.

eigene Zusammenstellung KRITIS-Gesetze, Stand 2025
Gesetz	Kurzform	KRITIS-Relevanz
BSI-Gesetz	BSIG	Rechte und Pflichten des BSI gegenüber NIS2-Einrichtungen und KRITIS-Betreibern Definitionen zu NIS2 wie Sektoren, Mindeststandards Anforderungen und Pflichten an NIS2-Einrichtungen und KRITIS-Betreiber
Energiewirtschaftsgesetz	EnWG	Meldewesen an das BSI Mindeststandards und Sicherheitsanforderungen für Unternehmen im Energiesektor
Telekommunikationsgesetz	TKG	Meldewesen an das BSI Mindeststandards und Sicherheitsanforderungen für Unternehmen im TK-Sektor
Atomgesetz	AtG	Meldewesen an das BSI
Digitale-Dienste-Gesetz	DDG	Anforderungen und Pflichten von Diensteanbietern
BKA-Gesetz	BKAG	Befugnisse in der Strafverfolgung
Weitere	BBesG BGebGEG	diverses

BSIG nach NIS2 (2025)

Übersicht

Das wichtigste Gesetz in der Regulierung von Cybersicherheit bleibt das BSI-Gesetz, das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, BSIG. Die Änderungen durch NIS2 sind seit Dezember 2025 in Kraft. Das geänderte BSIG legt die zentralen Pflichten und Aufgaben der Akteure in der Regulierung von Cybersicherheit § fest.

eigene Zusammenstellung NIS2-relevanter BSIG-Paragraphen, BSIG Dezember 2025
Paragraph	Inhalt
§2	Begriffsbestimmungen
§28	NIS2-Einrichtungen (1) - Definition Besonders wichtige Einrichtung (2) - Definition Wichtige Einrichtung (5-7) - Ausnahmen
§29	Einrichtungen der Bundesverwaltung
§30	Risikomanagementmaßnahmen (1) - Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (2) - Cybersicherheitsmaßnahmen (3-5) - Vorrangige Durchführungsrechtsakte der EU-Kommission (8-9) - Branchenspezifische Sicherheitsstandards
§31	Risikomanagementmaßnahmen bei Betreibern kritischer Anlagen
§32	Meldepflichten (1) - Inhalte und Fristen (2) - Fortschrittsmeldung (3) - Zusätzliche Angaben bei Betreibern kritischer Anlagen (4) - Festlegungskompetenz für Meldeverfahren und konkrete Inhalte
§33	Registrierungspflichten (1) - Inhalte und Fristen (2) - Zusätzliche Angaben bei Betreibern kritischer Anlagen (3) - Registrierungsmöglichkeit durch das BSI (4) - Auskunftsverlangen des BSI bei Pflichtverletzung (5) - Änderungen (6) - Festlegungskompetenz für Registrierungsverfahren
§34	Besondere Registrierungspflicht für bestimmte Einrichtungsarten
§35	Unterrichtungspflichten bei Sicherheitsvorfällen
§38	Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen
§39	Nachweispflichten für Betreiber kritischer Anlagen (1) - Inhalte und Fristen (2) - Festlegungskompetenz für Prüfverfahren und Nachweiserbringung
§41	Einsatz kritischer Komponenten
§61	Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen
§62	Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen
§65	Bußgeldvorschriften
Anlage 1	Sektoren besonders wichtiger und wichtiger Einrichtungen
Anlage 2	Sektoren wichtiger Einrichtungen

KRITIS-Verordnung

BSI-KritisV

Die Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz, kurz KRITIS-Verordnung oder BSI-KritisV, konkretisiert die Umsetzung des BSI-Gesetzes bei KRITIS-Betreibern und wurde mit der NIS2-Umsetzung 2025 überarbeitet.

Kritische Sektoren

Die KRITIS-Sektoren sind in §2 Nr. 24 BSIG definiert und werden durch die KritisV einzeln in §2 (Energie) bis §10 (Siedlungsabfallentsorgung) beschrieben.

Kritische Dienstleistungen

Diese sind in §2 Nr. 24 BSIG definiert als Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren [...], deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde. Die kritischen Dienstleistungen (kDL) sind pro Sektor in §§2-10 jeweils in Absatz (1) aufgezählt.

Kritische Anlagen

Anlagen sind die konkrete Ausgestaltung von Kritischen Infrastrukturen bei Unternehmen, die dann als Betreiber kritischer Anlagen gelten.

Anlagen sind in §1 definiert als

a) Betriebsstätten und sonstige ortsfeste Einrichtungen,
b) Maschinen, Geräte und sonstige ortsveränderliche Einrichtungen oder
c) Software und IT-Dienste,
die für die Erbringung einer kritischen Dienstleistung notwendig sind.

Die einzelnen Sektoren in §§2-10 haben in der KritisV jeweils einen Anhang 1-9, in denen in Teil 1 die einzelnen Anlagen pro Sektor definiert und beschrieben werden. (Die Reihenfolge entspricht nicht ganz der Reihenfolge, in der die Sektoren zuvor behandelt werden.)

Versorgungssicherheit

Für die Versorgungssicherheit der Bevölkerung nimmt die KRITIS-Verordnung prinzipiell eine Kenngröße von 500.000 versorgten Personen pro KRITIS-Anlage an.

Diese Kenngröße wird in der Verordnung für die KRITIS-Anlagen auf Anlagen-spezifische Leistungen für 500.000 versorgte Personen umgerechnet, um den kritischen Schwellenwert zu ermitteln, ab dem die Anlage kritisch ist.

Schwellenwerte

Die Schwellenwerte in der KRITIS-Verordnung definieren pro Anlage den Punkt, ab dem Anlagen bei Betreibern zur Kritischen Infrastruktur und KRITIS-Anlagen werden. Im Effekt sind die Schwellenwerte die für 500.000 Personen umgerechnete Leistung pro Anlage, basierend auf einem Durchschnittsverbauch pro Person.

Die Schwellenwerte werden in §1 definiert als

ein Wert, bei dessen Erreichen oder dessen Überschreitung der Versorgungsgrad einer Anlage oder Teilen davon als bedeutend im Sinne von § 10 Absatz 1 Satz 1 des BSI-Gesetzes anzusehen ist.

Die einzelnen Schwellenwerte der Anlagen werden pro Sektor in Anhang 1-9 jeweils in Teil 2 hergeleitet. In Teil 3 werden alle Schwellenwerte und Anlagen im Sektor aufgelistet.

Fristen

Die Fristen zum Überschreiten von Schwellenwerten als Kritische Infrastruktur sind ebenfalls pro Sektor in Anhang 1-9 jeweils in Teil 1 definiert.

Weitere Gesetze

Mehr Gesetzesänderungen

Mit der NIS2-Umsetzung ändern sich weitere Gesetze für bereits regulierte und neue Unternehmen:

Energiewirtschaftsgesetz (EnWG): Am EnWG wurden schon durch das IT-Sicherheitsgesetz 1.0 und 2.0 verschiedene Regelungen für Betreiber von Energieanlagen und Energieversorungsnetzen angepasst und Neuregelungen eingefügt, speziell in §11 EnWG. Durch die NIS2-Umsetzung ändert sich das EnWG erneut, der bisherige §11 entfällt und wird durch die neuen §§5c-5e ersetzt.

Atomgesetz (ATG): Für Betreiber kerntechnischer Anlagen wurden mit §44b ATG Regelungen zur Meldepflicht für Sicherheit in der IT an das BSI aufgenommen. Durch die NIS2-Umsetzung ändert sich das ATG erneut.

Telekommunikationsgesetz (TKG): Das Telekommunikationsgesetz wurde im November 2021 umfangreich überarbeitet und regelt die Pflichten der Betreiber von Telekommunikationsinfrastruktur und -diensten. Dazu gehört unter anderem IT-Sicherheit in §165, §166 und §167 und §168 TKG. Durch die NIS2-Umsetzung ändert sich das TKG erneut. Die §30 BSIG Maßnahmen wurden in §165 (2a) TKG aufgenommen und hier als Sektorgesetzgebung fast identisch ausgeführt.

Digitale-Dienste-Gesetz (DDG): Anpassungen für Diensteanbieter zu Sicherheitsmaßnahmen §13. Durch die NIS2-Umsetzung hat sich das DDG erneut geändert.

Sonstiges: Es gab weiterhin Änderungen am Bundesbesoldungsgesetz zur Einordung des BSI-Präsidenten, am BKA-Gesetz für weitere Befugnisse in der Strafverfolgung und am Gesetz zur Strukturreform des Gebührenrechts des Bundes für BSI-Gebühren.

Weitere Informationen

Quellen

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2)
Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Bundesgesetzblatt Jahrgang 2025 Teil I Nr. 301, ausgegeben zu Bonn am 5. Dezember 2025
Digitale-Dienste-Gesetz (DDG) vom 6. Mai 2024 (BGBl. 2024 I Nr. 149)

Gesetz­gebung