„Cybersicherheit ist jetzt Chefsache“

Zum Stichtag 6. März 2026 hatten sich nur etwa 30 % der betroffenen Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert – obwohl die Anmeldepflicht seit Jahresanfang gilt. Wie ist der schleppende Start zu erklären?

Kirchberger: Mutmaßlich wissen viele Verantwortliche nicht, dass ihr Unternehmen betroffen ist. Für die meisten ist die Pflicht zur Implementierung eines gesetzlich definierten Maßes an Cybersecurity vollkommen neu, einen Vorläufer gibt es nicht. Zudem lässt sich die Frage, ob die eigene Organisation unter die Regelungen fällt, in vielen Fällen nur von Spezialist*innen beantworten. Überraschend ist etwa, dass ein Unternehmen unter das BSI-Gesetz fällt, wenn es lediglich die konzerninterne IT betreibt.

Fehlt es am notwendigen Problembewusstsein in Bezug auf Informationssicherheit und Cyberresilienz?

Kirchberger: Zahlen des Digitalverbands Bitkom und des Bundeskriminalamts legen nahe, dass die Investitionen in Cybersicherheit in den vergangenen Jahren zwar gestiegen sind, mit den Anforderungen aber nicht Schritt halten. Das BSI hat schon im Jahr 2024 betont, dass die Bedrohungslage angespannt ist – geprägt von finanziell motivierten Cyberangriffen.

Welche Unternehmen sind vom BSI-Gesetz betroffen?

Kirchberger: Das Gesetz unterscheidet zwischen „wichtigen Einrichtungen“ und „besonders wichtigen Einrichtungen“. Zu den wichtigen Einrichtungen zählen Organisationen mit mindestens 50 Mitarbeiter*innen oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über zehn Millionen Euro, die in Sektoren wie Post- und Kurierdienste, Abfallbewirtschaftung, Chemie oder Lebensmittel tätig sind. Als besonders wichtige Einrichtungen gelten Betriebe mit mindestens 250 Mitarbeiter*innen oder einem Jahresumsatz von über 50 Millionen Euro und einer Jahresbilanzsumme von über 43 Millionen Euro – sofern sie in Bereichen wie Energie, Transport und Verkehr, Finanzwesen oder Gesundheitswesen aktiv sind. Hier sind auch Betreiber kritischer Infrastrukturen einbezogen.

Wie kann eine Strategie für betroffene Unternehmen aussehen, die bislang nichts unternommen haben?

Hock: Der strukturierte Weg eines Regelverfahrens beginnt mit der Bestandsaufnahme: Welche Sicherheitsmaßnahmen existieren bereits? Dann gilt es, Lücken zu identifizieren und diese nach Risiko und Kritikalität zu priorisieren. Den Orientierungsrahmen bieten beispielsweise Standards wie die ISO/IEC 27001 und der IT-Grundschutz-Katalog des BSI.

Welche Sanktionen drohen Nachzüglern?

Kirchberger: Das BSI-Gesetz sieht im Einzelfall hohe Bußgelder vor, sieben- oder achtstellige Beträge sind möglich. Wichtig: Unwissenheit entlastet grundsätzlich nicht, denn eine Ordnungswidrigkeit kann auch fahrlässig begangen werden. Gegenüber besonders wichtigen Einrichtungen hat das BSI zudem scharfe Aufsichts- und Durchsetzungsbefugnisse: Es kann beispielsweise die Einhaltung der gesetzlichen Anforderungen durch Vor-Ort-Kontrollen überprüfen, Audits oder Zertifizierungen durch unabhängige Dritte anordnen und sogar verlangen, dass Verstöße öffentlich bekannt gemacht werden.

Was ist für eine langfristige, gesetzeskonforme IT-Sicherheitsstrategie entscheidend?

Hock: Sie muss systematisch in Governance, Geschäftsprozesse und die Unternehmensstrategie integriert werden – mit klaren Verantwortlichkeiten, regelmäßigen Risikobewertungen sowie Kontrollen mit messbaren Ergebnissen. Ergänzend sollte die Strategie auf eine stetige Weiterentwicklung der Fähigkeiten zur Prävention, Erkennung und Abwehr von Angriffen ausgerichtet sein.

Was sind die konkreten Handlungsfelder?

Hock: Zu den Anforderungen der NIS-2-Richtlinie gehören zehn Handlungsfelder: Konzepte für Risikoanalyse und Sicherheit von Informationssystemen, Vorfallbehandlung, Business Continuity und Krisenmanagement einschließlich Backup und Wiederherstellung, Sicherheit der Lieferkette und von Drittparteien, Sicherheit bei Erwerb, Entwicklung und Wartung von IT‑Systemen einschließlich Schwachstellenmanagement und Offenlegung, Bewertung der Wirksamkeit von Risikomanagementmaßnahmen, grundlegende Cyberhygiene und Schulungen, Einsatz von Kryptografie und Verschlüsselung, personelle Sicherheit, Zugriffskontrolle und Asset-Management sowie Multi‑Faktor‑Authentifizierung und sichere Kommunikationslösungen.

Wo liegen die größten Herausforderungen bei der Umsetzung?

Kirchberger: Das BSI-Gesetz verpflichtet Unternehmen, Cybersicherheit auch entlang ihrer Lieferkette zu gewährleisten. Mittelbar betroffen sind daher auch Firmen, die selbst nicht Adressat der NIS-2-Gesetze sind. Bedeutsam ist zudem die unmittelbare Verantwortung der Geschäftsleitung: Eine haftungsbefreiende Delegation des Themas ist nicht möglich. Unternehmen sollten außerdem verstehen, dass es genügt, wenn auch nur ein Teil Ihres Unternehmens in einem Sektor im Sinne des BSI-Gesetzes tätig ist, damit das gesamte Unternehmen den entsprechenden Regeln unterliegt.

Hock: Viele Betriebe haben keine vollständige Übersicht über ihre IT-Assets, Abhängigkeiten und Risiken – besonders dort, wo klassische IT-Systeme auf Produktionsanlagen treffen. Das erschwert sowohl das Erkennen von Lücken im Sicherheitskonzept als auch das Priorisieren der erforderlichen Maßnahmen. Ohne risikoorientierte Abstufung fehlt der Fokus auf die tatsächlich kritischen Themen, was Verantwortliche überfordern kann. Kleineren Unternehmen mangelt es zudem häufig an qualifizierten Mitarbeiter*innen und ausreichenden Budgets. Selbst dort, wo Maßnahmen vorhanden sind, fehlt oft die strukturierte Dokumentation, die bei Prüfungen verlangt wird. Die größte Herausforderung bleibt nach unserer Erfahrung jedoch die kurze Meldefrist für erhebliche Sicherheitsvorfälle: Sie stellt hohe Anforderungen an die Fähigkeit, solche Vorfälle zu erkennen, zu klassifizieren und angemessen zu reagieren.

Wie wichtig ist eine enge Abstimmung zwischen Aufsichtsrat, Management und IT-Fachabteilung?

Kirchberger: Cybersicherheit ist Teamwork. Wir empfehlen ein interdisziplinäres Team aus IT-, Rechts- und Compliance-Expert*innen, Mitgliedern der Geschäftsleitung und Vertreter*innen der Fachbereiche. Die Einbeziehung des Managements ist zwingend – um den Beteiligten den Rücken freizuhalten und die nötigen Budgets bereitzustellen. Fest steht: Cybersicherheit ist nach der neuen Gesetzeslage Chefsache.

Zur Person

Christopher Hock ist Director bei der Prüfungs- und Beratungsgesellschaft Forvis Mazars und betreut Mandanten im Bereich Cybersecurity. Als Certified Ethical Hacker (CEH) verbindet er technische Tests der Informationssicherheit mit der Beratung von Mandanten zur Konzeption und Umsetzung regulatorisch konformer Sicherheitsmaßnahmen.

Christian Kirchberger ist seit über 30 Jahren Rechtsanwalt und hat 20 Jahre Berufserfahrung als Syndikusanwalt in Unternehmen der Branchen IT, Internet, Telekommunikation. Bei Forvis Mazars ist Christian Kirchberger seit April 2024 in der Abteilung IT/IP/Data als Senior Counsel tätig und dezidierter Ansprechpartner für die Beratung auf dem Gebiet des Cybersicherheitsrechts.