Wichtiger Paradigmenwechsel im neuen KRITIS-Recht der Cybersicherheit

Kritische Infrastrukturen (KRITIS) stehen in Deutschland seit mehreren Jahren im Fadenkreuz unterschiedlicher Akteure, seien es ausländische Geheimdienste, Cyberkriminelle oder extremistische Gruppierungen. Der Anschlag auf das Berliner Stromnetz im Südwesten der Stadt vom 03.01.2026 hat eindrucksvoll aufgezeigt, wie verletzlich die Gesellschaft in Bezug auf KRITIS ist, gleich ob deren physische Komponenten zerstört oder diese mittels eines Cyberangriffs lahmgelegt werden.

Mit der Umsetzung der NIS-2-RL im Rahmen des novellierten BSIG kommt ein Paradigmenwechsel auf eine Vielzahl von Unternehmen und Anlagenbetreibern zu. Erstmalig werden Einrichtungen quer durch die ganze Gesellschaft in die Pflicht genommen.

Die von der BSI-Novelle erfassten Einrichtungen sehen sich mit einem umfangreichen Katalog an umzusetzenden Cybersicherheitsmaßnahmen mit Registrierungs- und Meldepflichten konfrontiert, die durch ein deutlich verschärftes Haftungs-, Sanktions- und Aufsichtsregime ergänzt werden. Die dadurch bedingte Inanspruchnahme großer Teile der Gesellschaft in Hinblick auf die Cybersicherheit erfordert von der Führungsebene in den betroffenen Unternehmen einen Mentalitätswechsel; diese muss das Thema fortan zur „Chefsache“ machen. Der in der Ausgabe 2/2026 des juris PraxisReports IT-Recht erschienene Beitrag von Dr. Peter Kersandt und Peter Frittmann gibt einen prägnanten Überblick über die erfassten Einrichtungen und ihre Identifizierung, die zentralen Anforderungen des BSIG an die Cybersicherheit sowie die möglichen Folgen eines Verstoßes gegen die neuen Vorgaben. Abgerundet wird der Beitrag mit einem Fazit, in dem auf das Erfordernis der stärkeren Verzahnung dieses neuen Cybersicherheitsrechts mit dem ebenfalls anstehenden KRITIS-DachG sowie dem Geheimnisschutz im Immissionsschutzrecht hingewiesen wird.

Über folgenden Link gelangen Sie zur digitalen Version des Artikels (Login via juris erforderlich).