Öffentliches Recht

Cybersicherheit im Fokus: Neuer Referentenentwurf verschärft Anforderungen an Resilienz-Compliance

Der Regulierungsrahmen für Cybersicherheit in Deutschland soll erneut deutlich verschärft werden. Das Bundesministerium des Innern hat am 27.02.2026 einen Referentenentwurf für ein „Gesetz zur Stärkung der Cybersicherheit“ vorgelegt. Der Entwurf sieht insbesondere Änderungen im BPolG, im BKAG sowie im BSIG vor und zielt auf eine stärkere staatliche Cyberabwehr ab. Dafür sollen auch Wirtschaftsakteure künftig noch intensiver in staatliche Abwehrmaßnahmen eingebunden werden. Für Unternehmen – insbesondere Anbieter digitaler Dienste, Telekommunikationsunternehmen und Betreiber informationstechnischer Systeme – bedeutet dies eine weitere Verdichtung der regulatorischen Anforderungen im Bereich der „Resilienz-Compliance“. Die bereits umfangreichen Pflichten aus dem BSIG werden ausgeweitet und durch zusätzliche Mitwirkungs- und Auskunftspflichten im BPolG und BKAG ergänzt. Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro bzw. 2 Prozent des Gesamtumsatzes. Die Ausweitung der Compliance-Anforderungen im Bereich der Cybersicherheit sowie die drohende Sanktionierung von Verstößen erfordern strukturelle Anpassungen in Unternehmen.

Hintergrund und Zielsetzung

Angesichts der steigenden Anzahl und Qualität von Cyberangriffen in Deutschland hat das Bundesministerium des Innern am 27.02.2026 einen neuen Referentenentwurf für ein „Gesetz zur Stärkung der Cybersicherheit“ vorgestellt. Ziel des Gesetzesvorhabens ist es, eine verlässliche und sichere Nutzung der Informationstechnologie und der zugrundeliegenden Kommunikationsinfrastruktur zu gewährleisten. Dazu sollen die Befugnisse des Bundesamts für Sicherheit in der Informationstechnologie (BSI), des Bundeskriminalamts (BKA) und der Bundespolizeien zur Erkennung und Abwehr von Cyberangriffen ausgebaut werden. Der Referentenentwurf enthält daher Änderungen des Bundespolizeigesetzes (BPolG), des Gesetzes über das Bundeskriminalamt (BKAG) und des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG).

Über die Erweiterung staatlicher Eingriffsbefugnisse hinaus sieht der Referentenentwurf eine deutlich stärkere Einbindung privater Wirtschaftsakteure in die staatliche Cyberabwehr vor. Für die Betreiber informationstechnischer Systeme, die Anbieter digitaler Dienste sowie die Anbieter von Telekommunikationsdiensten sind insbesondere bußgeldbewehrte Mitwirkungs- und Auskunftspflichten bei Cyberabwehrmaßnahmen der Behörden vorgesehen. Für betroffene Unternehmen bedeutet dies eine weitere Verschärfung der Compliance-Anforderungen im Bereich der Cybersicherheit. Das Gesetzesvorhaben verschärft die Verantwortung entlang der gesamten digitalen Wertschöpfungskette. Der Referentenentwurf ist ein weiterer Rechtsakt, der Unternehmen in die staatliche Cyberabwehr und Resilienz einbindet und fügt sich damit in einen sich verdichtenden Regulierungsrahmen der „Resilienz-Compliance“ ein (siehe dazu unser Beitrag).

Die folgenden Ausführungen geben einen Überblick über die im Referentenentwurf vorgesehenen behördlichen Befugnisse, die daraus resultierenden Pflichten für betroffene Unternehmen sowie die vorgesehenen Sanktionsmechanismen.

Änderungen des BPolG und des BKAG

Durch die Änderungen im BKAG und im BPolG werden klare und weitreichende Befugnisse für das BKA und die Bundespolizei im Bereich der Cyberabwehr geschaffen. Zudem soll der Aufgabenbereich des BKA erweitert werden, sodass auch die Cyberabwehr bei der internationalen Zusammenarbeit oder bei außen- und sicherheitspolitischer Bedeutung erfasst ist.

  • Neue Cyberabwehrmaßnahmen: Der Referentenentwurf schafft für das BKA und die Bundespolizei neue rechtliche Befugnisse für die Abwehr von Cyberangriffen. Dazu gehören insbesondere:

    • die Untersagung des Betriebs eines informationstechnischen Systems (§ 41a Abs. 2 Nr. 1 BPolG-E, § 62c BKAG-E),
    • die Umleitung, Einschränkung oder Unterbindung von Datenverkehr (§ 41a Abs. 2 Nr. 2 BPolG-E, § 62d BKAG-E) und
    • die Erhebung, Löschung oder Veränderung von Daten (§ 41a Abs. 2 Nr. 3 BPolG-E, § 62e BKAG-E).

    Die Maßnahmen können, unter bestimmten Voraussetzungen, auch ohne Wissen der betroffenen Person durchgeführt werden.

  • Mitwirkungs- und Auskunftspflichten für IT-Betreiber, TK-Anbieter und Anbieter digitaler Dienste: Damit die Bundesbehörden effektiv von diesen neuen Befugnissen Gebrauch machen können, enthält der Referentenentwurf Mitwirkungs- und Auskunftspflichten für verschiedene Wirtschaftsakteure. Diese werden dadurch in die staatliche Cyberabwehr miteinbezogen:
    • Mitwirkungs- und Auskunftspflicht: Auf Anordnung der Bundespolizei bzw. des BKA müssen Anbieter von Telekommunikationsdiensten nach § 170 Abs. 1, 2 TKG und Anbieter digitaler Dienste nach § 1 Abs. 4 Nr. 5 DDG an den Cyberabwehrmaßnahmen der Behörden unverzüglich mitwirken und erforderliche Auskünfte erteilen (§ 41a Abs. 9 BPolG-E, § 62d Abs. 2 BKAG-E).
    • Offenbarungsverbot: Die Bundespolizei bzw. das BKA kann außerdem anordnen, dass der Betreiber des informationstechnischen Systems oder der zur Einschränkung, Umleitung oder Unterbindung von Datenverkehr Verpflichtete gegenüber den von der Maßnahme Betroffenen die Maßnahme nicht offenbaren darf (§ 41a Abs. 10 BPolG-E bzw. § 62g BKAG-E). Die Anordnung eines Offenbarungsverbots ist möglich, wenn die Offenbarung der Maßnahme den Zwecken der Gefahrenabwehr entgegensteht.
  • Bußgeldrisiken: Für den Fall der Nichterfüllung dieser Pflichten sieht der Referentenentwurf empfindliche Bußgelder vor:
    • Bei Verstoß gegen ein durch die Bundespolizei oder das BKA angeordnetes Offenbarungsverbot drohen Bußgelder bis zu 20 Millionen Euro (§ 104 Abs. 1 Nr. 3, Abs. 2 BPolG-E, § 87a Abs. 1 Nr. 2, Abs. 2 BKAG-E).
    • Bei Verstoß gegen die Untersagung des Betriebs eines informationstechnischen Systems drohen Bußgelder bis zu 10 Millionen Euro (§ 104 Abs. 1 Nr. 1, Abs. 2 BPolG-E, § 87a Abs. 1 Nr. 1, Abs. 2 BKAG-E).
    • Bei der nicht, nicht vollständigen oder nicht rechtzeitigen Erfüllung von Mitwirkungs- und Auskunftspflichten drohen ebenfalls Bußgelder bis zu 10 Millionen Euro (§ 104 Abs. 1 Nr. 2, Abs. 2 BPolG-E, § 87a Abs. 1 Nr. 1, Abs. 2 BKAG-E).

Änderungen des BSIG

Die Änderungen am BSIG verfolgen insbesondere das Ziel, die Möglichkeiten und Befugnisse des BSI zur Datenerhebung und -analyse deutlich zu erweitern. Das BSI soll durch eine Ausweitung der bestehenden Anordnungsbefugnisse auf weitere Diensteanbieter und durch neue Befugnisse zu Auskunftsersuchen bzgl. technischer Informationen befähigt werden, sich resilient im Cyberraum aufzustellen. Ergänzend dazu sieht der Referentenentwurf vor, den Schutz von Endnutzern vor maliziösen Domains zu verbessern. Bislang waren nur Telekommunikationsanbieter verpflichtet, Informationen des BSI über konkrete Gefahren, die ihre Kunden betragen, weiterzugeben. Nunmehr soll diese Pflicht auch für Anbieter digitaler Dienste gelten.. Von den neu geschaffenen Auskunfts- und Mitwirkungspflichten sind die Betreiber kritischer Anlagen, DNS-Dienste-Anbieter und auch Top-Level-Domain Registries und Registare betroffen. Dazu im Einzelnen:

  • Auskunftspflicht bzgl. sicherheitsrelevanter technischer Informationen: Mit dem BSIG-E wird eine neue Auskunftspflicht für Anbieter von öffentlich zugänglichen Telekommunikationsdiensten und für geschäftsmäßige Anbieter von digitalen Diensten geschaffen. Diese haben ihnen bekannte sicherheitsrelevante technische Informationen, die Rückschlüsse auf Schadaktivitäten, Schwachstellen, Verwundbarkeiten oder aktuelle Bedrohungen erlauben, auf Anforderung dem BSI bereitzustellen, sofern und soweit sie dazu technisch in der Lage sind und es wirtschaftlich zumutbar ist (§ 15 Abs. 6 BSIG-E). Zu den sicherheitsrelevanten technischen Informationen zählen Verkehrs- und Steuerungsdaten sowie technische Informationen, die Anbieter zur Verkehrsanalyse für die eigene Qualitätssicherung und im Rahmen von technischen Vorkehrungen nach § 12 Abs. 1 und § 19 Abs. 4 TDDDSG sowie § 165 Abs. 2 TKG auswerten.
  • Pflicht zur Bereitstellung von DNS-basiertem Schutz für Kunden: DNS-Diensteanbieter, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen, sollen durch den BSIG-E verpflichtet werden, ihren Kunden einen DNS-basierten Schutz vor Angriffen in Verbindung mit Domains, von denen Sicherheitsrisiken für die Informationstechnik ausgehen, anzubieten (§ 16 Abs. 6 BSIG-E). Die Grundlage dafür sollen vom BSI veröffentlichte Informationen über maliziöse Domains bilden.
  • Pflicht zur Domainänderung: Zur Abwehr erheblicher Gefahren für die in § 16 Abs. 3 BSIG genannten Schutzgüter (bspw. Verfügbarkeit, Integrität und Vertraulichkeit von Informations- und Kommunikationsdiensten) wird das BSI befähigt, gegenüber Anbietern von Top Level Domain Name Registries und Domain-Name-Registry-Dienstleistern anzuordnen, dass diese die Nameservereinträge einer Domain ändern oder neue Einträge hinzufügen. Diese Pflicht besteht nur, soweit der Dienstleister dazu technisch in der Lage und es ihm wirtschaftlich zumutbar ist (§ 16a Abs. 1 BSIG-E).
  • Pflicht zur Anbindung der Systeme zur Angriffserkennung an das BSI: Nach dem BSIG-E sind Betreiber kritischer Anlagen künftig nicht nur, wie bereits nach aktueller Gesetzeslage, verpflichtet Systeme zur Angriffserkennung einzusetzen. Darüber hinaus sollen sie verpflichtet werden, diese Systeme an das BSI anzubinden und kontinuierlich und automatisiert Parameter und Verfügbarkeitsindikatoren zu übermitteln. Die Einzelheiten der Anforderungen an die Anbindung und die Regeln zur Ausleitung werden durch das BSI festgelegt, um den Betreibern eine ordnungsgemäße Anbindung zu ermöglichen (§ 31 Abs. 2 BSIG-E). Das BSI wird die bereitgestellten Informationen zur unmittelbaren Detektion von Angriffen und Sicherheitsrisiken nutzen und soll durch die Anpassung imstande sein, auf Verfügbarkeitsunterbrechungen ohne Zeitverzug zu reagieren.
  • Bußgeldrisiken: Der BSIG-E sieht außerdem einen neuen Bußgeldtatbestand vor. Das Unterlassen des Einsatzes von Systemen zur Angriffserkennung oder ihrer Anbindung an das BSI durch die Betreiber kritischer Anlagen soll zukünftig bußgeldbewehrt sein (§ 65 Abs. 2 Nr. 3a BSIG-E). Die Höhe der Geldbuße richtet sich mangels spezifischer Vorschriften im BSIG-E nach § 65 Abs. 5 Satz 1 Nr. 1, Abs. 6, 7 BSIG in der jetzigen Fassung. Demnach ist eine Geldbuße von bis zu sieben bzw. zehn Millionen Euro möglich. Unter besonderen Umständen kommt sogar eine Geldbuße von bis zu 1,4 bzw. 2 Prozent des Gesamtumsatzes in Betracht.

Fazit

Der Referentenentwurf wird in einem nächsten Schritt im Bundeskabinett beraten werden. Dabei kann es noch zu Änderungen kommen, bevor der Entwurf dann als Regierungsentwurf in den Bundestag eingebracht wird. Das Gesetz soll vorbehaltlich einzelner Anbieterpflichten am Tag nach der Verkündung in Kraft treten.

Betroffene Unternehmen sollten das weitere Gesetzgebungsverfahren beobachten, denn insbesondere für die Anbieter von Telekommunikationsdiensten, Digitale-Dienste-Anbieter sowie Betreiber informationstechnischer Systeme bringt das Gesetz neue Compliance-Anforderungen mit erheblichem Sanktionspotenzial. Die Schaffung neuer Bußgeldtatbestände für Verstöße gegen das Offenbarungsverbot, Betriebsuntersagungen sowie Mitwirkungs- und Auskunftspflichten bzw. bei Unterlassen des Einsatzes von Systemen zur Angriffserkennung unterstreicht die Ernsthaftigkeit, mit der der Gesetzgeber die Mitwirkung der Wirtschaft bei der Cyberabwehr einfordert und setzt Unternehmen einem Bußgeldrisiko von bis zu 20 Millionen Euro bzw. 2 Prozent des Gesamtumsatzes aus.

Unternehmen sollten daher zeitnah prüfen, ob sie in den Anwendungsbereich der neuen Regelungen fallen, und entsprechende Prozesse für die Erfüllung von Mitwirkungs- und Auskunftspflichten etablieren. Insbesondere die Pflicht zur Kundenbenachrichtigung bei bekannten Sicherheitsgefahren sowie die Anbindung der Systeme zur Angriffserkennung an das BSI erfordern vorausschauende Planung.

Weiterleiten
Kompetenz
Öffentliches Recht Defense & Security Energie & Infrastruktur Digital Economy Automotive & Mobility Compliance & Investigations Gesellschaftsrecht Healthcare und Life Sciences
Experten
Dr. Marc Ruttloff Dr. Dipl.-Kfm. Christoph Patrick Goller Dr. Friederike Niemann Dr. Pauline Grotz
Keep in Touch

Keep in Touch
Gleiss Lutz informiert

Gerne nehmen wir Sie auf unseren Verteiler auf und informieren Sie über aktuelle Rechtsentwicklungen und Veranstaltungen.

Jetzt anmelden