Öffentliches Recht

Resilienz-Compliance als gesetzliche Organpflicht: Sabotageschutz und Business Continuity als verpflichtende Sicherheitsarchitektur für Unternehmen

Zunehmend werden Unternehmen auch außerhalb der traditionellen Sicherheits- und Verteidigungsindustrie als zivile Akteure der Gesamtverteidigung und Garanten gesamtgesellschaftlicher Resilienz in die Pflicht genommen. Kurz gesagt: Ohne eine integrierte Resilienz‑Compliance drohen Geschäftsleitungen künftig empfindliche Haftungs- und Bußgeldrisiken, die bis zu 2 Prozent des Gesamtumsatzes betreffen können.

Die Etablierung weitreichender gesetzlicher Compliance-Anforderungen für Unternehmen und Geschäftsleitungen sowie die drohende Sanktionierung von Verstößen erfordern strukturelle Anpassungen in Unternehmen. Betroffen sind nicht nur Unternehmen in den Bereichen Energie, Verkehr, IT/Telekommunikation, Finanzwesen und Gesundheit, sondern auch in der Industrieproduktion oder anderen versorgungsrelevanten Bereichen. Die konsequente Umsetzung robuster Compliance-Strukturen reduziert Organhaftungsrisiken und stärkt zugleich die Wettbewerbsfähigkeit des Unternehmens, indem regulatorische Resilienzanforderungen (insb. NIS2-Umsetzungsgesetz, KRITIS-DachG-E, SÜG n.F.) mit operativer Resilienz (u.a. Business Continuity Management, Notfall‑ und Krisenmanagement) verzahnt werden. Das schützt vor folgenschweren Fehleinschätzungen und sichert Handlungsfähigkeit auch unter hybriden Bedrohungen.

Resilienz-Compliance als rechtliche Querschnittsmaterie

Seit Beginn des Ukrainekriegs ist die Bedrohung durch Sabotageangriffe auf kritische Infrastrukturen (KRITIS) wie die Energieversorgung und Verkehrsinfrastruktur (u.a. Deutsche Bahn) spürbar gestiegen. Nicht zuletzt der Anschlag auf das Stromnetz in Berlin zeigt die Verwundbarkeit zentraler Versorgungsstrukturen mit schweren Folgen für Unternehmen und Zivilbevölkerung. Neben den klassischen Sabotagehandlungen umfasst die hybride Bedrohungslage in Deutschland zunehmend auch Störungen und Spähangriffe auf Flughäfen und weitere kritische Infrastrukturen durch Drohnen. Allein zwischen Januar und März 2025 sind über 500 Drohnenflüge über Militäranlagen und kritischer Infrastruktur in Deutschland durch das Bundeskriminalamt registriert worden. Diese Vorfälle verdeutlichen die Dringlichkeit, die Widerstandsfähigkeit ziviler Infrastrukturen zu stärken und werfen zugleich die Frage auf, welche Maßnahmen private Betreiber zum Schutz solcher Infrastrukturen nach den zuletzt verschärften gesetzlichen Vorgaben ergreifen müssen und dürfen.

Vor diesem Hintergrund richtet die Bundesregierung drei zentrale Gesetzesinitiativen auf den Infrastrukturschutz in allen sicherheitsrelevanten Bereichen aus. Die neuen gesetzlichen Resilienzanforderungen erfassen eine Vielzahl von Unternehmen, teilweise erstmals. Maßgeblich ist dabei nicht ein einzelnes Regelwerk, sondern das Zusammenspiel mehrerer Gesetze, die unterschiedliche Sicherheitsdimensionen im Unternehmen adressieren:

  • KRITIS-Dachgesetz (KRITIS-DachG-E, Regierungsentwurf vom 03.11.2025, BT-Drs. 21/2510; 1. Lesung des Bundestags am 06.11.2025, Beschluss des Bundesrats am 21.11.2025, Drucksache 558/25 (Beschluss)):
    • Schutz der physischen Anlagen und Infrastrukturen (z.B. Kraftwerke, Netze, Verkehrsanlagen)
    • Zentral: Neue Compliance-Anforderungen. Zudem werden nicht nur die Unternehmen, sondern auch die Geschäftsleitungen zu physischen und organisatorischen Resilienzmaßnahmen verpflichtet.
  • NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG, BGBl. I 2025 Nr. 301 vom 05.12.2025, seit 06.12.2025 in Kraft): 
    • IT- und Cybersicherheit sämtlicher digitaler Systeme und Prozesse in Unternehmen
    • Zentral: Enorme Ausweitung des Anwendungsbereichs des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) – das Gesetz wird zukünftig Compliance-Pflichten für ca. 29.500 statt bislang 4.500 Unternehmen mit sich bringen (gewissermaßen „KRITIS-light“).
  • Modernisierung des Sicherheitsüberprüfungsgesetzes (SÜG n.F., BGBl. I 2026 Nr. 6 vom 15.01.2026, seit 16.01.2026 in Kraft):
    • Personeller Sabotageschutz bei sicherheitsempfindlichen Tätigkeiten
    • Zentral: Ausweitung der Sicherheitsüberprüfung und Einführung einer Meldepflicht.

Resilienz-Compliance: Was jetzt auf betroffene Unternehmen zukommt

Mit dem neuen Gesetzespaket stellt der Gesetzgeber die Resilienzanforderungen an Unternehmen erstmalig ganzheitlich auf und schafft damit eine neue Qualität von Compliance-Pflichten, die eine lückenlose Sicherheitsarchitektur im Bereich der kritischen Infrastruktur garantieren soll. Die betroffenen Unternehmen müssen zukünftig neue digitale, physische und personelle Sicherheitsanforderungen in ihre bestehenden Systeme integrieren. Diese neuen Pflichten sind nicht nur komplexer, sie sind auch haftungsträchtig: Unternehmen, die die vorgesehenen Resilienzmaßnahmen nicht oder nur unzureichend umsetzen, müssen mit erheblichen Sanktionen rechnen. Darüber hinaus kommt eine persönliche Haftung der Geschäftsleitung in Betracht, die potenziell bereits bei Verstößen gegen formelle Resilienzpflichten (wie z.B. Melde- oder Registrierungspflichten) greifen kann. Dabei drohen – abhängig vom einschlägigen Regelungsregime – Bußgelder von bis zu EUR 10 Mio. oder sogar in umsatzabhängiger Höhe.

Die folgenden Ausführungen geben einen Überblick darüber, welche neuen Resilienzpflichten künftig bestehen, welche Unternehmen hiervon erfasst werden und welche zentralen Risikofelder für die Praxis von besonderer Bedeutung sind.

Wesentliche Resilienzanforderungen im Überblick

Die gesetzlichen Neuregelungen sehen für betroffene Unternehmen – teilweise erstmals – verbindliche Resilienzanforderungen vor. Ziel ist es, kritische Infrastrukturen besser gegen die wachsende Zahl hybrider Bedrohungen wie Cyberangriffe, Sabotage oder Spionage zu schützen. Die praktische Relevanz dieser Vorgaben ist erheblich: Nach aktuellen Erhebungen schätzen sich lediglich rund 17 Prozent der Unternehmen als sehr gut gegen Cyberangriffe gewappnet ein. Aus diesem Grund lohnt sich die Betrachtung der zukünftigen Pflichten, die sich vor allem in drei Bereiche – physische Resilienz, Cybersicherheit und personeller Sabotageschutz – einteilen lassen.

I. Physische Resilienz und Sabotageschutz

Die umfangreichsten Anforderungen an die physische Resilienz treffen Betreiber kritischer Anlagen. Sie werden künftig verpflichtet, ihre Anlagen systematisch gegen physische Störungen, Sabotageakte und sonstige sicherheitsrelevante Ereignisse abzusichern. Zu den relevanten Pflichten gehören sowohl materielle als auch formelle Pflichten, insbesondere:

1. Risikoanalyse, Risikobewertung und Risikomanagement

Kernstück der neuen Anforderungen ist ein verpflichtendes, regelmäßiges und umfassendes Risikomanagement:

  • Betreiber müssen mindestens alle vier Jahre – oder bei Bedarf häufiger – eine umfassende Risikoanalyse und -bewertung durchführen, die naturbedingte, technische sowie menschlich verursachte Risiken einschließlich hybrider Bedrohungen und Terrorismus erfassen (§ 12 Abs. 1 KRITIS-DachG-E).
  • Auf dieser Grundlage sind geeignete technische, sicherheitsbezogene und organisatorische Maßnahmen zu treffen, um Vorfälle zu verhindern und den physischen Schutz der Anlagen zu gewährleisten.
  • Diese Maßnahmen sind strukturiert in einem Resilienzplan zu dokumentieren, der die zugrunde liegenden Erwägungen transparent darlegt. Ergänzend kommen die Cybersicherheitsmaßnahmen des NIS2UmsuCG zur Anwendung, insbesondere die Pflicht zum Einsatz von Systemen zur Angriffserkennung.

2. Nachweis- und Meldepflichten

Flankiert werden die bisherigen Anforderungen durch umfassende Nachweis- und Meldepflichten.

  • Betreiber kritischer Anlagen müssen jederzeit belegen können, dass sie ihre Resilienzpflichten einhalten, und den Behörden auf Verlangen ihren Resilienzplan vorlegen (§ 16 Abs. 2 KRITIS-DachG-E). Die Einhaltung wird regelmäßig durch Audits überprüft, deren Ergebnisse – einschließlich festgestellter Mängel – an die zuständige Behörde zu übermitteln sind.
  • Sicherheitsvorfälle sind unverzüglich, spätestens jedoch 24 Stunden nach Kenntnis, an die gemeinsame Meldestelle des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu melden (§ 18 Abs. 1 KRITIS-DachG-E). Innerhalb eines Monats ist zudem ein ausführlicher Bericht zum Vorfall einzureichen.
  • Es dürfte davon auszugehen sein, dass ungenehmigte Drohnenflüge über kritische Infrastrukturanlagen als Sicherheitsvorfälle einzustufen und durch die Betreiber an die gemeinsame Meldestelle von BBK und BSI zu melden sind.

3. Registrierungspflichten

Betreiber kritischer Anlagen sind verpflichtet, sich auf der gemeinsamen Plattform des BBK und des BSI zu registrieren (§ 8 Abs. 1 KRITIS-DachG-E).

Neben grundlegenden Unternehmensdaten (wie Angaben zum Namen der Einrichtung, Rechtsform, Anschrift) sind auch weitergehende anlagespezifische Informationen zu übermitteln, insbesondere zur Art der kritischen Dienstleistung, zur Anlagenkategorie, zu den ermittelten Versorgungskennzahlen sowie zum Anlagenstandort.

4. Exkurs: Abwehr von unautorisierten Drohnenflüge als Teil der Resilienz-Compliance-Pflichten

Zu den Risiken für die physische Resilienz von kritischen Anlagen (§ 11 KRITIS-DachG-E) können auch unautorisierte Drohnenüberflüge, etwa zu Zwecken der Ausspähung oder zur gezielten Störung des Anlagebetriebs, zählen.

Zwar enthält der Entwurf des KRITIS-DachG bislang noch keine ausdrückliche Regelung zur zivilen Drohnenabwehr durch Anlagenbetreiber. Allerdings erscheint es denkbar, dass die Betreiber von kritischen Anlagen künftig Maßnahmen zur Drohnenabwehr nach § 13 Abs. 1 KRITIS-DachG-E ergreifen müssen.

In einem solchen Fall könnten die Betreiber verpflichtet sein, Maßnahmen des baulichen und technischen Schutzes oder Detektionsgeräte einzurichten, um neben der staatlichen Abwehr auch im Rahmen der kritischen Infrastruktur die Resilienz an dieser Stelle zu stärken. Eine Klärung dieser Frage ist im laufenden Gesetzgebungsverfahren zu erwarten: Der Bundesrat hat den Bundestag jüngst darum gebeten, auch zu prüfen, ob in § 13 Abs. 1 KRITIS-DachG-E eine ausdrückliche Regelung zum Detektieren, Melden und Abwehren von Drohnen durch Betreiber kritischer Anlagen aufgenommen werden könnte (BR-Drs. 558/25 (B) v. 21.11.2025, S. 25 f.). Bedenken an der Rechtmäßigkeit einer Heranziehung von privatwirtschaftlichen Akteuren zur Drohnenabwehr bestehen insbesondere aufgrund der Begrenzung des Hausrechts des Anlagenbetreibers an der Grundstückgrenze (§§ 903, 905 BGB).

II. Cybersicherheit und digitale Resilienz

Die zweite zentrale Säule der neuen Resilienzarchitektur bilden die umfassenden Cybersicherheitsanforderungen nach dem NIS2UmsuCG, welche sich in erster Linie an die Betreiber (besonders) wichtiger Einrichtungen richten. Von besonderer Relevanz sind die folgenden Pflichten:

1. Risikoanalyse, Risikobewertung und Risikomanagement

Inhaltlich stehen umfassende Risikomanagementmaßnahmen im Mittelpunkt (§ 30 BSIG n.F.). Die Betreiber müssen geeignete, verhältnismäßige und wirksame Maßnahmen ergreifen, um die ständige Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT-Systeme und Prozesse zu gewährleisten.

  • Zu den Mindestanforderungen zählen insbesondere Konzepte zur Risikoanalyse und Bewältigung von Sicherheitsvorfällen. Besonders hervorzuheben ist, dass die Betreiber von (besonders) wichtigen Einrichtungen im Rahmen des Risikomanagements auch dazu verpflichtet sind, Maßnahmen zur Sicherheit der Lieferkette zu ergreifen. Nach Auffassung der Bundesregierung sind hierfür beispielsweise vertragliche Vereinbarungen mit den Zulieferern und Dienstleistern zu relevanten Cybersicherheitsanforderungen zu treffen. 
  • Die vorzunehmenden Risikomanagementmaßnahmen sind somit nicht nur auf die unmittelbar verpflichteten Betreiber von (besonders) wichtigen Einrichtungen beschränkt, sondern erstrecken sich mittelbar auf die gesamte kritische Lieferkette.

2. Nachweis- und Meldepflichten

  • Die Betreiber müssen die Umsetzung ihrer Risikomanagementmaßnahmen fortlaufend dokumentieren (§ 30 Abs. 1 S. 3 BSIG n.F.). Diese Nachweise kann das BSI jederzeit anfordern, sodass Unternehmen eine belastbare und jederzeit vorzeigbare Dokumentationsstruktur benötigen. 
  • Zudem müssen Sicherheitsvorfälle unverzüglich, spätestens aber 24 Stunden nach Kenntnis, an die gemeinsame Meldestelle von BBK und BSI gemeldet werden. Spätestens einen Monat nach Kenntnis des Vorfalls ist ein ausführlicher Bericht zu übermitteln.
  • Ergänzend sind auch bei kritischen Anlagen Audits, Prüfungen und Zertifizierungen zur Vorbeugung von digitalen Sicherheitsmängeln nach dem NIS2UmsCG durchzuführen (§ 39 BSIG n.F.). Damit unterliegen Betreiber kritischer Anlagen den intensivsten Kontroll- und Dokumentationsanforderungen.

3. Registrierungspflichten

Auch Betreiber (besonders) wichtiger Einrichtungen sind zur Registrierung auf der gemeinsamen Plattform von BBK und BSI verpflichtet (§ 33 Abs. 1 BSIG n.F.). Im Unterschied zu Betreibern kritischer Anlagen sind zunächst nur grundlegende Daten (wie Angaben zum Namen der Einrichtung, Rechtsform, Anschrift) zu übermitteln. 

III. Personeller Sabotageschutz

Neben der physischen und digitalen Sicherheit nimmt der personelle Sabotageschutz die dritte Säule in der neuen Resilienzarchitektur ein, welcher insbesondere durch die Betreiber lebens- oder verteidigungswichtiger Einrichtungen zu gewährleisten ist. Dieser Bereich wird bislang durch das Sicherheitsüberprüfungsgesetz (SÜG) geregelt, das die Zuverlässigkeit von Personen mit sicherheitsempfindlichen Tätigkeiten sicherstellen soll. Die am 4. Dezember 2025 beschlossene und am 16. Januar 2026 in Kraft getretene Reform zielt darauf ab, bestehende Regelungslücken zu schließen und einheitliche Standards zu schaffen. Hintergrund ist insbesondere die gestiegene Bedrohungslage durch Spionage und Sabotage, die von der Bundesregierung ausdrücklich hervorgehoben wird.

1. Meldepflichten sicherheitsempfindlicher Stellen

  • Nach dem SÜG n.F. sind die Betreiber lebens- oder verteidigungswichtiger Einrichtungen den Behörden gegenüber verpflichtet, sicherheitsempfindliche Stellen innerhalb ihrer Einrichtungen zu melden (§ 25a SÜG n.F.). Ziel ist es, einheitliche Standards sicherzustellen und Wettbewerbsverzerrungen zulasten rechtskonformer Unternehmen zu vermeiden.
  • Im Rahmen der personellen Sicherheitsüberprüfung müssen die Betreiber sicherheitserhebliche Ergebnisse über die Person mit der sicherheitsempfindlichen Tätigkeit an die zuständige Stelle weitergeben (§§ 26, 29 SÜG). Durch die Änderung des § 29 Abs. 2 SÜG wurde die Weitergabeverpflichtung erweitert und umfasst künftig auch die Pflicht zur Übermittlung von Anhaltspunkten zu Überschuldung, Insolvenzverfahren und zur Restschuldbefreiung sowie Informationen über Nebentätigkeiten der betroffenen Person.

2. Überprüfung und Einsatz von Mitarbeitern

Zugleich werden die bisherigen Anforderungen an die Sicherheitsüberprüfung und den Einsatz von Mitarbeitern in sicherheitsrelevanten Bereichen verschärft. 

  • Durch Streichung zahlreicher Ausnahmen wird die Sicherheitsüberprüfung von Mitarbeitern gemäß § 9 SÜG auf das Niveau im Geheimschutz angehoben.
  • Neu ist zudem ein ausdrückliches Verbot des Einsatzes nicht überprüften Personals im nicht-öffentlichen Bereich (§ 27a SÜG n.F).

Insgesamt zielen diese Maßnahmen darauf ab, bisherige Schwachstellen im vorbeugenden personellen Sabotageschutz nachhaltig zu schließen.

Wer ist erfasst? – Anwendungsbereiche im Überblick

Die neuen Resilienzvorgaben wirken im systematischen Zusammenspiel und erfassen unterschiedliche Sicherheitsdimensionen der Unternehmensstruktur, von der physischen Anlagensicherheit über die Cyberresilienz bis hin zu personalrechtlichen Sicherheitsanforderungen.

Allen drei Regelwerken ist gemeinsam, dass sie Unternehmen primär sektorbezogen erfassen. Betroffen sind insbesondere die Sektoren Energie, Verkehr, IT und Telekommunikation, Finanzwesen, Gesundheit sowie weitere versorgungsrelevante Bereiche. Erfasst werden dabei nicht nur die jeweiligen Kernakteure, sondern auch vor- und nachgelagerte Unternehmen entlang der Wertschöpfungs- und Lieferketten. In der Praxis können daher neben Großunternehmen zukünftig auch kleine und mittlere Unternehmen (KMU) aus unterschiedlichen Gründen in den Anwendungsbereich eines oder mehrerer Regelwerke fallen.

Die gleichzeitige Anwendung mehrerer Gesetze sowie die weiten Anwendungsbereiche führen insgesamt dazu, dass die Wahrscheinlichkeit einer Betroffenheit deutlich steigt. Unternehmen müssen daher frühzeitig prüfen, ob und in welchem Umfang sie direkt oder mittelbar von den neuen Resilienzpflichten erfasst sind.

I. Betreiber kritischer Anlagen – Physische Sicherheit nach dem KRITIS-DachG-E

Die dargestellten physischen Resilienzpflichten richten sich an Betreiber kritischer Anlagen (§ 4 Abs. 1). Erfasst sind insbesondere Unternehmen, die rechtlich oder tatsächlich einen bestimmenden Einfluss auf Anlagen ausüben, die für die Versorgung der Bevölkerung erheblich sind (siehe § 2). Obwohl sich die Pflichten primär auf die physische Anlage beziehen, ist das betreibende Unternehmen als juristische Person Adressat der Verpflichtungen.

Der Anwendungsbereich ist bewusst weit gefasst und sektorenbezogen ausgestaltet. Er umfasst zahlreiche Branchen, darunter die Energie-, Wasser- und Lebensmittelversorgung, Abfallentsorgung, Verkehr und Transport, Weltraum, das Finanz- und Versicherungswesen, das Gesundheitswesen sowie IT- und Telekommunikationsinfrastrukturen (§ 4 Abs. 1).

Ob eine Anlage als „kritisch“ einzustufen ist, hängt parallel zur Sektoreinordnung künftig von ihrer Erheblichkeit für die Versorgung von Personen ab. Maßgeblich sollen objektive Schwellenwerte sein, die durch eine noch zu erlassende Rechtsverordnung des Bundesinnenministeriums für jeden relevanten Sektor und Anlage festgelegt werden. Dabei ist in Anlehnung an die bisherige Praxis der BSI-Kritisverordnung (BSI-KritisV) von einer Orientierung an der Zahl der versorgten Personen auszugehen, die bei voraussichtlich 500.000 versorgten Personen je Anlage liegen wird.

  • Zur Einordnung: Nach der derzeit geltenden BSI-KritisV fällt ein Unternehmen im Bereich der Stromerzeugung in den Anwendungsbereich der IT-Sicherheitsanforderungen des BSIG und gilt als Betreiber einer kritischen Anlage, wenn es über eine Erzeugungsanlage mit einer installierten Nettonennleistung von mehr als 104 MW verfügt. Die einschlägigen Schwellenwerte und Berechnungsmethoden sind dort für jede Branche detailliert geregelt. Es ist davon auszugehen, dass eine vergleichbare Systematik auch einer zukünftigen „KRITIS-Dachverordnung“ zugrunde liegen wird.

Durch die Novellierung des KRITIS-Dachgesetzes soll der Anwendungsbereich kritischer Anlagen nicht ausgeweitet, sondern weitgehend an die bestehende Einordnung von kritischer Infrastruktur nach dem BSIG angelehnt werden. Es ist daher von einem geplanten Gleichlauf zwischen der Einordnung als kritische Anlage nach dem BSIG und dem KRITIS-Dachgesetz auszugehen. Unternehmen, die bereits heute Anlagen betreiben, die nach dem BSIG als kritisch gelten, müssen jedoch mit einer spürbaren Zunahme der regulatorischen Anforderungen rechnen. Sie werden in Zukunft sowohl physische als auch cybersicherheitsrelevante Resilienzanforderungen erfüllen müssen (Doppelregulatorik). Nach Angaben des BSI waren bis zum 30. September 2025 bereits 2.135 Anlagen in den KRITIS-Sektoren des BSIG registriert (BSI - KRITIS in Zahlen). Eine ähnliche Größenordnung ist daher auch für die Einstufung nach dem KRITIS-Dachgesetz zu erwarten.

II. Betreiber (besonders) wichtiger Einrichtungen – Cybersicherheit nach dem NIS2UmsuCG

Das NIS2UmsuCG weitet den Anwendungsbereich des bisherigen BSIG erheblich aus und wird künftig deutlich mehr Unternehmen in die Pflicht nehmen. Das Gesetz wird damit nach den unionalen Vorgaben von einem IT-Sicherheitsgesetz zu einem umfassenden Cybersicherheitsgesetz weiterentwickelt. Anders als bisher unter dem BSIG beziehen sich die Cybersicherheitsanforderungen künftig nicht mehr nur auf versorgungsrelevante Systeme, sondern erfassen nun sämtliche informationstechnischen Systeme, Komponenten und Prozesse, die im Unternehmen eingesetzt werden – also auch die Büro-IT, Cloud-Dienste, Kommunikations- oder Buchhaltungssysteme.

Ob ein Unternehmen künftig in den Anwendungsbereich des neuen BSIG fällt, richtet sich maßgeblich nach dem jeweiligen Sektor (Anlagen 1 und 2 BSIG n.F.) sowie nach Größenmerkmalen wie Mitarbeiterzahl, Umsatz oder Bilanzsumme. Das Gesetz unterscheidet dabei zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen (§ 28 BSIG n.F.). Diese Einordnung ist insbesondere für die Intensität der behördlichen Aufsicht sowie für das Ausmaß der Sanktionsmöglichkeiten von Bedeutung.

  • Als besonders wichtige Einrichtungen (Abs. 1) gelten insbesondere Betreiber kritischer Anlagen und bestimmte Anbieter digitaler Infrastrukturen unabhängig von ihrer Größe. Darüber hinaus werden Unternehmen aus besonders relevanten Sektoren (Anlage 1) – etwa Energie, Transport und Verkehr, Gesundheitswesen, Finanzwesen oder digitale Infrastruktur – erfasst, sofern sie bestimmte Größenmerkmale erreichen. Betroffen sind damit nicht nur klassische Großunternehmen, sondern auch größere Industrie-, Pharma- oder IT-Zulieferer, die bislang regelmäßig nicht dem IT-Sicherheitsrecht unterlagen.
  • Wichtige Einrichtungen (Abs. 2) erfassen daneben auch zahlreiche Unternehmen aus den genannten Branchen sowie aus dem verarbeitenden Gewerbe, aus digitalen Diensten oder dem Forschungsbereich (Anlage 2), sofern sie bestimmte – deutlich niedrigere – Schwellenwerte überschreiten. Auffällig ist, dass dadurch erstmals in erheblichem Umfang auch KMU in den Anwendungsbereich von Cybersicherheitsanforderungen einbezogen werden.

Insgesamt ist von einer sehr breiten unmittelbaren und mittelbaren Wirkung des NIS2UmsuCG auszugehen: Die neuen Compliance-Pflichten werden im Hinblick auf die Cyberresilienz nicht nur Unternehmen sämtlicher Größenordnungen (Großunternehmen, kleine und mittlere Unternehmen) sondern auch in sämtlichen sicherheitsrelevanten Branchen treffen. So werden im Bereich des Gesundheitswesens nicht nur große Pharmaunternehmen die Cybersicherheitsanforderungen beachten müssen, sondern auch Unternehmen, die Arzneimittelverpackungsmaterial oder sonstige Hilfs- und Heilmittel liefern und die notwendigen Schwellenwerte überschreiten. Die Bundesregierung nimmt an, dass in Deutschland zukünftig rund 8.250 Unternehmen als besonders wichtige und rund 21.600 Unternehmen als wichtige Einrichtungen zu klassifizieren sind.

Zudem ist davon auszugehen, dass auch Zulieferer und Dienstleister betroffener Unternehmen mittelbar in die Pflicht genommen werden, etwa durch vertragliche Vorgaben oder weitergereichte Compliance-Anforderungen. Auf diese Weise entfaltet das NIS2UmsuCG eine erhebliche Ausstrahlungswirkung über den Kreis der unmittelbaren Normadressaten hinaus.

III. Betreiber lebens- oder verteidigungswichtiger Einrichtungen – Anwendungsbereich des SÜG n.F. 

Ob ein Unternehmen in den Anwendungsbereich des modernisierten SÜG fällt, hängt – anders als beim KRITIS-DachG-E und dem NIS2UmsuCG – davon ab, ob Mitarbeiter des Unternehmens sicherheitsempfindliche Tätigkeiten in einer lebens- oder verteidigungswichtigen Einrichtung ausüben (§ 1 Abs. 2 und 5 SÜG i.V.m. SÜFV).

Erfasst werden daher insbesondere Unternehmen aus besonders versorgungs- oder verteidigungsrelevanten Branchen, wie der Verteidigungsindustrie, der Energieversorgung (z.B. Leitstellenbetreiber) sowie der Informations- und Kommunikationstechnik (Telekommunikationsunternehmen). Auch Unternehmen, die entsprechende Einrichtungen beliefern oder Dienstleistungen für diese erbringen, können in den Anwendungsbereich fallen, sofern ihre Mitarbeiter sicherheitsempfindliche Tätigkeiten wahrnehmen.

Die Modernisierung des SÜG zielt auf einheitliche Standards, digitalisierte Verfahren und schnellere Abläufe ab. Eine Ausweitung des gesetzlich definierten Anwendungsbereichs ist nicht unmittelbar vorgesehen; jedoch soll die Einhaltung des SÜG künftig flächendeckend durchgesetzt werden. Betroffenen Unternehmen werden sich künftig kaum noch ihren Pflichten im Rahmen des vorbeugenden personellen Sabotageschutzes entziehen können.

Risiken und Sanktionsmöglichkeiten

Die neuen Resilienzpflichten sind nicht nur mit erheblichen organisatorischen und technischen Anforderungen verbunden, sondern gehen auch mit nicht unerheblichen Haftungs- und Sanktionsrisiken einher. 

Unternehmen, die ihre Pflichten nicht oder nur unzureichend erfüllen, müssen künftig mit empfindlichen Bußgeldern rechnen. Zugleich weiten die Gesetzesvorhaben die persönliche Verantwortlichkeit der Geschäftsleitung deutlich aus. Wer die Umsetzung der vorgeschriebenen Maßnahmen schuldhaft versäumt, setzt sich einem eigenen Haftungsrisiko aus. Flankiert werden diese Haftungsrisiken durch weitreichende Kontroll- und Durchsetzungsbefugnisse der Aufsichtsbehörden. Insgesamt steigt damit der regulatorische und wirtschaftliche Druck auf betroffene Unternehmen erheblich.

I. Bußgelder

Für Verstöße gegen die Pflichten aus dem KRITIS-DachG-E sieht der Gesetzentwurf eigenständige Bußgeldrahmen vor. Betreiber kritischer Anlagen, die etwa gegen Registrierungs-, Melde- oder Nachweispflichten verstoßen, müssen mit Bußgeldern zwischen EUR 50.000 und EUR 500.000 rechnen (§ 24 KRITIS-DachG-E).

Besonders weitreichend sind die Sanktionsregelungen für Betreiber von (besonders) wichtigen Einrichtungen nach dem BSIG n.F.: Je nach Art und Schwere des Verstoßes sowie der Einrichtungsart (wichtig oder besonders wichtig) können Bußgelder bis zu EUR 10 Millionen oder – alternativ – bis zu zwei Prozentsatz des weltweiten Jahresumsatzes verhängt werden (§ 65 Abs. 5-7 BSIG n.F.). Selbst Verstöße gegen formale Pflichten, etwa gegen Registrierungserfordernisse, können bereits Bußgelder bis EUR 500.000 nach sich ziehen.

Auch das modernisierte SÜG enthält erstmals ausdrückliche Sanktionsregelungen (§ 38 SÜG n.F.). Wird eine sicherheitsempfindliche Stelle von dem Betreiber einer lebens- oder verteidigungswichtigen Einrichtung nicht ordnungsgemäß gemeldet (§ 25a SÜG n.F.), droht ein Bußgeld bis EUR 50.000. Der fortgesetzte Einsatz von nicht überprüften oder abgelehnten Personen an sicherheitsempfindlichen Stellen kann mit einem Bußgeld bis EUR 10.000 sanktioniert werden.

II. Zivilrechtliche Regressmöglichkeiten (Außenhaftung)

Nicht zuletzt drohen auch Zulieferern und Dienstleistern entlang der gesamten Liefer- und Wertschöpfungskette haftungsrechtliche Risiken: Sie haften unter Umständen aus vertraglichen Vereinbarungen mit den Betreibern von kritischen Anlagen oder (besonders) wichtigen oder lebens- und verteidigungswichtigen Einrichtungen. Denkbar sind insbesondere Regressforderungen, wenn Zulieferer oder Dienstleister vertraglich bestimmte Sicherheits- oder Risikomanagementmaßnahmen zugesichert haben und diese nicht ordnungsgemäß umsetzen. Der ersatzfähige Schaden wird dabei regelmäßig in den Bußgeldern liegen, die dem unmittelbar verpflichteten Betreiber wegen eines Pflichtverstoßes auferlegt wurden.

Die neuen Compliance-Pflichten aus den Resilienzgesetzen können zudem im Kontext einer Beeinträchtigung kritischer Infrastruktur – wie erst kürzlich bei dem Berliner Stromausfall im Januar 2026 – zu zivilrechtlich verschärften Sorgfaltsmaßstäben und zu erschwerten Haftungsausschlüssen wegen höherer Gewalt führen und damit - je nach Einzelfall - vertragliche und deliktische Schadensersatzansprüche von Endkunden gegen Betreiber versorgungsrelevanter Infrastrukturen erleichtern.

III. Haftung der Geschäftsleitung (Binnenhaftung)

Die Gesetzesinitiativen begründen zudem eine ausdrücklich normierte persönliche Haftung der Geschäftsleitung.

Für Betreiber kritischer Anlagen sieht das KRITIS-DachG-E vor, dass die Geschäftsleitung für Schäden haftet, die aus einer schuldhaften Verletzung ihrer Pflicht zur Organisation und Umsetzung der Resilienzmaßnahmen entstehen, sofern eine solche Binnenhaftung nicht bereits durch das Gesellschaftsrecht geregelt ist (§ 20 Abs. 2 KRITIS-DachG-E). Diese Haftung kann insbesondere dann relevant werden, wenn das Unternehmen aufgrund organisatorischer Versäumnisse mit Bußgeldern belastet wird. So kann etwa ein wegen einer fehlerhaften Registrierung verhängtes Bußgeld unter Umständen im Innenverhältnis gegenüber der Geschäftsleitung geltend gemacht werden, sofern ein schuldhaftes Verhalten vorliegt.

Eine vergleichbare Haftung sieht auch das NIS2UmsuCG vor: Geschäftsleitungen (besonders) wichtiger Einrichtungen haften für Schäden, die aus einer schuldhaften Verletzung ihrer Pflicht zur Umsetzung und Überwachung der Risikomanagementmaßnahmen entstehen (§§ 38 Abs. 1, 2 i.V.m. § 30 BSIG n.F.).

Die Organhaftung nach den beiden Gesetzesvorhaben erfasst alle natürlichen Personen, die zur Führung der Geschäfte und zur Vertretung der Anlage oder Einrichtung befugt sind (§ 2 Nr. 11 KRITIS-DachG-E, § 2 Nr. 13 BSIG). Welche Personen konkret betroffen sind, hängt somit von der Rechtsform des betreibenden Unternehmens ab.

IV. Aufsichts- und Durchsetzungsmaßnahmen

Zur Durchsetzung der gesetzlichen Cybersicherheitsanforderungen werden auch die Befugnisse der Aufsichtsbehörden deutlich ausgeweitet. Das BSI kann Unternehmen künftig verpflichten, Audits, Prüfungen oder Zertifizierungen durch unabhängige Stellen durchführen zu lassen (§ 61 BSIG n.F.). Bei Feststellung von Mängeln besitzt die Behörde künftig die Möglichkeit, die Vorlage eines Mängelbeseitigungsplans sowie den Nachweis der erfolgreichen Umsetzung zu verlangen.

Zusätzlich dazu werden die Zwangsmittel erheblich verschärft: Zur Durchsetzung behördlicher Anordnungen kann das BSI künftig Zwangsgelder bis zu EUR 100.000 verhängen – erheblich mehr als nach dem Verwaltungsvollstreckungsgesetz bislang möglich (§ 63 BSIG n.F.).

Fazit und Ausblick

Mit dem Entwurf für das KRITIS-Dachgesetz, der Modernisierung des SÜG sowie der Umsetzung des NIS2UmsuCG steht ein umfassendes Gesetzespaket bevor, das zahlreiche Unternehmen – teilweise erstmals – zu weitreichenden Resilienzmaßnahmen verpflichtet. Verstöße können künftig nicht nur hohe Bußgelder, sondern auch eine organschaftliche Haftung der Geschäftsleitung nach sich ziehen. Das NIS2UmsuCG ist bereits am 6. Dezember 2025 in Kraft getreten, das SÜG n.F. am 16. Januar 2026. Über das KRITIS-DachG wurde bereits am 6. November 2025 im Bundestag in erster Lesung beraten, angesichts des Stromausfalls im Berliner Südwesten wird jedoch in Regierungskreisen schon wieder über eine Neufassung des KRITIS-Dachgesetz beraten. Wann das KRITIS-Dachgesetz daher verabschiedet wird, bleibt offen.

Nichtsdestotrotz steht die deutsche Wirtschaft vor einem umfassenden „Resilienz-Paket“: Allein der jährliche Erfüllungsaufwand hinsichtlich der Maßnahmen aus dem verabschiedeten NIS2UmsuCG für die Wirtschaft wird auf rund EUR 2,3 Milliarden geschätzt. Unternehmen sind daher gehalten, kurzfristig zu prüfen, ob und in welche Resilienzkategorien sie zukünftig fallen und welche konkreten Maßnahmen sie in Zukunft erfüllen müssen. Es ist auch sehr wahrscheinlich, dass viele Betreiber in den Anwendungsbereich mehrerer Regelwerke fallen und parallel bestehende Compliance-Pflichten zu beachten haben.

Hinzu tritt, dass die gesetzlichen Pflichten vielfach über vertragliche Vereinbarungen in Liefer- und Dienstleistungsketten fortwirken und so auch Unternehmen erfassen, die nicht zu den unmittelbaren gesetzlichen Adressaten zählen. Gerade für Zulieferer und Dienstleister kritischer Unternehmen können sich daraus erhebliche – bislang häufig unterschätzte – Compliance-Anforderungen ergeben. Darüber hinaus sollten Unternehmen entlang der Lieferkette ihre vertraglichen Vereinbarungen überprüfen und ggf. anpassen.

Unternehmen sind daher gehalten ein umfassendes Compliance-System einzurichten, das von der Einrichtung von Registrierungs- und Meldestellen im Unternehmen über Risiko- und Schwachstellenanalysen bis hin zur Einführung organisatorischer, technischer und personeller Sicherheitsmaßnahmen sowie der Einrichtung von klaren Verantwortlichkeiten sowie der rechtssicheren Dokumentation reicht.

Insgesamt etabliert sich damit eine neue Form der Resilienz-Compliance, die nicht nur technisches Know-how, sondern vor allem eine systematische rechtliche Strukturierung verlangt: von der Abgrenzung des Anwendungsbereichs über die Gestaltung interner Prozesse und Zuständigkeiten bis zur vertraglichen Absicherung gegenüber Geschäftspartnern. Vor dem Hintergrund verschärfter Haftungs- und Sanktionsregelungen kommt einer solchen rechtssicheren Implementierung zentrale Bedeutung zu – insbesondere zur Begrenzung unternehmensbezogener Risiken und zur Absicherung der Geschäftsleitung.

Weiterleiten
Kompetenz
Öffentliches Recht Defense & Security Energie & Infrastruktur Digital Economy Automotive & Mobility Compliance & Investigations Gesellschaftsrecht Healthcare und Life Sciences
Experten
Dr. Marc Ruttloff Dr. Dipl.-Kfm. Christoph Patrick Goller Dr. Friederike Niemann Beatrice Moira Kimmig Simon Kaifel
Keep in Touch

Keep in Touch
Gleiss Lutz informiert

Gerne nehmen wir Sie auf unseren Verteiler auf und informieren Sie über aktuelle Rechtsentwicklungen und Veranstaltungen.

Jetzt anmelden