Anlage 2 umfasst nun auch Unternehmen der Abfallbewirtschaftung, was insbesondere die größeren kommunalen Abfallwirtschaftsverbände betreffen dürfte. Neu ist insbesondere die Aufnahme von Forschungseinrichtungen, die angewandte Forschung oder experimentelle Entwicklung im Hinblick auf die Nutzung der Ergebnisse dieser Forschung für kommerzielle Zwecke durchzuführen. Je nach faktischer Ausgestaltung der einzelnen Forschungseinrichtung könnten hierunter auch die Max-Planck-Gesellschaft, Fraunhofer-Gesellschaft oder die einzelnen Helmholtz-Zentren fallen.
Risikomanagementmaßnahmen und weitere Pflichten
Der Entwurf beinhaltet eine deutliche Verschärfung der Pflichten, insbesondere der Aufsichts- und Durchsetzungsmaßnahmen der Einrichtungen, aber auch der Geschäftsleiter.
Die besonders wichtigen Einrichtungen und wichtigen Einrichtungen haben sich unter anderem innerhalb von 3 Monaten beim BSI zu registrieren und geeignete technische und organisatorische Maßnahmen zu ergreifen, um Störungen zu vermeiden und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Bei der Auswahl geeigneter Maßnahmen sind
die Risikoexposition,
die Größe der Einrichtung,
die Umsetzungskosten,
die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie
ihre gesellschaftlichen und wirtschaftlichen Auswirkungen
zu berücksichtigen und mindestens die folgenden Maßnahmen zu ergreifen und Konzepte zu erstellen:
Risikoanalyse und Sicherheit für Informationssysteme,
Bewältigung von Sicherheitsvorfällen,
Aufrechterhaltung des Betriebs,
Sicherheit der Lieferkette
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT Systemen, Komponenten und Prozessen,
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
Verwendung von Multi-Faktor-Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation.
Beim Einsatz von Hard- und Software dürfen IKT-Produkte, IKT-Dienste und IKT-Prozesse, die in der noch zu erlassenden Rechtsverordnung aufgeführt sind, nur verwendet werden, wenn diese über eine Cybersicherheitszertifizierung nach Artikel 49 der Verordnung (EU) 2019/881 verfügen. Dies kann unter Umständen zu einem erheblichen Mehraufwand und Mehrkosten führen.
Zusätzlich sind Betreiber kritischer Anlagen verpflichtet, Systeme zur Angriffserkennung einzusetzen, die nicht nur den Betrieb kontinuierlich überwachen, sondern auch Maßnahmen vorsehen, um Störungen beseitigen können. Die zu ergreifenden technischen und organisatorischen Maßnahmen unterliegen zudem erhöhten Anforderungen, was bedeutet, dass auch aufwändigere Maßnahmen noch verhältnismäßig sein können, wobei hier der Aufwand ins Verhältnis zu den Folgen einer Störung gesetzt werden muss.
Bei der Umsetzung der Maßnahmen ist zu beachten, dass die Geschäftsleiter der Einrichtungen verpflichtet sind, diese Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen. Auch bei Einschaltung von Hilfspersonen bleiben die Geschäftsleiter letztverantwortlich. Diese Regelung dürfte zu einer erheblichen Ausweitung der Geschäftsführerhaftung führen, da ein Verzicht der Einrichtung auf Ersatzansprüche aufgrund einer derartigen Pflichtverletzung unwirksam ist. Daher ist auf die Erstellung und Umsetzung der Risikomanagementmaßnahmen ein besonderes Augenmerk zu legen, um Haftungsansprüche zu vermeiden.
Weiterhin ist zu beachten, dass Übergangsfristen zur Umsetzung o.ä. aus dem vorliegenden Entwurf nicht ersichtlich sind. Die betroffenen Einrichtungen sollten sich daher bereits vor Inkrafttreten im Oktober 2024 mit der Erstellung und Umsetzung der Risikomanagementmaßnahmen beschäftigen.
Im Falle von erheblichen Sicherheitsvorfällen sind diese dem BSI innerhalb von 24 Stunden nach Kenntniserlangung zu melden, wobei hierbei bereits angegeben werde muss, ob ein Verdacht vorliegt, dass Dritte, insbesondere aus dem Ausland beteiligt sind. Innerhalb von 72 Stunden hat eine zweite Meldung mit detaillierten Angaben, insbesondere dem Schweregrad und den Auswirkungen zu erfolgen. Spätestens nach einem Monat ist eine Abschluss- oder Fortschrittsmeldung mit einer ausführlichen Beschreibung des Sicherheitsvorfalls und den getroffenen Maßnahmen einzureichen.
Ein Verstoß gegen die obigen Pflichten kann eine Ordnungswidrigkeit darstellen und mit nicht unerheblichen Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes geahndet werden.
Fazit
Die kommunalen Unternehmen sollten daher zeitnah prüfen, ob sie eine besonders wichtige oder wichtige Einrichtung sind und sich auf die auf sie zu kommenden Pflichten vorbereiten. Hierbei empfiehlt es sich zu prüfen, ob für die Umsetzung der Maßnahmen Fördermittel beantragt werden können. In Betracht kommen, je nach Einzelfall, z. B. Förderungen des Bundes aufgrund der „Richtlinie IT-Sicherheit in der Wirtschaft – Transferstelle Cybersicherheit und Fokusprojekte“ oder der „Richtlinie zum Förderprogramm „go-digital““, aber auch landesspezifische Förderprogramme.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Christine Grau ist Equity Partnerin bei Heuking Kühn Lüer Wojtek und berät seit mehr als 15 Jahren Unternehmen und die öffentliche Hand bei Förderverfahren und komplexen Vergabeverfahren, insbesondere bei technologienahen Ausschreibungen sowie bei Infrastrukturprojekten. Besondere Schwerpunkte ihrer Beratung sind das TK-, IT- und Cybersicherheitsrecht sowie der Einkauf von Hard- und Softwareprodukten. Zusätzlich ist sie Zertifizierte IT-Security-Beauftragte (TÜV). Des Weiteren berät sie Unternehmen und die öffentliche Hand im Förder- und Beihilferecht, insbesondere bei Forschungs- und Entwicklungsleistungen.
:quality(80)/p7i.vogel.de/wcms/2f/3b/2f3b8786c5f08f24411805165ad83718/0129164624v2.jpeg "Stromnetze, Flughäfen, Krankenhäuser und Kommunen – die kritische Infrastruktur sowie sensible Daten müssen im Fall eines Angriffs besser geschützt werden. (Bild: © Robert – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/20/59205bd98654a24dfa2d570575bf9a5c/0129092644v2.jpeg "Eva Weber ist seit 1. Mai 2020 Oberbürgermeisterin der Stadt Augsburg. (Bild: Stadt Augsburg)")
:quality(80)/p7i.vogel.de/wcms/ab/8b/ab8bc181d73780160b3ec5cd42d07fa0/0129185631v2.jpeg "Ein verantwortungsvoller Umgang mit Smartphones und anderen Medien ist Teil digitaler Bildung an Schulen. (Bild: © LincB – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/f6/bef62e597e41e9b5beedb4a479b98472/0129096954v2.jpeg "Behördengang per Klick: Digitale Services werden in München stetig verbessert und ausgebaut. (Bild: © engel.ac – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/fc/b6fc1d32194466a5b67548c19c2f76f5/0129131184v1.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/a8/c9/a8c959f32cc4ebba6cf1531d77785a4b/0129094039v2.jpeg "Start-ups als Impulsgeber treffen oft auf geringe Fehlertoleranz und hohe Risikoaversion. (Bild: © ANMZAKARIA – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/d5/35d5dbf783acb3b3e8e5705673546cbb/0129197918v2.jpeg "Ein Schlüsselprojekt der DVC ist der Aufbau von Betriebsplattformen durch die öffentlichen IT-Dienstleister bei europäischen souveränen Cloud-Anbietern. Dafür wurden zunächst Stackit und IONOS ausgewählt. (Bild: © CHONCHANOK PHOTO - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/27/12/2712be28ea8f67a75e32f57d7c19462d/0129145815v2.jpeg "Der Sovereign Cloud Stack übersetzt Anforderungen aus DSGVO und NIS-2 in klar definierte, auditierbare Kontrollen für einen sicheren und hochverfügbaren Cloud-Betrieb. (Bild: © Catsby_Art - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/80/5b/805b612af7de02ab07b2a1a397440f3b/0128166269v2.jpeg "In der digitalisierten Welt wird ständig neues Wissen generiert, nur sind die Wirkungszusammenhänge häufig allzu intransparent. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/8f/5f8faad4afec8fe9e707f4dcf66f2241/0128310661v2.jpeg "Die Verwaltungstransformation braucht klare Strukturen und Verantwortlichkeiten, um den gemeinsamen Weg erfolgreich zu beschreiten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/26/4e/264eb24d3d8fb6970634864f5caa0c9a/0128145508v2.jpeg "Viele KRITIS-Betreiber haben sich noch nicht abendfüllend mit den Möglichkeiten Künstlicher Intelligenz beschäftigt, dabei besitzt KI auch hier großes Potenzial. (Bild: © kosssmosss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/9e/d49eec271624b4eed3e4b8ba1d4a6f4b/0129251516v2.jpeg "Der neue CTO des DigitalService, Erik Dörnenburg, hat in den vergangenen sechs Monaten eine berufliche Auszeit genommen. Dabei ist er unter anderem bis ans Mittelmeer mit dem Fahrrad gereist. (Bild: Thoughtworks)")
:quality(80)/p7i.vogel.de/wcms/15/70/15700165dd721e9f1ee2832275b02241/0128568293v2.jpeg "Die Stadthalle Bielefeld bietet den Besuchern der KommDigitale eine 3.000 Quadratmeter große Ausstellungsfläche sowie drei digitale Werkbänke und sechs Kongressräume. (Bild: © KommDIGITALE, Databund)")
:quality(80)/p7i.vogel.de/wcms/3f/d6/3fd65ee8c363863ad83fb6f06d6c4673/0128557921v2.jpeg "Die jährlich stattfindende Didacta ist die größte Bildungsmesse in Europa und die wichtigste Weiterbildungsveranstaltung für Lehrkräfte. (Bild: © Koelnmesse GmbH / didacta / Alita Holzhauer)")
:quality(80)/p7i.vogel.de/wcms/7c/f1/7cf1421ed7c704eddc6167553c39d438/0129022115v1.jpeg "Die sovero GmbH ist Softwareanbieter für ECM- und Workflowlösungen und durchführender Partner für Aktendigitalisierungsprojekte in Kommunalverwaltungen. (Bild: sovero)")
:quality(80)/p7i.vogel.de/wcms/a4/ed/a4edd26c3f9be221cda55c459182f3e2/0129236742v2.jpeg "(Bild: Moritz Leick, Stadt Essen)")
:quality(80)/p7i.vogel.de/wcms/18/96/1896e3a6ff5662cb8cc3916e70eaaca1/0128771682v1.jpeg "(Bild: © Ferrari electronic)")
:quality(80)/p7i.vogel.de/wcms/4d/e4/4de4451360df23707ec5a930ce162b95/0128444441v6.jpeg "(Bild: Voigtmann GmbH)")
:quality(80)/p7i.vogel.de/wcms/a2/1c/a21c5cbcfc2114968d324ef51f71a997/0128496655v2.jpeg "(Illustration: Landkreis Regensburg)")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/fb/68fb93af0a60e/logo-square.jpeg "logo-square (meinvideotermin.de)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/1b/671b7b77086d8/cii-logo-schriftzug-mit-icon-bk.png "cii-logo-schriftzug-mit-icon-bk (cyberintelligence.institue)"){kind=icon}
:quality(80)/p7i.vogel.de/wcms/92/71/92718134ba56ad5f9626f215013799c0/0125943371v2.jpeg "Unternehmen und Verbände beziehen Stellung: Der neue Regierungsentwurf erweitert den Kreis der betroffenen Unternehmen deutlich und sorgt nun für teils kritische Reaktionen aus Wirtschaft und Branche. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/b3/43b33e50faf1938562316b4f4bebf829/0129178528v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")