Mitteilung

Neue Anforderungen an kommunale Unternehmen zur IT- und Cybersicherheit

Mit dem NIS2-Umsetzungsgesetz werden die Anforderungen an die IT- und Cybersicherheit für viele Unternehmen der kommunalen Daseinsvorsorge spürbar ausgeweitet. Nach aktuellem Stand soll das Gesetz Anfang 2026 in Kraft treten und keine zusätzlichen Übergangsfristen vorsehen. Für potenziell betroffene Unternehmen ergibt sich daraus frühzeitig zu prüfen, ob sie unter den Anwendungsbereich fallen, und gegebenenfalls rechtzeitig mit der Umsetzung der neuen Vorgaben zu beginnen.

12. Januar 2026  
Teilen
XING
LinkedIn
Mailen
Link kopieren

Hintergrund der Neuregelungen ist das Bestreben von Europäischer Union und Bundesrepublik Deutschland, die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber aktuellen und zukünftigen Krisen zu stärken. Ausgangspunkt sind zwei europäische Richtlinien mit unterschiedlichen Schutzrichtungen:

Die NIS2-Richtlinie zielt auf den Schutz kritischer Einrichtungen vor Gefahren aus dem Cyberraum ab, etwa durch Hackerangriffe, Schadsoftware oder IT-Systemausfälle. Ihre Vorgaben werden in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz umgesetzt, das das parlamentarische Verfahren bereits abgeschlossen hat. Demgegenüber befasst sich die CER-Richtlinie mit dem Schutz vor physischen Bedrohungen, beispielsweise Sabotageakten oder Angriffen auf Anlagen. Ihre Umsetzung soll durch ein sogenanntes KRITIS-Dachgesetz erfolgen, das sich derzeit noch im Gesetzgebungsverfahren befindet und dessen konkrete Anforderungen noch nicht abschließend feststehen.

Vom NIS2-Umsetzungsgesetz werden insbesondere Unternehmen aus den Bereichen Energie, Wasser- und Abwasserwirtschaft, Abfallwirtschaft sowie Telekommunikation erfasst, sofern sie mindestens 50 Beschäftigte haben oder einen Jahresumsatz von mehr als 10 Millionen Euro erzielen. Für diese Unternehmen ergeben sich umfangreiche Pflichten. Dazu zählen unter anderem die Schulung der Geschäftsleitung zu Fragen der IT- und Cybersicherheit, die Registrierung des Unternehmens bei der zuständigen Behörde, die Benennung einer dauerhaft erreichbaren Kontaktstelle sowie die Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle. Darüber hinaus müssen geeignete technische und organisatorische Maßnahmen zur Erhöhung der IT-Sicherheit eingeführt und deren Umsetzung nachgewiesen werden.

Auch wenn die zuständigen Behörden angekündigt haben, in der Anfangsphase unterstützend und beratend tätig zu sein, sieht das Gesetz bei Verstößen Bußgelder vor. Zudem können sich Haftungsrisiken für die Geschäftsführung ergeben. Vor diesem Hintergrund empfiehlt es sich, frühzeitig bestehende IT-Sicherheitsstrukturen zu überprüfen, Zuständigkeiten zu klären und erforderliche Maßnahmen schrittweise umzusetzen.

Die kommunalen Verwaltungen selbst sind vom im NIS2-Gesetz nicht direkt erfasst. Deutschland hat bei der nationalen Umsetzung der NIS2-Richtlinie keinen erweiterten Anwendungsbereich auf die öffentliche Verwaltung auf lokaler Ebene aufgenommen.