Cyberattacken nehmen zu – Worauf Unternehmen rechtlich achten sollten

Die Cybersecurity-Lage ist für Unternehmen herausfordernd. Die rechtlichen Anforderungen, die Unternehmen im Bereich Cybersecurity befolgen müssen, sind komplex und wachsen weiter.

„Die Bedrohungslage durch Cyberkriminalität ist in Deutschland anhaltend hoch“, schreibt das Bundesministerium des Inneren (BMI). Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, hält die Lage für „besorgniserregend“. Und in einer Befragung des Verbandes Bitkom e. V. gaben 46 Prozent der Unternehmen an, Cyberattacken auf sie haben in den letzten zwölf Monaten stark zugenommen; in den KRITIS-Sektoren (Kritische Infrastruktur) sogar 52 Prozent der Befragten.

Besserung erwarten die Befragten nicht. 49 Prozent gaben an, mit einem starken Anstieg der Cyberattacken in den nächsten zwölf Monaten im Vergleich zu den letzten zwölf Monaten zu rechnen. Zwei Drittel der Unternehmen betrachten Cyberattacken als existenzbedrohend. 62 Prozent der befragten Unternehmen verschärf(t)en daher ihre IT-Sicherheitsmaßnahmen. Das passt zum Aufruf des BSI: „Alle Beteiligten sind gefordert, ihren Beitrag zur Stärkung der Resilienz gegen Cyberkriminalität und IT-Sicherheitsvorfälle zu leisten.”

Auch der EU-Gesetzgeber ist äußerst aktiv im Bereich Cybersecurity. Beispielsweise definiert die NIS2-Richtlinie (Network and Information Security Directive 2) Mindeststandards für die IT-Sicherheit von gewissen Unternehmen in KRITIS-Sektoren und verpflichtet EU-Mitgliedstaaten, nationale Cybersecurity-Strategien zu verabschieden. Der Cyber Resilience Act (CRA) versucht, die Cybersecurity von Produkten zu verbessern.

Der EU-Gesetzgeber reagiert zunehmend auf technologische Entwicklungen und die damit einhergehende Risiken – etwa durch sektorspezifische (NIS2-Richtlinie), produktbezogene (CRA), technologieorientierte (KI-Verordnung) oder datenspezifische Regelwerke (Datenschutz-Grundverordnung, Data Act). Die komplexe, dynamisch wachsende Rechtsmaterie in Kombination mit technologischem Fortschritt und zunehmenden Cyberrisiken stellt Unternehmen vor erhebliche Herausforderungen.

Wer nicht vorsichtig ist, hat das Nachsehen

Die neue Regulierung adressiert auch den Umstand, dass oft keine ausreichend etablierten, dimensionierten oder trainierten (Stichwort: „Tabletop Exercise“) – Prozesse zum Umgang mit einem Cyber-Krisenfall bestehen. Nicht selten wird während der Krise festgestellt, dass es an klaren, zum Beispiel RACI-basierten (Responsible, Accountable, Consulted, Informed) Verantwortlichkeiten, Prozessen und eingesetzten Entscheidungsgremien fehlt.

Im Zusammenhang mit der proaktiven Adressierung von IT-/Cybersecurity fallen häufig die Begriffe „IT-Governance“ und „IT-Compliance“. IT-Governance umfasst Führungs- und Organisationsmodelle, die der Förderung der Unternehmensziele durch die IT und dem Management von Risiken und Ressourcen dienen sollen. Eng damit verbunden ist die IT-Compliance, also der rechtskonforme Umgang mit allen IT-Angelegenheiten und -Prozessen. Da sich Risiken, anwendbare Vorschriften und Prozesse je nach Geschäftsbranche erheblich unterscheiden können, gibt es keine Universalregeln für die Ausgestaltung und rechtssichere Organisation von IT-Infrastrukturen.

Der für Unternehmen im Bereich Cybersecurity relevante Rechtsrahmen ist vielschichtig und dynamisch. Eine einheitliche Kodifikation des „Cybersecurity-Rechts“ existiert nicht, stattdessen greifen verschiedene nationale und europäische Rechtsakte ineinander. Vor diesem Hintergrund ist eine vollständige Darstellung hier nicht möglich. Nachfolgend werden allerdings zentrale Regelwerke anhand ihrer wesentlichen Anknüpfungspunkte exemplarisch skizziert.

NIS2-Richtlinie: Wer betroffen ist und was auf Unternehmen zukommt

Die NIS2-Richtlinie knüpft vornehmlich daran an, dass Unternehmen in der EU oder von dort aus Leistungen in Sektoren erbringen, welche der EU-Gesetzgeber als kritisch einschätzt, unter anderem versorgungs-, kommunikations- und produktionsbezogene Sektoren.

Umsetzung der NIS2-Richtlinie

Die NIS2-Richtlinie hätten die EU-Mitgliedstaaten bis zum 7. Oktober 2024 in nationales Recht umsetzen müssen. Dieses Ziel hat Deutschland verfehlt. Die BSI-Präsidentin hofft auf eine Umsetzung bis Anfang 2026. Das BMI legte am 23. Juni 2025 einen neuen Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes vor, welchen die Bundesregierung am 30. Juli 2025 verabschiedete.

Anwendbarkeit der NIS2-Richtlinie auf Unternehmen

Der EU-Gesetzgeber hat Größenschwellen (Umsatz- und Mitarbeiterzahl) vorgesehen. Doch es gelten komplexe Regeln, welche Konzernwerte Unternehmen zugerechnet werden. Da die Zurechnungsregeln nicht für die Cybersecurity-Regulierung erlassen worden sind, bleibt abzuwarten, ob sie zu angemessenen Ergebnissen kommen.

Auch wenn noch kein deutsches Umsetzungsgesetz verabschiedet worden ist, bietet das BSI ein indikatives Self-Assessment an, damit Unternehmen prüfen können, ob sie von der Umsetzung der NIS2-Richtlinie betroffen sein werden. Besonders relevant und praktisch herausfordernd dürfte für Unternehmen sein, dass sie bei erheblichen Sicherheitsvorfällen eine erste Meldung unverzüglich und jedenfalls innerhalb von 24 Stunden abgeben müssen, nachdem sie von dem Vorfall Kenntnis erlangt haben. Dies erfordert gute Vorbereitung und erprobte Prozesse. Daneben bestehen – teilweise auch auf untergesetzlicher Ebene – eine Vielzahl von anderen sektorspezifischen Anforderungen.

Cybersicherheit als Pflicht – von vernetzten Geräten bis KI-Systemen

Mit dem Cyber Resilience Act zieht die EU die Compliance-Schrauben für Cybersicherheit deutlich an.

Der CRA verlangt eine verbesserte Produkt-Cybersecurity. Diese gilt sowohl vor und bei der Bereitstellung auf dem Markt als auch während der erwarteten Nutzungsdauer, etwa durch die Behebung von Schwachstellen. Besonders am CRA ist seine horizontale Wirkung: Er gilt weitgehend unabhängig von der Produktkategorie für alle Produkte mit digitalem Element von Smartphones über vernetzte Haushaltsgeräte bis hin zu Industrieanlagen.

Auch der AI Act greift in diese Richtung: Für sogenannte Hochrisiko-KI-Systeme schreibt er vor, diese so zu konzipieren und zu entwickeln, dass sie ein angemessenes Maß an Cybersicherheit erreichen und in dieser Hinsicht während ihres gesamten Lebenszyklus beständig funktionieren.

DS-GVO verknüpft Datenschutz mit Cyberabwehr

Die DS-GVO (Datenschutz-Grundverordnung) ist zwar kein spezielles Cybersecurity-Recht, enthält aber Anforderungen, die für Compliance im Bereich Cybersecurity mitbedacht werden müssen. So wird verlangt, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu implementieren und damit zur Cybersecurity. Außerdem verpflichtet die DS-GVO zur Meldung und gegebenenfalls Betroffenenbenachrichtigung im Fall einer Verletzung des Schutzes personenbezogener Daten, wie sie oftmals bei einem Cybersecurity-Vorfall eintritt.

Pflicht zur Unterstützung von Public Bodies unter anderem bei einem Cybersecurity-Vorfall

Der Data Act verpflichtet, neben vielen anderen Anforderungen und verkürzt, Dateninhaber dazu, Daten bereitzustellen, wenn ein Public Body nachweist, dass im Hinblick auf die Erfüllung seiner rechtlichen Aufgaben im öffentlichen Interesse die außergewöhnliche Notwendigkeit der Nutzung dieser Daten besteht. Die außergewöhnliche Notwendigkeit kann bei „öffentlichem Notstand“ vorliegend, der auch auf einem schweren Cyber-
security-Vorfall beruhen kann.

Resilienz verlangt mehr als nur Cyberabwehr

Die Anforderungen an kritische Infrastrukturen reichen heute weit über klassische IT-Sicherheit hinaus. Mit der Critical Entities Resilience Directive (CER) verpflichtet die EU die Mitgliedstaaten dazu, kritische Einrichtungen zur Analyse von Risiken (wie unter anderem Naturkatastrophen, hybriden Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten, krimineller Unterwanderung und Sabotage), Ergreifung von Maßnahmen zur Gewährleistung ihrer Resilienz und Meldung von Sicherheitsvorfällen, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten, zu verpflichten.

Vor dem Hintergrund einer wachsenden regulatorischen Dichte, etwa durch NIS2, AI Act,
Data Act oder CER, und zum Teil sehr kurzer Meldefristen sollten Unternehmen frühzeitig prüfen, welche gesetzlichen Vorgaben auf sie zutreffen. Darauf aufbauend sind robuste, resiliente Prozesse zu entwickeln, um auch in Ausnahmesituationen handlungsfähig zu bleiben.

Denn die rechtlichen Folgen von Cybersecurity-Vorfällen können gravierend sein: Ermittlungs- und Gerichtsverfahren, Bußgelder, personelle Konsequenzen, Reputationsverluste oder die persönliche Haftung von Führungskräften. Die NIS2-Richtlinie sieht beispielsweise eine klare Verantwortung der Unternehmensleitung wesentlicher und wichtiger Einrichtungen vor: Leitungsorgane müssen „die von diesen Einrichtungen zur Einhaltung von Artikel 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersecurity billigen, ihre Umsetzung überwachen und [können] für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen verantwortlich gemacht werden“.

Proaktive Resilienz ist somit nicht nur technisch geboten, sondern auch rechtlich ratsam. Unternehmen, die Cybersecurity strategisch mitdenken und rechtlich wie organisatorisch vorbereiten, stärken nicht nur ihre Resilienz, sondern reduzieren auch Haftungsrisiken.
Unternehmen, die Cybersecurity strategisch mitdenken und rechtlich wie organisatorisch vorbereiten, stärken nicht nur ihre Resilienz, sondern reduzieren auch Haftungsrisiken.

Florian Tannen und Lennart Reich