Rechtsrahmen · NIS2 · BSIG · CER · KRITIS-Dachgesetz

Was die Gesetze verlangen — und was das für Ihre Kommunikation bedeutet.

NIS2, BSI-Gesetz und KRITIS-Dachgesetz im Kontext belastbarer Kommunikationsfähigkeit. Keine Rechtsberatung — eine praktische Einordnung.

Wichtiger Hinweis: keine Rechtsberatung. Die Inhalte dieser Seite dienen ausschließlich allgemeinen Informationszwecken und ersetzen keine individuelle rechtliche Prüfung. Gesetzeslagen, Schwellenwerte, Fristen und Paragraphennummern können sich ändern. Lassen Sie Ihre konkrete Betroffenheit durch qualifizierte Rechtsberatung oder Compliance-Experten prüfen. Stand der Inhalte: Juli 2026.
Der Kern

Meldepflichtig — auch wenn die Meldewege selbst ausfallen

Die Gesetze schreiben kein bestimmtes Kommunikationssystem vor. Sie verlangen aber Melde-, Eskalations- und Krisenfähigkeit — und zwar auch in Lagen, in denen reguläre Kommunikationswege gestört sind. Genau dort wird Kommunikation vom Werkzeug zur Pflicht-Voraussetzung.

Das BSI-Gesetz sieht für erhebliche Sicherheitsvorfälle eine gestufte Meldung vor: Frühwarnung innerhalb von 24 Stunden ab Kenntnis, Vorfallmeldung innerhalb von 72 Stunden, Abschlussmeldung spätestens einen Monat später (§ 32 BSIG, Umsetzung von Art. 23 NIS2). Wer diese Fristen in einem Szenario einhalten muss, in dem der Vorfall selbst Telefonie und E-Mail lahmlegt, braucht einen Meldeweg außerhalb der betroffenen Infrastruktur.

NIS2 und BSI-Gesetz: Cybersicherheit und Meldefähigkeit

Das NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten. Es erfasst nach BSI-Schätzung insgesamt rund 29.500 Einrichtungen in 18 Sektoren — ein Vielfaches des bisher regulierten Kreises — und verpflichtet besonders wichtige und wichtige Einrichtungen unter anderem zu Risikomanagement, Vorfallbehandlung, Business Continuity und Krisenmanagement, einschließlich der Sicherheit von Sprach-, Video- und Textkommunikation und gesicherter Notfallkommunikationssysteme (§ 30 Abs. 2 BSIG). Die Geschäftsleitung muss die Maßnahmen billigen, ihre Umsetzung überwachen und sich schulen lassen (§ 38 BSIG). Bei Verstößen drohen besonders wichtigen Einrichtungen Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist (§ 65 BSIG).

KRITIS-Dachgesetz: Resilienz kritischer Dienstleistungen

Das KRITIS-Dachgesetz (Umsetzung der CER-Richtlinie) ist am 17. März 2026 in Kraft getreten (verkündet am 16.03.2026, BGBl. 2026 I Nr. 66) und richtet den Blick auf physische, technische und organisatorische Resilienz kritischer Anlagen. Betreiber müssen Risikoanalysen nach dem All-Gefahren-Ansatz erstellen, geeignete Resilienzmaßnahmen ergreifen und in einem Resilienzplan darstellen sowie erhebliche Vorfälle binnen 24 Stunden melden (§ 13 KRITISDachG). Regelmäßige, dokumentierte Übungen sind in der Prüf- und Standardpraxis (u. a. BSI-Standard 200-4) fester Bestandteil eines belastbaren Notfallmanagements. § 20 nimmt Geschäftsleitungen ausdrücklich in die Umsetzungs- und Überwachungspflicht; § 24 regelt Bußgelder bis 1 Mio. Euro.

Welche Anlagen als kritisch gelten, legt eine noch ausstehende Rechtsverordnung (KRITIS-VO) fest. Betreiber müssen sich nach ihrer Identifizierung auf der gemeinsamen Plattform von BBK und BSI registrieren; die Registrierungsfrist ist an das Inkrafttreten der KRITIS-VO gekoppelt (Stand: Juli 2026). Bis dahin ist die konkrete Betroffenheit unter dem KRITIS-Dachgesetz nicht abschließend bestimmbar — ein Grund mehr, die eigene Kommunikationsresilienz nicht von der Einstufung abhängig zu machen.

Von der Pflicht zum Konzept: vier Ebenen statt eines zweiten Anbieters

Anforderungen an gesicherte Notfallkommunikation finden sich sowohl im Gesetz (§ 30 Abs. 2 BSIG) als auch in der Prüfpraxis, etwa im BSI-IT-Grundschutz und in branchenspezifischen Sicherheitsstandards. Ein zweiter Vertrag beim zweiten Mobilfunkanbieter wirkt auf dem Papier wie Redundanz — tatsächlich teilen beide Anbieter Stromversorgung der Masten, Backbone und Überlastungsverhalten. Belastbare Redundanz entsteht durch technologische Vielfalt — unterschiedliche Übertragungsprinzipien, die in unterschiedlichen Szenarien versagen. Genau das leistet die Staffelung des 4-Ebenen-Konzepts; die Szenario-Matrix macht die Abdeckung je Ausfallszenario transparent — auch als Argumentationsgrundlage gegenüber Prüfern und Aufsicht.

Häufige Fragen zum Rechtsrahmen

Nein. Die Regelwerke definieren Schutzziele, organisatorische Pflichten, Meldeprozesse und Risikomanagementanforderungen — kein konkretes System. Welche technischen Maßnahmen angemessen sind, ergibt sich aus Ihrer Betroffenheit und Risikoanalyse. Deshalb beginnt bei uns jede Empfehlung mit der Analyse, nicht mit dem Produkt.

Das hängt vom Risikoprofil ab. Mobilfunk teilt zentrale Abhängigkeiten mit anderen Systemen: Stromversorgung der Masten, Backbone, Netzauslastung. Bei flächigen Stromausfällen oder Angriffen auf zentrale Komponenten kann der zweite Anbieter dieselbe Schwäche haben wie der erste. Echte Redundanz entsteht durch technologische Vielfalt.

Zusätzliche Kommunikationswege außerhalb der regulären IT- und Kommunikationsinfrastruktur — damit bei Störung oder Kompromittierung der Primärsysteme eine unabhängige Alternative bereitsteht. Die Ebenen 2 bis 4 des Konzepts sind gestaffelte Out-of-Band-Wege mit unterschiedlichem Unabhängigkeitsgrad.

Das BSI-Gesetz erfasst — grob vereinfacht — Einrichtungen bestimmter Art in 18 Sektoren ab 50 Mitarbeitenden oder mit mehr als 10 Mio. € Jahresumsatz und Bilanzsumme; einzelne Einrichtungsarten sind unabhängig von der Größe erfasst (§ 28 BSIG). Das KRITIS-Dachgesetz erfasst Betreiber kritischer Anlagen; als Regelwert gilt die Versorgung von mindestens 500.000 Personen — die verbindlichen Schwellenwerte legt eine noch ausstehende Rechtsverordnung (KRITIS-VO) fest. Verbindlich klärt Ihre Betroffenheit eine juristische Prüfung. Die Ersteinordnung nehmen wir gern gemeinsam vor.

Weiterführende Quellen

Bundesgesetzblatt

Maßgebliche Quelle für finale Gesetzesfassungen. → recht.bund.de

BBK

KRITIS, Bevölkerungsschutz und Resilienz. → bbk.bund.de

BSI

NIS2, Cybersicherheit, regulierte Unternehmen. → bsi.bund.de

EUR-Lex

Amtliche Texte der NIS2- und CER-Richtlinie. → eur-lex.europa.eu

Sind Sie betroffen — und wie gut sind Ihre Meldewege?

Branche, Größe, Standorte: Wir ordnen Ihre Betroffenheit ein und prüfen, ob Ihre Kommunikationswege die Pflichten auch im Ausfallszenario tragen. 30 Minuten, ehrliches Ergebnis.