Jetzt registrieren!
Passwort zurücksetzen

Aktuelles aus dem Bereich

Energiewirtschaft, Recht & Politik / Europa & Internationales / Aktuelles aus dem Bereich

Neues IT-Sicherheitsgesetz vom Bundestag beschlossen

09.12.2025
Der Bundestag hat am 13. November 2025 ein neues IT-Sicherheitsgesetz beschlossen. Das Gesetz wird alsbald in Kraft treten. Die neuen Regelungen betreffen verstärkt auch Fernwärmeversorger bezüglich Vorgaben der Cybersicherheit.

Der Bundestag hat am 13. November 2025 ein neues IT-Sicherheitsgesetz beschlossen. Auch der Bundesrat billigte das Gesetz. Zentraler Bestandteil ist das neue „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen“ (BSIG). Das Gesetz dient zur Umsetzung der europäischen Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) in deutsches Recht. Rund 29.500 Unternehmen in Deutschland sollen vom BSIG erfasst werden.

Die AGFW-Geschäftsstelle sieht einen signifikanten Aufwand auf die Fernwärmebranche zukommen. Unter den Anwendungsbereich des Gesetzes fallen „wichtige“ und „besonders wichtige“ Einrichtungen der Sektoren nach Anlage 1, darunter auch die Fernwärme. § 28 BSIG definiert die Schwellenwerte. Als wichtige Einrichtungen gelten Unternehmen der betroffenen Sektoren ab 50 Mitarbeitenden oder ab einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mio. € Euro. Besonders wichtige Einrichtungen sind Unternehmen mit mindestens 250 Mitarbeitenden oder einem Jahresumsatz von 50 Mio. € und einer Jahresbilanzsumme von 43 Mio. €. Eine Vielzahl der Stadtwerke und Wärmeversorger fallen somit in den Geltungsbereich des neuen Gesetzes.

Sollte Ihr Unternehmen in den Anwendungsbereich fallen (siehe hierzu NIS2-Betroffenheitsprüfung des BSI), müssen nach § 30 BSIG eine Reihe an IT-Risikomanagementmaßnahmen zur Erhöhung der Cybersicherheit erfüllt werden. Diese müssen nach „Stand der Technik“ und Berücksichtigung einschlägiger IT-Normen umgesetzt werden. Sie umfassen unter anderem Vorgaben hinsichtlich IT-Risikoanalysen, Bewältigung von Sicherheitsvorfällen, Backup-Management, Sicherheit der Lieferkette, Sicherheitsmaßnahmen bei Erwerb oder Entwicklung von IT-Systemen, kryptografische Verfahren, grundlegende Schulungen des Personals, Zugriffskontrollen und Multi-Faktor-Authentifizierungen.

Für wichtige und besonders wichtige Einrichtungen gilt innerhalb von drei Monaten nach Inkrafttreten des Gesetzes eine Registrierungspflicht (§ 33 BSIG) beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese gilt es für Versorger oberhalb der Schwellenwerte nun zu beachten, sobald das BSIG in Kraft tritt und das BSI die Registrierung ermöglicht. Bei erheblichen IT-Sicherheitsvorfällen gilt eine dreistufige Meldepflicht (§ 32 BSIG) beim BSI innerhalb von 24 Stunden, 72 Stunden und einem Monat.

Das neue Gesetz wird alsbald in Kraft treten, voraussichtlich zum Start des Jahres 2026. 

Siehe auch 

Weitere Artikel mit folgenden Schlagworten anzeigen:
Ihre Ansprechpartner
Raphael Schenkel M.Sc.
Europa
+49 69 6304-219
+49 69 6304-458
Sebastian Grimm M.Sc.
Forschung & Entwicklung
+49 69 6304-200
+49 69 6304-455
Thorsten Mustroph B.Sc.
Projektleiter Organisations- und Arbeitssicherheit
+49 69 6304-287
+49 69 6304-455
Paul Schilling M.A.
Referent Energiepolitik
+49 30 27909- 777
+49 69 6304-455
ZurückEuropa & Internationales