Cyberdome Deutschland: Nationale Cyberabwehr im Kontext der NIS2-Richtlinie
Das Bundesinnenministerium (BMI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeln mit dem Programm Cyberdome Deutschland eine neue nationale Struktur zur Erkennung und Abwehr von Cyberangriffen. Die Initiative ist eine strategische Antwort auf die gestiegene Bedrohungslage und steht in engem Zusammenhang mit den Anforderungen der europäischen NIS2-Richtlinie, deren nationales Umsetzungsgesetz am 6. Dezember 2025 in Kraft getreten ist.
Das Programm: Ziele und Struktur des Cyberdome
Der Cyberdome Deutschland, basierend auf einem Kabinettsbeschluss vom August 2025, zielt auf den Aufbau einer zentralisierten und hochautomatisierten Abwehrstruktur ab. Das Programm stützt sich auf drei Säulen:
- Detektionsnetzwerk: Durch den Ausbau von Sensorik in öffentlichen Netzen und bei Betreibern kritischer Infrastrukturen (KRITIS) soll ein präzises und aktuelles Lagebild der Bedrohungssituation in Deutschland entstehen.
- Analyseverbund: In dieser zentralen Komponente werden die gesammelten Daten zusammengeführt, analysiert und mit Bedrohungsinformationen angereichert, um Angriffsmuster zu erkennen.
- Offenes Ökosystem: Ein automatisierter Austausch von Schutzmaßnahmen und Informationen zwischen staatlichen Stellen, der Wirtschaft und IT-Dienstleistern soll eine schnelle, koordinierte Reaktion auf Sicherheitsvorfälle ermöglichen.
Diese Struktur soll die digitale Resilienz Deutschlands systematisch stärken.
Verbindung zur NIS2-Richtlinie und zum rechtlichen Rahmen
Die Initiative ist eng mit der NIS2-Richtlinie (Directive (EU) 2022/2555) verknüpft. Diese verpflichtet Unternehmen in 18 Sektoren zur Umsetzung umfassender Risikomanagementmaßnahmen und zur Meldung von Sicherheitsvorfällen. Deutschland hat die EU-Transpositionsfrist (17. Oktober 2024) zunächst versäumt, woraufhin die EU-Kommission ein Vertragsverletzungsverfahren einleitete und am 7. Mai 2025 eine begründete Stellungnahme übermittelte. Das NIS-2-Umsetzungsgesetz (NIS-2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten und hat das BSI-Gesetz umfassend novelliert.
Damit gelten die Pflichten der Richtlinie für betroffene Unternehmen in Deutschland seit dem 6. Dezember 2025 unmittelbar und ohne Übergangsfrist. Dies betrifft mittlere und große Unternehmen (ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz) in 18 kritischen und wichtigen Sektoren. Bestimmte Einrichtungen wie DNS-Anbieter, TLD-Registries oder KRITIS-Betreiber fallen unabhängig von ihrer Größe unter die Regelung. Artikel 21 der NIS2-Richtlinie fordert unter anderem Maßnahmen zur Sicherheit der Lieferkette und regelmäßige Sicherheitsüberprüfungen. Bei Verstößen drohen für wesentliche Einrichtungen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.
Für DACH-Unternehmen bedeutet das Inkrafttreten des NIS-2UmsuCG konkrete und unmittelbare Handlungspflichten: Betroffene Einrichtungen mussten sich bis zum 6. März 2026 beim BSI registrieren (§ 33 BSIG). Sicherheitsvorfälle sind dem BSI als zuständiger Aufsichtsbehörde unverzüglich zu melden — bei Datenpannen mit Personenbezug greift zusätzlich die 72-Stunden-Meldepflicht nach Artikel 33 DSGVO. KRITIS-Betreiber unterliegen darüber hinaus den erhöhten Anforderungen des novellierten BSIG.
Zeitplan und nächste Schritte
Die Umsetzung des Cyberdome erfolgt schrittweise. Im März 2026 startete das BSI eine Kooperation mit der govdigital eG und IT-Dienstleistern aus zehn Bundesländern, um die Sensorik bei Ländern und Kommunen auszubauen. Ein detailliertes Realisierungskonzept für das Gesamtprogramm soll bis Ende 2026 vorliegen und bedarf eines Kabinettsbeschlusses.
Parallel arbeitet das BMI an der Fortschreibung der nationalen Cybersicherheitsstrategie, die voraussichtlich in der zweiten Jahreshälfte 2026 veröffentlicht wird. Laut dem Kabinettsbeschluss vom August 2025 war zudem geplant, die rechtliche Grundlage für aktive Abwehrmaßnahmen — wie etwa Eingriffe in feindliche Infrastrukturen im Ausland — in einem Cyberabwehrstärkungsgesetz zu schaffen; der aktuelle parlamentarische Stand dieses Vorhabens ist offen.
Wie LocateRisk bei der NIS2-Compliance unterstützt
Die regulatorischen Anforderungen des NIS-2UmsuCG erfordern von Unternehmen einen nachweisbaren und systematischen Ansatz für ihr Cybersicherheitsmanagement. Eine lückenlose Inventarisierung der externen Angriffsfläche und eine kontinuierliche Bewertung der Risiken in der Lieferkette sind zentrale Bestandteile der Compliance.
LocateRisk unterstützt Unternehmen dabei, die Vorgaben aus Artikel 21 NIS2 zu erfüllen:
- External Attack Surface Management (EASM): Die Plattform liefert ein kontinuierliches und automatisiertes Inventar aller extern erreichbaren IT-Assets — einschließlich vergessener Subdomains, unkatalogisierter Cloud-Ressourcen und exponierter Schnittstellen. Diese vollständige Transparenz ist die Grundlage für jedes Risikomanagement und für die Nachweispflicht gegenüber Prüfern und dem BSI als Aufsichtsbehörde.
- Vendor Risk Management (VRM): Die Lösung unterstützt bei den Anforderungen an die Sicherheit der Lieferkette durch ein kontinuierliches Monitoring von Drittanbietern. So können Risiken bei Dienstleistern und Partnern frühzeitig identifiziert und bewertet werden, bevor sie zu einem meldepflichtigen Vorfall führen.
Als Anbieter mit Entwicklung und Hosting in zertifizierten deutschen Rechenzentren ist LocateRisk auf die Anforderungen an Datenschutz und digitale Souveränität ausgerichtet. Die Plattform ist nach eigenen Angaben auf DSGVO- und BSI IT-Grundschutz-Anforderungen ausgerichtet und nach ISO 27001 zertifiziert; das Hosting in deutschen Rechenzentren reduziert zudem das Risiko eines Zugriffs durch außereuropäische Behörden im Rahmen des US Cloud Act.
Quellen und weitere Infos
Kennen Sie Ihre externe Angriffsfläche?
Die neuen regulatorischen Anforderungen machen eine vollständige Sichtbarkeit Ihrer externen IT-Systeme und der Ihrer Dienstleister zu einer Notwendigkeit. Wissen Sie, welche Ihrer Systeme aus dem Internet erreichbar sind und welche Risiken davon ausgehen?
Kostenlosen Sicherheits-Check anfordern
—
Hinweis in eigener Sache: Dieser Beitrag gibt die Rechtslage zum Zeitpunkt der Veröffentlichung wieder. Da IT-Recht und Compliance-Vorgaben hochkomplex sind, dient dieser Text lediglich als erste Orientierungshilfe und stellt keine rechtsverbindliche Beratung dar. Für die Umsetzung in Ihrem Unternehmen empfehlen wir, im Zweifel juristischen Rat einzuholen. Eine Haftung für die Inhalte wird ausgeschlossen.
Häufige Fragen
Das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten. Die EU-Transpositionsfrist lief bereits am 17. Oktober 2024 ab; Deutschland hatte diese zunächst versäumt, was ein Vertragsverletzungsverfahren der EU-Kommission ausgelöst hatte.
Betroffen sind mittlere und große Unternehmen (ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz) in 18 Sektoren, darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur und öffentliche Verwaltung. Bestimmte Einrichtungen wie DNS-Anbieter, TLD-Registries oder Betreiber kritischer Infrastrukturen (KRITIS) fallen unabhängig von ihrer Größe unter die Regelung. Für wesentliche Einrichtungen gilt proaktive Aufsicht mit Bußgeldern bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes; für wichtige Einrichtungen reaktive Aufsicht mit Bußgeldern bis zu 7 Mio. Euro oder 1,4 %.
Derzeit ist der Cyberdome als Detektions- und Analyseverbund konzipiert. Laut dem Kabinettsbeschluss vom August 2025 war geplant, mit einem Cyberabwehrstärkungsgesetz künftig auch die Rechtsgrundlage für aktive Abwehrmaßnahmen zu schaffen; der parlamentarische Stand dieses Vorhabens ist offen. Solche Eingriffe wären streng reguliert und auf die Abwehr schwerwiegender Bedrohungen beschränkt.