Deutschlands Verwaltung steht vor einer historischen Modernisierungswelle. Der Bundestag hat am Donnerstag zwei zentrale Gesetze für die digitale Zukunft verabschiedet – und setzt Behörden damit unter massiven Handlungsdruck.

Mit dem Data Act-Durchführungsgesetz und dem Daten-Governance-Gesetz schafft die Koalition aus CDU/CSU und SPD den nationalen Rahmen für europäische Datenstandards. Die Bundesnetzagentur wird zur zentralen Aufsichtsbehörde für den Zugang und Austausch von Daten aus vernetzten Geräten. Ziel ist es, Datensilos in der Verwaltung aufzubrechen und faire Nutzungsregeln durchzusetzen. Doch die Digitalwirtschaft befürchtet hohen bürokratischen Aufwand, während Kommunen vor der Mammutaufgabe stehen, ihre Systeme anzupassen.

Anzeige

Angesichts neuer nationaler Datenstandards und strengerer Regulierungen müssen Unternehmen ihre IT-Sicherheit jetzt proaktiv stärken. Dieser kostenlose Leitfaden zeigt, wie Sie aktuelle Trends und gesetzliche Anforderungen ohne hohe Investitionen umsetzen. Experten-Report für IT-Sicherheit kostenlos herunterladen

NIS2: Frist verstrichen, Compliance-Hetze beginnt

Während die neuen Data Acts die Zukunft gestalten, kämpfen viele Behörden bereits mit der Gegenwart. Das seit Dezember 2025 geltende NIS2-Umsetzungsgesetz hat den Kreis der regulierten Stellen auf rund 30.000 Organisationen ausgeweitet. Die verbindliche Registrierungsfrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) lief bereits am 6. März 2026 ab.

Die Bilanz ist durchmischt: Während Bundes- und Landesbehörden meist registriert sind, hinken viele Kommunen hinterher. Das Gesetz kennt keine Schonfrist – Behörden haften seit Inkrafttreten für Sicherheitslücken. Besonders wichtige Einrichtungen müssen sich bis Ende 2028 auf umfassende Sicherheitsaudits vorbereiten. Der Druck, funktionierende Informationssicherheits-Managementsysteme (ISMS) einzuführen, war nie höher.

Aktive Cyberabwehr: Bundesregierung will zurückschlagen dürfen

Die Sicherheitsdebatte hat eine neue Dimension erreicht. Das Bundesinnenministerium legte am 18. März einen Entwurf für ein „Aktives Cyberabwehr“-Gesetz vor. Dieser würde BKA, Bundespolizei und BSI erlauben, gegen Angreifer vorzugehen – bis hin zur Störung ausländischer Server-Infrastrukturen.

Hintergrund ist die eskalierende Bedrohungslage. Der aktuelle BSI-Lagebericht zeigt: Fast die Hälfte aller schweren Cyberangriffe zielt auf den öffentlichen Sektor. Die Regierung will die Schwelle für staatliche Gegenmaßnahmen senken, um kritische Infrastruktur zu schützen. Doch der Plan ist umstritten: Wo enden die rechtlichen Grenzen solcher digitalen Gegenschläge? Droht eine gefährliche Eskalation im Cyberraum?

Anzeige

Während die Politik über aktive Abwehr diskutiert, hinkt die interne Absicherung oft noch hinterher. Erfahren Sie in diesem kostenlosen E-Book, welche Cyber-Security-Strategien mittelständische Unternehmen und Organisationen jetzt wirklich schützen. Effektive Schutzstrategien im Experten-Report entdecken

BSI im Wandel: Vom Berater zum mächtigen Regulierer

Die Rolle des BSI wandelt sich grundlegend. Die Behörde entwickelt sich vom reinen Berater zum operativen Zentrum der IT-Sicherheit. Kernstück ist der Aufbau des „Cyber-Dome“, eines nationalen Frühwarn- und Abwehrsystems für Echtzeit-Monitoring.

Gleichzeitig treibt das BSI „Security by Design“ und „Security by Default als verbindliche Standards für Verwaltungssoftware voran. Das Ziel: Die riesige Angriffsfläche durch ungepatchte Systeme und veraltete Software reduzieren. Noch immer sind Tausende Server in Schulen, Krankenhäusern und Ämtern verwundbar. Die neuen Gesetze erzwingen nun einen verbindlichen Modernisierungszyklus – das Risiko veralteter IT ist schlicht nicht mehr tragbar.

Digitale Souveränität vs. Überforderung der Kommunen

Die Gesetzesflut markiert einen fundamentalen Wandel hin zu digitaler Souveränität. Klare Datenregeln und robuste Sicherheitsstandards sollen das Vertrauen für Projekte wie das Onlinezugangsgesetz 2.0 schaffen. Doch die Regulierungstempo überfordert viele Kommunen.

Während Bundesbehörden Ressourcen für komplexe ISMS haben, fehlen kleineren Verwaltungen oft Mittel und Expertise. Experten fordern deshalb mehr Bundesunterstützung und gemeinsame Dienstleistungszentren, die standardisierte, konforme IT-Umgebungen bereitstellen. Sonst droht eine digitale Spaltung zwischen gut ausgestatteten Bundesbehörden und abgehängten Kommunen.

Countdown zur EUDI-Wallet: Der nächste Großumbau steht bevor

Bis 2027 muss die nächste Großbaustelle bewältigt werden: die Einführung der Europäischen Digitalen Identität (EUDI-Wallet). Die diese Woche beschlossenen Gesetze, besonders das Daten-Governance-Gesetz, bilden dafür die rechtliche Grundlage.

In den kommenden Monaten wird das BSI technische Richtlinien für die neuen Data Acts veröffentlichen. Gleichzeitig muss die Verwaltung die parlamentarische Debatte um das Aktive Cyberabwehr-Gesetz verfolgen. In einer Welt, in der KI-gestützte Angriffswerkzeuge die Bedrohungslage ständig verschärfen, wird die Fähigkeit zu „kontinuierlicher Compliance“ zum entscheidenden Maßstab für die Widerstandsfähigkeit des digitalen Staates.