Cybersicherheit – Umsetzung war bis spätestens 30.06.2025 (inoffizielle Frist) erforderlich

Veröffentlicht am:

28.07.2025

Bereits in unserem Newsletter vom Frühjahr 2025 hatten wir ausführlich auf die gesetzlichen Anforderungen zur Cybersicherheit und die Frist zur Umsetzung hingewiesen. Dennoch erreichen uns weiterhin Rückmeldungen von Unternehmen, die bislang keine konkreten Maßnahmen ergriffen haben.
Wichtig: Die (inoffizielle) Umsetzungsfrist des LBA ist mit dem 30.06.2025 abgelaufen.
Ab diesem Zeitpunkt müssen in jedem Unternehmen:
  • die Anforderungen nach Kapitel 1.7 der DVO (EU) 2015/1998 umgesetzt sein,
  • und ein unternehmensspezifisches Cybersicherheitsprogramm vorhanden sein.
Auch wenn keine unmittelbare Einreichungspflicht gegenüber dem LBA besteht, gilt:

Das Programm muss im Unternehmen vorliegen und auf Nachfrage jederzeit vorzeigbar sein – z. B. im Rahmen von Inspektionen.
Inzwischen ist es gängige Praxis, dass das LBA bei fehlender Umsetzung oder Dokumentation einen Maßnahmeplan anfordert.

Was bedeutet das für Ihr Unternehmen?
Wer bis zum 30.06.2025 keine Umsetzung vorgenommen oder dokumentiert hat, sollte dies umgehend nachholen.
Das LBA kann bei Feststellung eines Verstoßes die Zulassung aussetzen oder weitere Schritte einleiten.
Der Maßnahmeplan ist nur ein befristeter Ausweg – nicht als Dauerlösung vorgesehen.

Unser Hinweis:
Nutzen Sie die bereitgestellten Hilfestellungen (z. B. unser kommentiertes Musterprogramm) und ziehen Sie Ihre IT-Abteilung oder externe Fachleute hinzu. Auch unsere Onlineschulung nach Kapitel 11.2.8 ist ein geeignetes Instrument zur Sensibilisierung und Qualifizierung Ihrer Mitarbeitenden.