Cybersecurity: China macht ernst - Neue Vorgaben machen deutschem Mittelstand zu schaffen

Im Überblick:

• Am 1. Januar 2026 tritt die erste umfassende Novelle des chinesischen Cybersicherheitsgesetzes (CSL) seit 2017 in Kraft.
• Die Novelle verschärft Compliance-Anforderungen, erhöht Bußgelder bis zu 1,2 Mio. Euro und verlangt Meldungen von Cybervorfällen innerhalb weniger Stunden.
• Neue Pflichten umfassen Datenlokalisierung, strengere Datenschutzmaßnahmen, KI-Governance und erweiterte Kontrolle der Lieferkette.
• Deutsche Unternehmen müssen ihre IT-Sicherheit, Prozesse und Compliance-Programme dringend anpassen, um hohe Strafen und operative Risiken zu vermeiden.
• enthus unterstützt mit einem umfassenden Portfolio, darunter Beratung, technische Lösungen (SIEM, Endpoint Protection, Cloud-Security), Schulungen und Compliance-Audits, um die Umsetzung der neuen Anforderungen zu gewährleisten.

Worum geht es genau?

Die Novelle des Chinesischen Cybersicherheitsgesetzes (CSL), die am 1. Januar 2026 in Kraft trat, markiert einen Wendepunkt für die Cybersicherheit in China und hat weitreichende Auswirkungen auf deutsche Unternehmen, die in China geschäftlich aktiv sind. Die Verschärfung der gesetzlichen Rahmenbedingungen zielt darauf ab, die nationale Cybersicherheit zu stärken, die Kontrolle über kritische Infrastruktur zu erhöhen und die Abhängigkeit von ausländischer Technologie zu reduzieren. Für deutsche Unternehmen bedeutet dies, dass sie sich nicht nur mit neuen rechtlichen Anforderungen konfrontiert sehen, sondern auch mit erheblichen technischen und organisatorischen Herausforderungen, die eine umfassende Anpassung ihrer IT-Sicherheits- und Compliance-Strategien erfordern.

Die Novelle ist die erste grundlegende Überarbeitung des CSL seit 2017 und wurde am 28. Oktober 2025 vom Ständigen Ausschuss des Nationalen Volkskongresses verabschiedet. Sie reagiert auf die zunehmende Bedrohung durch Cyberangriffe, die wachsende Bedeutung von KI-Technologien und die politische Maßgabe, die Datensouveränität Chinas zu sichern. Die Änderungen sind eng mit anderen chinesischen Gesetzen wie dem Datensicherheitsgesetz (DSL), dem Persönlichen Informationsschutzgesetz (PIPL) und der MLPS 2.0-Zertifizierung verknüpft und bilden einen zentralen Pfeiler der chinesischen Cyber- und Datensouveränitätsstrategie.

Hintergrund: Chinas Cyber-Souveränitätsstrategie und die Einordnung der Novelle

Die Novelle des CSL ist Teil eines umfassenden regulatorischen Rahmens, der darauf abzielt, Chinas nationale Sicherheit in der digitalen Sphäre zu gewährleisten. Die chinesische Regierung verfolgt mit der Novelle mehrere politische und wirtschaftliche Ziele:

• Kontrolle kritischer Infrastruktur: Die Novelle verschärft die Anforderungen für Betreiber kritischer Informationsinfrastrukturen (CIIO), die in Sektoren wie Energie, Telekommunikation, Finanzen und öffentliche Dienste tätig sind. Diese Unternehmen müssen nun strengere Sicherheitsmaßnahmen ergreifen, regelmäßige Audits durchführen und mit chinesischen Behörden zusammenarbeiten, um die nationale Sicherheit zu gewährleisten.
• Reduzierung der Abhängigkeit von ausländischer Technologie: Durch die Förderung chinesischer IT-Sicherheitsprodukte und die Verschärfung der Zertifizierungspflichten für Netzwerkausrüstung wird die Nutzung ausländischer Technologien eingeschränkt. Dies dient der Stärkung der heimischen Industrie und der Verringerung von Risiken, die durch ausländische Anbieter entstehen könnten. Im Umkehrschluss bedeutet dies, dass Unternehmen ggf. in widersprüchliche Compliance Anforderungen aus z.B. China, den USA oder auch Europa geraten können. Letztendlich bleibt womöglich keine andere Lösung, als ein vollständig getrennter IT-Betrieb.
• Schutz vor Cyberangriffen und Datenschutz: Die Novelle betont die Bedeutung von Datenschutz und die Verhinderung von Datenlecks, insbesondere bei persönlichen Informationen. Unternehmen müssen robuste Systeme zum Schutz persönlicher Daten implementieren und sicherstellen, dass Datenlokalisierung und Verschlüsselung den gesetzlichen Anforderungen entsprechen.
• Integration von KI-Governance: Erstmals wird KI-Governance explizit im CSL verankert, was die Bedeutung von KI für die nationale Sicherheit und die Notwendigkeit einer ethischen und sicheren Nutzung (aus chinesischer Perspektive) unterstreicht.

Die Novelle steht im Kontext internationaler Trends wie der EU NIS2-Richtlinie oder dem US Cloud Act, wobei China jedoch einen eigenen, streng regulierten Ansatz verfolgt, der die nationale Kontrolle und Souveränität in den Vordergrund stellt. Für ausländische Unternehmen entstehen dadurch Konfliktpotenziale, insbesondere bei der Datenlokalisierung, der Nutzung ausländischer Cloud-Dienste und der Zusammenarbeit mit chinesischen Behörden.

Die zentralen Neuerungen der CSL-Novelle 2026 im Detail

Erweiterter Geltungsbereich und neue Compliance-Pflichten

Die Novelle erweitert den Geltungsbereich des CSL erheblich. Neu fallen auch kleinere ausländische Niederlassungen, Cloud-Dienstleister und Betreiber kritischer Infrastruktur unter die Regelungen. Die Definition von „Netzwerkbetreibern“ wurde ausgeweitet und umfasst nun auch Unternehmen, die interne Netzwerke, Kollaborationsplattformen oder Webpräsenzen betreiben. Die Novelle führt zudem neue Compliance-Verpflichtungen ein, die die Etablierung von Sicherheitsmaßnahmen, die Definition von Zuständigkeiten und die Dokumentation von Cybervorfällen umfassen.

• Schwellenwerte und Branchenfokus: Es gibt keine klaren Schwellenwerte nach Umsatz oder Datenvolumen, jedoch wird die Einhaltung der Vorschriften insbesondere für Unternehmen in den Sektoren FinTech, Gesundheitswesen und Logistik streng überwacht. Die Novelle betont die Bedeutung der Cybersicherheit in der Lieferkette, wodurch sowohl Käufer als auch Lieferanten von Netzwerkausrüstung und Cybersicherheitsprodukten direkt gesetzlich verpflichtet sind, die Vorschriften einzuhalten.
• Meldepflichten und Fristen: Schwerwiegende Cybervorfälle müssen je nach Betreiberstatus innerhalb von 1 bis 4 Stunden erstgemeldet werden. Diese kurzen Fristen stellen eine erhebliche Herausforderung für Unternehmen dar, die ihre Prozesse entsprechend anpassen müssen, um unter Zeitdruck handlungsfähig zu sein.

Datenlokalisierung und Cross-Border-Datentransfer

Die Novelle bestätigt und verschärft die Anforderungen an die Datenlokalisierung. Betreiber kritischer Informationsinfrastrukturen müssen wichtige Daten in China speichern. Für den Transfer von Daten ins Ausland ist eine Sicherheitsbewertung durch die Aufsichtsbehörde verpflichtend. Andere Mechanismen wie Standardvertragsklauseln (SCCs) oder Zertifizierungen durch Drittparteien sind nicht mehr ausreichend.

• Neues Bewilligungsverfahren: Die Sicherheitsbewertung muss von der Cyberspace Administration of China (CAC) geleitet werden und umfasst eine detaillierte Prüfung der Datenkategorien, der Empfänger im Ausland und der technischen Sicherheitsmaßnahmen. Ausnahmen für bestimmte Datenkategorien oder Länder sind nicht explizit geregelt, was die Compliance für internationale Unternehmen erschwert.
• Auswirkungen auf Cloud-Dienste: Die Nutzung ausländischer Cloud-Dienste wie AWS oder Microsoft Azure wird durch die Novelle eingeschränkt, da Datenlokalisierung und Sicherheitsbewertungen verpflichtend sind. Unternehmen müssen daher ihre Cloud-Strategien überprüfen und gegebenenfalls auf chinesische Anbieter ausweichen.

Kritische Informationsinfrastruktur (CIIO) und zusätzliche Pflichten

Die Novelle definiert kritische Sektoren wie Energie, Telekommunikation, öffentliche Dienste und Finanzen als CIIO und legt zusätzliche Pflichten für diese Betreiber fest:

• Regelmäßige Sicherheitsaudits und Vor-Ort-Inspektionen: CIIO müssen regelmäßige Sicherheitsaudits durchführen lassen und sich auf Vor-Ort-Inspektionen durch Behörden einstellen. Die Nutzung zertifizierter Hardware und Software wird verpflichtend.
• Technische Maßnahmen: Dazu gehören die Implementierung von Verschlüsselungsstandards, Zugangskontrollen und die Nutzung chinesischer IT-Sicherheitsprodukte, die den „Secure and Controllable“-Initiativen entsprechen. Die Novelle verlangt zudem die Dokumentation von Sicherheitsvorfällen und die Vorhaltung von Log-Daten für mindestens sechs Monate.

Compliance-Pflichten für ausländische Unternehmen

Die Novelle verschärft die Compliance-Pflichten für ausländische Unternehmen erheblich:

• Neue Meldepflichten: Bei Cybervorfällen oder Datenlecks müssen Unternehmen innerhalb kürzester Fristen melden und nachweisen, dass sie die gesetzlichen Anforderungen erfüllen. Die persönliche Haftung von Führungskräften wird betont, die im Falle von Verstößen mit Bußgeldern bis zu 120.000 Euro rechnen müssen.
• Bußgeldregelungen: Die Novelle erhöht die Bußgelder für Verstöße erheblich. Netzwerkbetreiber können mit bis zu 1,2 Millionen Euro bestraft werden, bei schweren Verstößen sind auch persönliche Strafen für Verantwortliche vorgesehen. Die Behörden können zudem die Abschaltung von Websites, die Einziehung von Gewinnen und die Aberkennung von Lizenzen anordnen.
• Lokalisierte Compliance-Beauftragte: Die Novelle verlangt, dass Unternehmen lokale Verantwortliche in China benennen, die für die Einhaltung der Vorschriften zuständig sind und als Ansprechpartner für Behörden fungieren.

Technische Anforderungen und Zusammenarbeit mit Behörden

• Verschlüsselung und Zugangskontrollen: Unternehmen müssen Verschlüsselungsstandards einhalten und Zugangskontrollen implementieren, um Datenlecks und unbefugten Zugriff zu verhindern. Die Nutzung chinesischer IT-Sicherheitsprodukte wird bevorzugt und teilweise verpflichtend.
• Zusammenarbeit mit Behörden: Unternehmen müssen mit chinesischen Sicherheitsbehörden wie dem Ministry of State Security und dem Public Security Bureau zusammenarbeiten, insbesondere bei der Meldung von Vorfällen und der Bereitstellung von Informationen. Die Novelle verlangt auch die Teilnahme an Cyberübungen und die Unterstützung bei Ermittlungen.

Herausforderungen für deutsche Unternehmen

Die Novelle stellt deutsche Unternehmen vor erhebliche Herausforderungen:

• Rechtliche Unsicherheiten: Die komplexen und teilweise unklaren Vorschriften erfordern eine intensive Auseinandersetzung und mögliche Anpassung der Compliance-Programme. Die kurzen Meldefristen und hohen Strafen erhöhen den Druck auf Unternehmen, ihre Prozesse zu optimieren.
• Technische Hürden: Die Implementierung der geforderten Sicherheitsmaßnahmen, die Datenlokalisierung und die Nutzung chinesischer IT-Produkte erfordern oft erhebliche Investitionen und Anpassungen der IT-Architektur.
• Kulturelle Unterschiede: Die Erwartung einer schnellen Reaktion und die enge Zusammenarbeit mit Behörden sind für viele deutsche Unternehmen ungewohnt und erfordern eine Anpassung der internen Prozesse und eine Sensibilisierung der Mitarbeiter.
• Risikomanagement: Die Novelle verlangt eine interdisziplinäre Vorbereitung, die nicht nur die IT-Sicherheit, sondern auch das Management, die Rechtsabteilung und die Unternehmenskommunikation umfasst. Unternehmen müssen ihre Krisenmanagementpläne überprüfen und anpassen.

Handlungsempfehlungen: Schritt-für-Schritt zur Compliance

Kurzfristige Maßnahmen

• Bestandsaufnahme der betroffenen Daten: Unternehmen sollten eine umfassende Datenklassifizierung durchführen, um wichtige und persönliche Daten zu identifizieren und deren Speicherung und Verarbeitung zu dokumentieren.
• Benennung eines lokalen Verantwortlichen: Es ist dringend erforderlich, einen lokalen Compliance-Beauftragten in China zu benennen, der als Ansprechpartner für Behörden fungiert und die Einhaltung der Vorschriften überwacht.
• Anpassung der Meldeprozesse: Unternehmen müssen ihre Prozesse zur Meldung von Cybervorfällen überprüfen und sicherstellen, dass sie innerhalb der gesetzlichen Fristen handlungsfähig sind.

Mittelfristige Maßnahmen

• Anpassung der IT-Architektur: Implementierung von Verschlüsselung, Zugangskontrollen und Nutzung zertifizierter IT-Sicherheitsprodukte. Anpassung der Cloud-Strategie an die Anforderungen der Datenlokalisierung.
• Schulungen und Awareness-Trainings: Durchführung von Schulungen für Mitarbeiter zu Phishing-Prävention, Umgang mit Behörden und Krisenmanagement.
• Durchführung von Risikobewertungen: Regelmäßige Risikobewertungen und Sicherheitsaudits, um Schwachstellen zu identifizieren und zu beheben.

Langfristige Maßnahmen

• Aufbau einer lokalen Compliance-Abteilung: Etablierung einer lokalen Abteilung, die sich ausschließlich mit der Einhaltung der chinesischen Cybersicherheitsvorschriften beschäftigt.
• Partnerschaften mit chinesischen Sicherheitsanbietern: Kooperation mit chinesischen Anbietern für IT-Sicherheitsprodukte und -dienstleistungen, um die Compliance zu erleichtern. Zugleich empfehlen wir eine strikte Begrenzung dieser Zusammenarbeit auf China und insb. eine gehärtete Trennung aller Netzwerke.
• Regelmäßige Krisensimulationen: Durchführung von Krisensimulationen, um die Handlungsfähigkeit unter Zeitdruck zu testen und zu verbessern.

Wie enthus unterstützt: Lösungsbausteine für die Praxis

enthus bietet umfassende Kompetenzen rund um Dienstleistungen und technische Lösungen, die deutsche Unternehmen bei der Umsetzung der neuen CSL-Anforderungen unterstützen können:

• Cybersecurity-Beratung: Unterstützung bei der Durchführung von Gap-Analysen, Risikobewertungen und der Entwicklung von Compliance-Strategien.
• Technische Lösungen: Bereitstellung von SIEM-Systemen für Echtzeit-Monitoring, Endpoint Protection, Cloud-Security-Lösungen und Verschlüsselungstools für Datentransfers.
• Schulungen und Awareness-Trainings: Schulungen zur Sensibilisierung der Mitarbeiter für Cyberrisiken, Phishing-Prävention und Umgang mit Behörden.
• Compliance-Audits und Zertifizierungen: Begleitung bei der Vorbereitung auf behördliche Audits, Unterstützung bei der MLPS 2.0-Zertifizierung und ISO 27001 mit China-Fokus.
• Managed Detection & Response (MDR): Kontinuierliche Überwachung und Reaktion auf Cybervorfälle, um die Einhaltung der Meldefristen sicherzustellen.
• Incident Response-Unterstützung: Hilfe bei der Entwicklung und Implementierung von Incident-Response-Plänen und Playbooks, die auf die spezifischen Anforderungen der Novelle zugeschnitten sind.

Fazit und Ausblick

Die Novelle des Chinesischen Cybersicherheitsgesetzes 2026 stellt deutsche Unternehmen vor erhebliche Herausforderungen, die eine umfassende Anpassung ihrer IT-Sicherheits- und Compliance-Strategien erfordern. Die Verschärfung der gesetzlichen Anforderungen, die kurzen Meldefristen und die hohen Strafen erhöhen den Druck auf Unternehmen, ihre Prozesse zu optimieren und ihre technische Infrastruktur anzupassen.

Die Novelle ist ein klares Signal der chinesischen Regierung, die nationale Cybersicherheit zu stärken und die Kontrolle über kritische Infrastruktur auszubauen. Deutsche Unternehmen müssen diese Anforderungen ernst nehmen und proaktiv Maßnahmen ergreifen, um die Compliance sicherzustellen und operative Risiken zu minimieren.

Dafür bieten wir mit passenden Beratungsleistungen, technischen Lösungen und Schulungen eine wertvolle Unterstützung für Unternehmen, die sich auf die neuen Anforderungen vorbereiten und diese umsetzen müssen. Durch die Nutzung dieser Lösungsbausteine können Unternehmen nicht nur die Compliance sicherstellen, sondern auch ihre IT-Sicherheit nachhaltig stärken und sich auf die Herausforderungen des chinesischen Marktes vorbereiten.