China hat eine umfassende Überarbeitung seines Cybersicherheitsgesetzes beschlossen, die seit dem 1. Januar 2026 gilt. Die Änderungen sind die größte Anpassung seit der Einführung des Gesetzes im Jahr 2017 und verändern spürbar, wie Unternehmen mit Cyber Vorfällen, Meldungen an Behörden und Compliance-Risiken umgehen müssen.
Im Zentrum des neuen Rahmens stehen Tempo und Verantwortlichkeit. Incident Response wird nicht mehr in Tagen gemessen – in mehreren Fällen erwarten die Behörden nun eine Meldung innerhalb von Minuten nach der Erkennung.
Meldezeiten schrumpfen drastisch
Die unmittelbare operative Änderung betrifft die neuen Meldepflichten für Cyber Sicherheitsvorfälle. Betreiber kritischer Informationsinfrastruktur und in manchen Fällen auch allgemeine Netzbetreiber müssen relevante Vorfälle innerhalb extrem kurzer Zeitfenster an die Behörden melden.
Je nach Schweregrad ist eine erste Meldung innerhalb von vier Stunden erforderlich – oder sogar innerhalb von nur 60 Minuten. Diese Vorgaben werden durch die Administrative Measures for National Cybersecurity Incident Reporting gestützt, die am 1. November 2025 in Kraft getreten sind und die Melde-Regeln in einem einheitlichen Rahmen bündeln. Zuständig für die Durchsetzung ist die Cyberspace Administration of China (CAC). Vorfälle werden in vier Schweregrade eingeteilt. Als „relativ schwerwiegend“ gelten unter anderem Datenpannen, die mehr als eine Million Personen betreffen, oder finanzielle Schäden von über 5 Millionen RMB.
Solche Vorfälle müssen innerhalb von vier Stunden nach Entdeckung gemeldet werden. Danach folgten eine detaillierte Bewertung innerhalb von 72 Stunden sowie ein Abschlussbericht innerhalb von 30 Tagen. Auf der höchsten Stufe – „besonders schwerwiegend“ – muss innerhalb einer Stunde gemeldet werden. Anschließend sind die Behörden verpflichtet, den Bericht innerhalb von 30 Minuten an nationale Regulierer und den Staatsrat weiterzuleiten. Damit werden Eskalationszeiten auf ein bisher ungewöhnlich straffes Niveau verkürzt.
Höhere Strafen und persönliche Verantwortung
Die überarbeitete Gesetzesfassung erhöht die Strafen bei Verstößen deutlich. Organisationen, die schwerwiegend gegen Vorgaben verstoßen, können mit Geldbußen von bis zu 10 Millionen RMB belegt werden. Direkt verantwortliche Personen, darunter Führungskräfte sowie Verantwortliche für Sicherheit, können mit bis zu 1 Million RMB belangt werden.
Auch das Vorgehen bei der Durchsetzung ändert sich: Regulierungsbehörden müssen nicht mehr zwingend zuerst warnen oder Nachbesserungen anordnen, bevor Sanktionen verhängt werden. Das ermöglicht ein direkteres Durchgreifen und reduziert die Zeit, in der Unternehmen nach einem Vorfall noch „nachbessern“ können, bevor es Konsequenzen gibt.
Explizit angesprochen wird zudem das Lieferkettenrisiko. Betreiber kritischer Infrastruktur können bestraft werden, wenn sie nicht konforme Produkte oder Services einsetzen. In einigen Fällen können die Strafen bis zum Zehnfachen des Beschaffungswerts reichen. Anbieterwahl und Third-Party-Risk-Management bekommen damit unmittelbare regulatorische Bedeutung.
Erweiterte Wirkung über Chinas Grenzen hinaus
Die neue Fassung erweitert auch den extraterritorialen Anwendungsbereich. Frühere Versionen zielten vor allem auf ausländische Aktivitäten, die Chinas kritische Informationsinfrastruktur direkt schädigen. Die geänderte Formulierung dehnt die Zuständigkeit auf ausländisches Verhalten aus, das Chinas Netzwerksicherheit allgemein gefährdet.
Das betrifft multinationale Unternehmen auch bei indirekter Berührung, etwa über Cloud-Dienste, Software-Abhängigkeiten, Managed Service Provider oder Produktions- und Logistiksysteme, die mit China-verbundenen Netzwerken zusammenhängen. In schweren Fällen können Behörden Maßnahmen wie das Einfrieren von Vermögenswerten oder andere Sanktionen anordnen. Für globale Unternehmen können Compliance-Pflichten damit auch aus Architektur- und Betriebsentscheidungen entstehen, die vollständig außerhalb Chinas getroffen wurden.
Künstliche Intelligenz wird Teil des Rechtsrahmens
Zum ersten Mal wird KI im Cybersicherheitsgesetz ausdrücklich erwähnt. Die Änderungen fördern den Einsatz von KI zur Verbesserung des Sicherheitsmanagements, fordern gleichzeitig aber stärkere ethische Aufsicht und Sicherheits-Governance. Damit rücken neben klassischen Angriffsszenarien auch KI-Risiken stärker in den Fokus, die sich zunehmend auf Unternehmen und Verbraucher auswirken.
Konkrete, detaillierte KI-Compliance-Anforderungen definiert das Gesetz bislang noch nicht. Diese werden voraussichtlich über nachgelagerte Vorschriften oder technische Standards folgen. Allein die Aufnahme zeigt jedoch, dass sich Cybersicherheits-Compliance in China zunehmend über klassische Infrastruktursicherheit hinaus in Richtung algorithmischer Risiken und systemischer Verantwortlichkeit erweitert.
Klare Schwellenwerte für besonders schwere Vorfälle
Die Melde-Regeln der CAC definieren außerdem, was als „besonders schwerwiegender“ Vorfall gilt. Beispiele sind Cyber Vorfälle, die Regierungsportale oder große Nachrichtenplattformen länger als 24 Stunden beeinträchtigen – oder bei vollständigem Systemausfall bereits länger als sechs Stunden. Ebenso zählen großflächige Störungen, die essenzielle Dienste für mehr als die Hälfte der Bevölkerung einer Provinz beeinträchtigen oder den Alltag von mehr als 10 Millionen Menschen beeinflussen.
Auch Datenpannen mit personenbezogenen Daten von mehr als 100 Millionen Betroffenen oder finanzielle Schäden von über 100 Millionen RMB fallen in diese Kategorie. Nach Behebung eines Vorfalls müssen Betreiber innerhalb von 30 Tagen einen umfassenden Bericht einreichen, der Ursachen, Reaktionsmaßnahmen, Auswirkungen, Korrekturen und „Lessons Learned“ abdeckt.
Was Organisationen jetzt tun sollten
Die praktischen Auswirkungen sind sofort spürbar. Incident-Response-Pläne, die mit langen Analysephasen rechnen, passen nicht mehr zu den rechtlichen Anforderungen. Security-Teams müssen Vorfälle sehr schnell klassifizieren, den Schweregrad einschätzen und die Behördenmeldung nahezu unmittelbar auslösen können.
Entscheidungsbefugnisse sollten im Vorfeld klar delegiert werden, besonders bei internationalen Organisationen mit mehreren Zeitzonen. Beweissicherung und Dokumentation müssen parallel zur Reaktion laufen – nicht erst nach der Eindämmung. Für Unternehmen, die über Lieferanten, Software oder Services mit China-verbundener Infrastruktur verknüpft sind, macht das geänderte Gesetz Tempo und Dokumentation zu verbindlichen rechtlichen Pflichten statt zu bloßen Best Practices.