Singapur plant neues Gesetz zur Stärkung kritischer digitaler Infrastrukturen

Veröffentlicht am 19.06.2026

Von unseren deutschsprachigen CBBL-Anwälten in Singapur:

Dr. Andreas Respondek
Rechtsanwalt

zum Autor

Die digitale Infrastruktur bildet heute die Grundlage nahezu aller wirtschaftlichen Aktivitäten – von Zahlungsdiensten und Cloud-Anwendungen bis hin zu digitalen Identitäten und Unternehmensplattformen. Singapur verfügt mittlerweile über mehr als 1,4 Gigawatt installierte Rechenzentrumskapazität, und die Nachfrage dürfte angesichts wachsender KI-Anwendungen weiter steigen.

Um die Widerstandsfähigkeit dieser kritischen Infrastruktur zu stärken, plant die Regierung die Einführung eines Digital Infrastructure Act (DIA). Nach Angaben des Ministry of Digital Development and Information (MDDI) sowie jüngsten Aussagen von Senior Minister of State Tan Kiat How (Februar 2026) soll der Gesetzesentwurf noch im Laufe dieses Jahres dem Parlament vorgelegt werden.

1. Warum plant Singapur einen Digital Infrastructure Act?

Anders als der bestehende Cybersecurity Act beschränkt sich der Digital Infrastructure Act (DIA) nicht nur auf Cyberangriffe. Erfasst werden sollen auch physische Risiken und betriebliche Störungen wie Stromausfälle, Ausfälle von Kühlsystemen, Hardwaredefekte oder Fehlkonfigurationen, die erhebliche Auswirkungen auf digitale Dienste haben können.

Bereits heute hat die Infocomm Media Development Authority (IMDA) entsprechende Advisory Guidelines für Cloud-Service-Anbieter und Rechenzentrumsbetreiber veröffentlicht. Deren Beachtung ist bislang freiwillig, sie sollen jedoch, nach Angaben der Behörden, weitgehend in den DIA übernommen und damit verbindlich werden. Unternehmen, die ihre Prozesse bereits jetzt an diesen Leitlinien ausrichten, dürften daher einen Vorsprung bei der späteren Umsetzung haben.

2. Was macht den DIA anders als den Cybersecurity Act?

Den Anstoß für die Reform gaben unter anderem mehrere bedeutende Systemausfälle in den vergangenen Jahren. So führte am 14. Oktober 2023 ein Defekt an der Kühlanlage eines Rechenzentrums von Equinix in Singapur zu einer Überhitzung in Teilen der Anlage. In der Folge waren die digitalen Bankdienstleistungen von DBS und Citibank während rund zwei Tagen beeinträchtigt. Nach Angaben der Monetary Authority of Singapore (MAS) konnten etwa 2,5 Millionen Zahlungs- und Geldautomatentransaktionen nicht durchgeführt werden, zudem scheiterten rund 810.000 Zugriffsversuche auf die entsprechenden Banking-Apps.

Auch der weltweite CrowdStrike-Vorfall im Jahr 2024 verdeutlichte, dass erhebliche wirtschaftliche Schäden nicht nur durch Cyberangriffe, sondern auch durch technische Fehlfunktionen entstehen können.

3. Welche Ereignisse gaben den Ausschlag für den DIA?

Der DIA (Digital Infrastructure Act) soll den bestehenden regulatorischen Rahmen ergänzen und nicht ersetzen.

Bereits heute bestehen umfangreiche Meldepflichten in verschiedenen Bereichen:

Der Personal Data Protection Act (PDPA) verpflichtet zur Meldung bestimmter Datenschutzverletzungen, der Cybersecurity Act enthält Vorgaben für Cybersicherheitsvorfälle bei designierter kritischer Informationsinfrastruktur (CII), MAS Notices sehen Meldepflichten für Finanzinstitute vor, und der voraussichtlich 2026 in Kraft tretende Health Information Act wird vergleichbare Anforderungen für nationale elektronische Gesundheitsdatensysteme einführen.

Der DIA dürfte eine weitere Ebene hinzufügen, die gezielt auf Störungen von Systemen, Servern und digitaler Infrastruktur abzielt – einschließlich nicht cyberbezogener Ursachen wie Stromausfällen, Kühlungsausfällen oder Fehlkonfigurationen. In der Praxis könnten Unternehmen daher verpflichtet sein, denselben Vorfall parallel gegenüber verschiedenen Behörden zu melden, wobei jeweils unterschiedliche Voraussetzungen und Fristen gelten.

4. Wie ergänzt der DIA die bestehende Regulierung?

Der Schwerpunkt des Gesetzes liegt auf Betreibern sogenannter systemrelevanter digitaler Infrastrukturen. Hierzu zählen insbesondere große Cloud-Anbieter und Rechenzentren, deren Dienste für wesentliche Wirtschaftsbereiche und öffentliche Funktionen unverzichtbar sind.

Vorgesehen ist ein System behördlicher Benennungen, mit dem einzelne Unternehmen ausdrücklich als besonders relevant eingestuft werden können. Zudem ist denkbar, dass der Anwendungsbereich der Regelung auch Einrichtungen außerhalb Singapurs erfasst, sofern diese für die nationale digitale Infrastruktur Singapurs von Bedeutung sind.

5. Wen betrifft das neue Gesetz?

Für designierte Betreiber sind verschiedene regulatorische Anforderungen zu erwarten. Dazu gehören insbesondere:

• Umsetzung angemessener Business-Continuity- und Resilienzmaßnahmen,
• Benennung verantwortlicher Ansprechpartner auf Führungsebene,
• Einhaltung verbindlicher Energieeffizienzstandards: Nach Aussage von Tan Kiat How (Februar 2026) sollen künftig sämtliche Rechenzentren – sowohl bestehende als auch neue – verbindliche Vorgaben zur Power Usage Effectiveness (PUE) erfüllen,
• Meldepflichten bei erheblichen Betriebsstörungen sowie
• vertragliche Verpflichtungen gegenüber Zulieferern und Dienstleistern, um die Einhaltung regulatorischer Anforderungen entlang der Lieferkette sicherzustellen.

6. Welche neuen Pflichten kommen auf Unternehmen zu?

Die Bedeutung des DIA (Digital Infrastructure Act) beschränkt sich nicht auf unmittelbar regulierte Unternehmen. Auch Kunden, Subunternehmer und sonstige Geschäftspartner dürften mit neuen vertraglichen Anforderungen konfrontiert werden. Cloud- und Rechenzentrumsverträge könnten künftig beispielsweise spezielle Compliance-Klauseln, Mitwirkungspflichten gegenüber Behörden oder erweiterte Vorgaben für das Incident Management enthalten.

Unternehmen mit Geschäftsaktivitäten in Singapur sollten daher bereits jetzt ihre Vertragswerke, Compliance-Prozesse und Notfallkonzepte überprüfen und auf die kommenden regulatorischen Entwicklungen vorbereiten. Ein erster sinnvoller Schritt ist dabei ein Abgleich mit den bereits veröffentlichten IMDA Advisory Guidelines, da diese voraussichtlich die Grundlage für wesentliche Teile des DIA bilden werden.

7. Welche praktischen Auswirkungen sind zu erwarten?

Mit dem geplanten Digital Infrastructure Act (DIA) verfolgt Singapur einen umfassenderen Ansatz zum Schutz kritischer digitaler Infrastrukturen.

Im Mittelpunkt steht nicht nur die Abwehr von Cyberangriffen, sondern die Sicherstellung der allgemeinen Betriebsstabilität digitaler Dienste einschließlich Energieeffizienz und physischer Resilienz.

Für Betreiber entsprechender Infrastrukturen und deren Vertragspartner dürfte dies erhebliche praktische Auswirkungen auf Compliance, Vertragsgestaltung und Risikomanagement haben.

Fazit: Wie sollten sich Unternehmen mit Geschäft in Singapur vorbereiten?

Unternehmen, die digitale Infrastruktur in Singapur betreiben oder auf diese angewiesen sind, sollten ihre Compliance-Strukturen, Vertragswerke und Notfallkonzepte frühzeitig überprüfen. Da die bereits veröffentlichten IMDA Advisory Guidelines voraussichtlich als Grundlage für wesentliche Teile des DIA (Digital Infrastructure Act) dienen werden, empfiehlt sich bereits jetzt eine Orientierung an diesen Standards. Sobald der Gesetzesentwurf dem Parlament vorgelegt wird, werden wir an dieser Stelle über die weiteren Entwicklungen berichten.

Sie haben Fragen zum neues Gesetz zur Stärkung kritischer digitaler Infrastrukturen in Singapur?

Sprechen Sie uns an!

Unser deutschsprachiger CBBL-Anwalt in Singapur, Herrn Rechtsanwalt Dr. Andreas Respondek, berät Sie gerne: respondek@cbbl-lawyers.de, Tel. +65 6324 0060