Neu: EU CAPTCHA – DSGVO-konformer Bot-Schutz. Jetzt 3 Monate kostenlos testen.
Home>
IT-Sicherheitsgesetz: Regeln und Pflichten aus dem IT-SiG 2.0
Auf einen
Blick
- 1. Was ist das IT-Sicherheitsgesetz – kurz erklärt?
- 2. Welches Ziel verfolgt das IT-Sicherheitsgesetz?
- 3. Wer fällt unter das IT-Sicherheitsgesetz?
- 4. Was hat sich mit dem IT-Sicherheitsgesetz 2.0 geändert?
- 5. Wie hängen IT-SiG 2.0 und NIS-2 zusammen?
- 6. Welche Pflichten haben Unternehmen konkret?
- 7. Fazit: IT-Sicherheit wird von der Kür zur Pflicht
01
Was ist das IT-Sicherheitsgesetz – kurz erklärt?
Das IT-Sicherheitsgesetz ist als Artikelgesetz konzipiert. Das bedeutet: Es ändert und ergänzt mehrere bestehende Gesetze gleichzeitig – darunter das BSI-Gesetz, das Energiewirtschaftsgesetz, das Telekommunikationsgesetz und das Telemediengesetz. Daraus ergibt sich ein übergreifender Rechtsrahmen für die Informationssicherheit in Deutschland.
Adressiert werden drei Zielgruppen: Betreiber kritischer Infrastrukturen (KRITIS) mit besonders strengen Pflichten, Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI) wie Rüstungshersteller oder Konzerne von erheblicher volkswirtschaftlicher Bedeutung sowie Behörden und die öffentliche Verwaltung des Bundes.
Die wichtigsten Infos zum IT-SiG
IT-SiG in Kraft seit Juli 2015, IT-SiG 2.0 seit Mai 2021
Zentrale Aufsichtsbehörde: BSI
Adressaten: KRITIS-Betreiber, UBI/UNBÖFI Bundesverwaltung
Bußgeldrahmen: bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes
Parallel: NIS-2 erweitert die Anforderungen des IT-SiG
04
Was hat sich mit dem IT-Sicherheitsgesetz 2.0 geändert?
Das IT-SiG 2.0 trat im Mai 2021 in Kraft und passte den Anforderungskatalog an die aktuelle Bedrohungslage an. Im Kern sieht das IT-SiG 2.0 eine aktive Schutzfunktion des BSI für Staat, Wirtschaft und Bevölkerung vor. Die wichtigsten Neuerungen betreffen einerseits die erweiterten Befugnisse des BSI, andererseits verschärfte Pflichten für KRITIS-Betreiber samt deutlich höherer Bußgelder.
Erweiterte BSI-Befugnisse
Das BSI wird zu einer proaktiven Cybersicherheitsbehörde umgebaut, die relevante Sicherheitslücken in den Systemen von Wirtschaft und Gesellschaft identifiziert und schließt. Dazu soll das BSI das Internet auf verwundbare oder ungesicherte Geräte (IoT / IIoT / ICS) überwachen und betroffene Unternehmen und Nutzer benachrichtigen.
Portscans zur Identifikation verwundbarer Systeme im deutschen Netz
Befugnis zur Installation lückenschließender Software (Patches), um aktiv gegen Botnetze vorzugehen und Schadsoftware von betroffenen Geräten zu entfernen
Einsatz von Sinkhole-Servern, die die Kommunikation zwischen Bots und C&C-Servern unterbinden
Festlegung verbindlicher Mindeststandards für die Bundesverwaltung
Einführung eines freiwilligen IT-Sicherheitskennzeichens für Verbraucherprodukte
Verschärfte Pflichten für KRITIS-Betreiber
KRITIS-Betreiber müssen seit Inkrafttreten des IT-SiG 2.0 einen deutlich umfangreicheren Pflichtenkatalog erfüllen. Im Zentrum stehen technische Schutzmaßnahmen, erweiterte Transparenz gegenüber dem BSI und strengere Vorgaben beim Einsatz kritischer Komponenten.
Einsatz von Systemen zur Angriffserkennung (SzA) ist verpflichtend
Erweiterte Meldepflichten bei IT-Sicherheitsvorfällen
Garantieerklärung beim Einsatz kritischer Komponenten
Anzeigepflicht für den erstmaligen Einsatz kritischer Komponenten
Drastisch erhöhte Bußgelder
Im IT-Sicherheitsgesetz 2.0 orientieren sich die Bußgelder für Verstöße gegen die Cybersicherheit an der europäischen Datenschutz-Grundverordnung (DSGVO). Schwere Verstöße können mit bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweit erzielten Gesamtjahresumsatzes des Vorjahres geahndet werden – je nachdem, welcher Betrag höher ist. Der bisherige Strafrahmen umfasste maximal 100.000 Euro pro Verstoß.
05
Wie hängen IT-SiG 2.0 und NIS-2 zusammen?
Die EU-weite NIS-2-Richtlinie ergänzt und überlagert in weiten Teilen das nationale IT-Sicherheitsgesetz. Die NIS-2-Richtlinie zielt darauf ab, ein hohes gemeinsames Cybersicherheitsniveau in der EU zu gewährleisten und die Widerstandsfähigkeit kritischer Sektoren zu stärken. Sie erweitert den Anwendungsbereich auf zusätzliche Sektoren, verschärft die Sicherheitsanforderungen und führt strengere Durchsetzungsmaßnahmen ein, um die Cybersicherheit in der gesamten EU zu verbessern. Wer NIS-2-konform aufgestellt ist, erfüllt damit in vielen Punkten auch die Anforderungen aus dem IT-SiG 2.0 – aber nicht umgekehrt.
Geltungsbereich | KRITIS + UBI/UNBÖFI in Deutschland | Deutlich erweitert auf ca. 30.000 Organisationen allein in Deutschland |
Sektoren | 8 KRITIS-Sektoren | 18 Sektoren18 Sektoren |
Meldepflichten | Erhebliche Störungen ans BSI | Mehrstufig: Frühwarnung in 24 h, Meldung in 72 h |
Geschäftsleitung | Verantwortung bei Betreiber | Persönliche Haftung der Geschäftsleitung |
Bußgelder | bis 20 Mio. € / 4 % Umsatz | bis 10 Mio. € / 2 % Umsatz |
FAQ – Häufige Fragen zum IT-Sicherheitsgesetz
Das IT-Sicherheitsgesetz (IT-SiG) gilt seit Juli 2015. Die überarbeitete und deutlich erweiterte Fassung, das IT-SiG 2.0, ist im Mai 2021 in Kraft getreten.
Über den Autor
Stefan Bordel
Senior Editor
Über den Autor
Stefan Bordel ist seit 2020 als Editor und Technischer Redakteur bei Myra Security tätig. Er verantwortet die strategische Entwicklung und redaktionelle Betreuung sämtlicher Content-Formate – von Website-Inhalten und Fachpublikationen über Whitepaper bis hin zu Social-Media-Kommunikation und technischer Dokumentation. In dieser Position verbindet er fundierte Expertise aus dem IT-Journalismus mit tiefgreifendem technischem Verständnis im Bereich Cybersecurity. Als langjähriger Linux-Enthusiast beobachtet er die Entwicklungen der IT-Branche sowohl privat als auch beruflich aus nächster Nähe.