IT Sicherheitsgesetz 2.0

Was ist das IT-Sicherheitsgesetz 2.0?

Das IT-Sicherheitsgesetz 2.0 ist eine Erweiterung des ursprünglichen IT-Sicherheitsgesetzes in Deutschland. Es zielt darauf ab, die Sicherheit informationstechnischer Systeme, Komponenten und Prozesse zu stärken. Das Gesetz fordert Betreiber kritischer Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse auf, ihre IT-Sicherheitsmaßnahmen zu erhöhen, um Cyberangriffe und IT-Risiken besser abwehren zu können. Dazu gehören unter anderem erweiterte Meldepflichten bei Sicherheitsvorfällen, die Implementierung von Sicherheitsstandards und die Verpflichtung zur Benennung von Sicherheitsbeauftragten. Das IT-Sicherheitsgesetz 2.0 trägt zur Resilienz und zum Schutz essentieller Dienste bei, die für die öffentliche Sicherheit und Ordnung unabdingbar sind.

Welche Ziele verfolgt das IT-Sicherheitsgesetz 2.0?

Das IT-Sicherheitsgesetz 2.0 (Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) verfolgt u. a. folgende Ziele:

  • Verbesserung der Cyber-Sicherheit in Deutschland

  • Erweiterung der Anforderungen an Betreiber Kritischer Infrastrukturen (KRITIS), z. B. Krankenhäuser, sowie an Anbieter digitaler Dienste

  • Ausbau der Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

  • Stärkung der Resilienz gegenüber Cyberangriffen

  • Einführung strengerer Sicherheitsvorschriften und Meldepflichten für sicherheitsrelevante Vorfälle

  • Schutz essentieller Dienste, die für das Gemeinwesen von zentraler Bedeutung sind

  • Beitrag zum Schutz der nationalen Sicherheit und der Wirtschaftsinteressen Deutschlands

  • Erhöhung der Vertrauenswürdigkeit und Stabilität digitaler Infrastrukturen

Anwendungsbereich und Verpflichtungen

Das IT-Sicherheitsgesetz 2.0 erweitert den Anwendungsbereich und die Verpflichtungen der Betreiber kritischer Infrastrukturen sowie bestimmter Unternehmen im besonderen öffentlichen Interesse. Dazu zählen beispielsweise die öffentliche Verwaltung, oder Institutionen im Gesundheitswesen. Diese sind nun verpflichtet, erhöhte Sicherheitsanforderungen zu erfüllen, wie die Implementierung eines Informationssicherheitsmanagementsystems und die Meldung von IT-Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Außerdem müssen sie kritische Komponenten vor dem Einsatz vom BSI zertifizieren lassen. Die Meldepflichten werden verschärft und das BSI erhält mehr Befugnisse, um die Einhaltung der Vorschriften zu überwachen und durchzusetzen. Unternehmen außerhalb kritischer Infrastrukturen, die eine besondere Rolle für das Gemeinwesen spielen, unterliegen ebenfalls diesen Vorschriften. Dadurch soll die IT-Sicherheit in Deutschland insgesamt gestärkt werden.

Kostenloser FTAPI Secure Data Report 2025.

Ergebnisse, Insights und Handlungsempfehlungen aus einer Umfrage unter 200 IT-Entscheider:innen. Erfahren Sie u. A. warum unverschlüsselter Datenversand nicht unterschätzt werden sollte.

Zum Download

Wie können die Anforderungen des IT-Sicherheitsgesetz 2.0 umgesetzt werden?

Das Gesetz stellt erhöhte Anforderungen an die Sicherheit von Informationstechniksystemen. Um diese Anforderungen umzusetzen, sollten Unternehmen folgende Maßnahmen ergreifen:

  1. Risikoanalyse: Identifizierung von Sicherheitsrisiken durch regelmäßige Bewertungen.

  2. Sicherheitskonzepte: Entwicklung und Implementierung von IT-Sicherheitskonzepten.

  3. Notfallplanung: Erstellung von Notfallplänen für IT-Sicherheitsvorfälle.

  4. Schulungen: Durchführung von Schulungen für Mitarbeiter zur Sensibilisierung für IT-Sicherheit.

  5. Technische Sicherheitsmaßnahmen: Einsatz von Firewalls, Verschlüsselungstechniken (z.B. Ende-zu-Ende-Verschlüsselung als Teil einer ganzheitlichen Lösung für sicheren Datentransfer) und regelmäßigen Software-Updates.

  6. Meldewesen: Etablierung eines effektiven Meldewesens für IT-Sicherheitsvorfälle gemäß den gesetzlichen Vorgaben.

  7. Dokumentation: Sorgfältige Dokumentation aller IT-Sicherheitsprozesse und -maßnahmen.

Welche Bußgelder und Sanktionen drohen bei Verstößen gegen das IT-Sicherheitsgesetz 2.0?

Das IT-Sicherheitsgesetz 2.0 sieht bei Nichteinhaltung seiner Vorgaben erhöhte Bußgelder und strengere Sanktionen vor. Unternehmen, insbesondere Betreiber Kritischer Infrastrukturen und Anbieter digitaler Dienste, sind verpflichtet, angemessene Sicherheitsmaßnahmen zu treffen und bei Sicherheitsvorfällen entsprechend zu reagieren.

Bei Verstößen gegen diese Pflichten können Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes verhängt werden. Dies soll die Durchsetzung der IT-Sicherheitsstandards stärken und die Motivation der Unternehmen erhöhen, in IT-Sicherheit zu investieren. Die Sanktionen tragen dazu bei, das Bewusstsein für Cybersecurity-Risiken zu schärfen und die Resilienz der digitalen Infrastruktur in Deutschland zu stärken.

Kritikpunkte und Kontroversen

Das IT-Sicherheitsgesetz 2.0 steht auch in der Kritik. Ein Hauptkritikpunkt ist der erhöhte Aufwand für Unternehmen durch neue Meldepflichten und Sicherheitsanforderungen. Datenschützer äußern Bedenken bezüglich des erweiterten Zugriffs der Behörden auf Daten und der möglichen Überwachung.

Die Balance zwischen Sicherheit und Datenschutz sowie zwischen staatlicher Kontrolle und unternehmerischer Freiheit wird kontrovers diskutiert. Kritiker befürchten zudem, dass durch die strengen Vorgaben der Innovationskraft der IT-Branche Grenzen gesetzt werden könnten. Die Diskussion um das IT-Sicherheitsgesetz 2.0 zeigt die Komplexität in der Abwägung nationaler Sicherheitsinteressen und der Wahrung individueller Freiheitsrechte.

Eine Plattform für Ihren sicheren Datenaustausch.

E-Mails, Datenräume, Automatisierung - Entdecken Sie, wie Sie mit FTAPI Ihre Daten jederzeit sicher intern und extern austauschen.

Mehr erfahren

Ausblick und mögliche Entwicklungen in der Zukunft

In der Zukunft könnten sich durch dieses Gesetz verstärkte Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen sowie eine Ausweitung der Meldepflichten bei IT-Sicherheitsvorfällen ergeben. Es ist möglich, dass der Anwendungsbereich auf weitere Unternehmen ausgedehnt wird, insbesondere im Hinblick auf digitale Dienste, wo meistens E-Mail-kommunikation oder File-Sharing zum Einsatz kommt. Weiterhin könnten sich regelmäßige Überprüfungen und Zertifizierungen als Standard etablieren, um die Sicherheit der IT-Systeme zu gewährleisten. Die Schaffung eines zentralen IT-Sicherheitskennzeichens für Produkte könnte ebenfalls auf der Agenda stehen. Zudem ist mit einer intensiveren Zusammenarbeit zwischen staatlichen Stellen und der Privatwirtschaft zu rechnen, um die nationale Sicherheit und Widerstandsfähigkeit gegenüber Cyberangriffen zu stärken.