Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Gesetz · DE

IT-Sicherheitsgesetz 2.0 (Deutschland)

Aktualisiert am 5 Min. Geprüft von: Cenedril-Redaktion
A.5.7A.5.19A.5.20A.5.21A.5.23A.5.24A.5.25A.5.26A.5.30A.5.36A.8.7A.8.8A.8.16 DE

Ein Logistikkonzern wird nach langer Wachstumsphase als „Unternehmen im besonderen öffentlichen Interesse” (UBI) eingestuft. Die Geschäftsleitung erfährt davon erstmals durch ein Schreiben des BSI mit Frist von wenigen Wochen — Selbsterklärung, IT-Sicherheits-Konzept und Kontaktstelle müssen dokumentiert werden, parallel zum laufenden Tagesgeschäft. Wer hier improvisiert, holt sich Bußgelder und nachträgliche Anordnungen ein.

Das IT-Sicherheitsgesetz 2.0 ist ein Änderungsgesetz, das primär das BSIG erweitert hat. Es trat am 28. Mai 2021 in Kraft und war bis zur NIS2-Umsetzung die umfassendste Erweiterung der deutschen Cybersicherheits-Aufsicht — von der Einführung der UBI-Kategorie über verpflichtende Angriffserkennungs-Systeme bis zur Komponenten-Untersagung. Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG, in Kraft seit 6. Dezember 2025) wurde ein Teil der IT-SiG-2.0-Logik fortgeführt und teilweise abgelöst.

Wer ist betroffen?

Das IT-SiG 2.0 wirkt durch die Änderungen am BSIG. Betroffen sind:

  • KRITIS-Betreiber (§ 8a, § 8b BSIG) — neun Sektoren mit Schwellenwerten nach BSI-Kritisverordnung. Pflichtenkatalog erweitert um Systeme zur Angriffserkennung.
  • Unternehmen im besonderen öffentlichen Interesse — UBI (§ 8f BSIG) — neu eingeführt durch das IT-SiG 2.0. Drei Gruppen:
    • UBI-1: Hersteller oder Entwickler von Gütern nach Außenwirtschaftsverordnung Anlage AL Teil I Abschnitt A (Rüstung).
    • UBI-2: Top-Wertschöpfer der deutschen Wirtschaft nach Kriterien des Bundes.
    • UBI-3: Betreiber von Anlagen nach Störfall-Verordnung der oberen Klasse.
  • Bundesbehörden — erweiterte Befugnisse des BSI im Bereich Telemedien-Beratung und Detektion von Sicherheitslücken.
  • Hersteller IT-kritischer Komponenten — Untersagungs- und Vertrauenswürdigkeits-Anforderungen (§ 9b BSIG).

Was verlangt das Gesetz?

Die wesentlichen Neuerungen des IT-SiG 2.0 im Überblick:

  • Systeme zur Angriffserkennung (§ 8a Abs. 1a BSIG) — KRITIS-Betreiber müssen seit 1. Mai 2023 SIEM-/IDS-/SOAR-Lösungen einsetzen, die kritische IT-Komponenten kontinuierlich überwachen und Anomalien melden. Die Umsetzung wird Teil des Zwei-Jahres-Nachweises.
  • UBI-Pflichten (§ 8f BSIG) — Selbsterklärung zum Stand der IT-Sicherheit, Meldepflicht erheblicher Störungen, Registrierung beim BSI, Kontaktstelle.
  • Untersagung kritischer Komponenten (§ 9b BSIG) — das BMI kann den Einsatz kritischer Komponenten untersagen, wenn der Hersteller nicht vertrauenswürdig ist. Betrifft insbesondere 5G-Netze, Cloud-Komponenten, Sicherheitsprodukte.
  • Vertrauenswürdigkeits-Erklärung des Herstellers (§ 9b Abs. 3 BSIG) — Pflicht des Herstellers gegenüber dem KRITIS-Betreiber.
  • Erweiterte Anordnungsbefugnisse des BSI — proaktive Detektion von Sicherheitslücken in öffentlich erreichbaren Systemen (§ 7b), Untersagung von Netzwerk- und Gerätekonfigurationen, Anordnung von Schutzmaßnahmen.
  • Erweiterung der Bußgeldvorschriften (§ 14 BSIG) — höherer Rahmen, klarere Tatbestände, Multiplikator bei Nicht-Beachtung von Anordnungen.
  • Verbraucherschutz (§ 9c BSIG) — IT-Sicherheitskennzeichen für Hersteller, freiwillig auf Verbraucherprodukten.

In der Praxis

Pflicht zur Angriffserkennung als Programm aufsetzen. Ein einzelnes SIEM-Tool reicht nicht aus, um die Anforderung zu erfüllen — gefragt sind klare Use Cases, regelmäßige Analyse, definierte Eskalation und Lessons-Learned-Schleife. BSI hat eine Orientierungshilfe veröffentlicht, die als Maßstab dient. Für den Nachweis nach § 8a BSIG muss die Wirksamkeit belegbar sein.

UBI-Status aktiv prüfen. Die UBI-Einstufung erfolgt teils durch das BSI, teils durch Selbsterklärung. Wer Rüstungsgüter herstellt, eine Störfall-Anlage betreibt oder zu den Top-Wertschöpfern Deutschlands zählt, sollte die Pflichten nach § 8f BSIG eigenständig prüfen — eine versäumte Selbsterklärung ist bußgeldbewehrt.

Komponenten-Untersagung in der Beschaffung mitdenken. Bei kritischen Komponenten muss eine Garantieerklärung des Herstellers vorliegen. Das BMI kann nachträglich Einsatz untersagen — der Beschaffungsprozess sollte das Risiko bewerten und bei strategischen Komponenten Ausstiegsklauseln verhandeln.

Mapping zu ISO 27001

Das IT-SiG 2.0 verstärkt insbesondere die ISO-Kontrollen rund um Vorfälle, Detektion und Lieferanten. Wer ein zertifiziertes ISMS mit B3S-Erweiterung betreibt, deckt einen großen Teil der IT-SiG-2.0-Pflichten ab.

Direkt relevante Kontrollen:

Typische Audit-Befunde

  • System zur Angriffserkennung deckt nicht die kritische IT ab — SIEM überwacht Office-IT, OT-Bereiche bleiben blind.
  • Use Cases für Angriffserkennung fehlen — die SIEM-Plattform ist installiert, generiert aber kaum verwertbare Alarme, weil Use Cases nicht definiert sind.
  • UBI-Selbsterklärung fehlt — das Unternehmen erfüllt die Kriterien, hat aber keine Erklärung beim BSI hinterlegt.
  • Vertrauenswürdigkeits-Erklärungen kritischer Komponenten lückenhaft — Hersteller hat geliefert, aber nie die Garantieerklärung nach § 9b BSIG abgegeben.
  • Anordnungen des BSI nicht prozessual eingebettet — eine Anordnung wird im allgemeinen Postlauf bearbeitet, statt sofort eskaliert.
  • Bußgeld-Risiko unterschätzt — die Geschäftsleitung weiß nicht, dass IT-SiG-2.0-Verstöße bis 2 Mio. € bußgeldbewehrt sind.

Quellen

Abgedeckte ISO-27001-Kontrollen

A.5.7 Bedrohungsintelligenz A.5.19 Informationssicherheit in Lieferantenbeziehungen A.5.20 Informationssicherheit in Lieferantenvereinbarungen A.5.21 Management der IKT-Lieferkette A.5.23 Informationssicherheit bei Cloud-Diensten A.5.24 Planung des Vorfallmanagements A.5.25 Bewertung von Sicherheitsereignissen A.5.26 Reaktion auf Sicherheitsvorfälle A.5.30 IKT-Bereitschaft für Geschäftskontinuität A.5.36 Einhaltung von Richtlinien und Standards A.8.7 Schutz gegen Schadsoftware A.8.8 Management technischer Schwachstellen A.8.16 Überwachung von Aktivitäten

Häufig gestellte Fragen

Was hat das IT-Sicherheitsgesetz 2.0 konkret verändert?

Das IT-SiG 2.0 hat das BSIG strukturell erweitert: neue Kategorie der Unternehmen im besonderen öffentlichen Interesse (UBI), verpflichtende Systeme zur Angriffserkennung für KRITIS-Betreiber, ausgeweitete Anordnungsbefugnisse des BSI, höhere Bußgelder bis 2 Mio. €, Untersagung kritischer Komponenten ausländischer Hersteller. Der Geltungsbereich der Cybersicherheits-Aufsicht wurde damit deutlich vergrößert.

Bin ich UBI nach § 8f BSIG?

UBI sind Unternehmen, die zu den größten Wertschöpfern der deutschen Wirtschaft gehören (Top-Liste nach Kriterien des Bundes), Rüstungsgüter herstellen oder die nach Störfall-Verordnung als Betreiber gelten. Die Selbsteinstufung obliegt dem Unternehmen, das BSI kann die Einstufung prüfen. UBI haben reduzierte Pflichten gegenüber KRITIS — Mindestmaß an IT-Sicherheit, Meldepflicht, Registrierung.

Wie funktioniert die Pflicht zu Systemen für Angriffserkennung?

Seit Mai 2023 müssen KRITIS-Betreiber SIEM- oder vergleichbare Systeme einsetzen, die laufend die für die Funktion kritische IT überwachen, Anomalien erkennen und Auswertungen ermöglichen. Die Umsetzung muss dokumentiert und im Zwei-Jahres-Nachweis nach § 8a BSIG enthalten sein. BSI-Empfehlungen und B3S der Branche konkretisieren die Anforderungen.

Keine Cookies!

Dieses Wiki sammelt nichts, bäckt nichts und lässt nichts bei dir. Deshalb gibt es auch nichts einzuwilligen. Mehr Datenschutz geht nicht.