IT-Sicherheitsgesetz 2.0 (Deutschland)

Ein Logistikkonzern wird nach langer Wachstumsphase als „Unternehmen im besonderen öffentlichen Interesse” (UBI) eingestuft. Die Geschäftsleitung erfährt davon erstmals durch ein Schreiben des BSI mit Frist von wenigen Wochen — Selbsterklärung, IT-Sicherheits-Konzept und Kontaktstelle müssen dokumentiert werden, parallel zum laufenden Tagesgeschäft. Wer hier improvisiert, holt sich Bußgelder und nachträgliche Anordnungen ein.

Das IT-Sicherheitsgesetz 2.0 ist ein Änderungsgesetz, das primär das BSIG erweitert hat. Es trat am 28. Mai 2021 in Kraft und ist die bisher umfassendste Erweiterung der deutschen Cybersicherheits-Aufsicht — von der Einführung der UBI-Kategorie über verpflichtende Angriffserkennungs-Systeme bis zur Komponenten-Untersagung. Mit der NIS2-Umsetzung wird ein Teil der IT-SiG-2.0-Logik weitergedacht und teilweise abgelöst.

Wer ist betroffen?

Das IT-SiG 2.0 wirkt durch die Änderungen am BSIG. Betroffen sind:

KRITIS-Betreiber (§ 8a, § 8b BSIG) — neun Sektoren mit Schwellenwerten nach BSI-Kritisverordnung. Pflichtenkatalog erweitert um Systeme zur Angriffserkennung.
Unternehmen im besonderen öffentlichen Interesse — UBI (§ 8f BSIG) — neu eingeführt durch das IT-SiG 2.0. Drei Gruppen:
- UBI-1: Hersteller oder Entwickler von Gütern nach Außenwirtschaftsverordnung Anlage AL Teil I Abschnitt A (Rüstung).
- UBI-2: Top-Wertschöpfer der deutschen Wirtschaft nach Kriterien des Bundes.
- UBI-3: Betreiber von Anlagen nach Störfall-Verordnung der oberen Klasse.
Bundesbehörden — erweiterte Befugnisse des BSI im Bereich Telemedien-Beratung und Detektion von Sicherheitslücken.
Hersteller IT-kritischer Komponenten — Untersagungs- und Vertrauenswürdigkeits-Anforderungen (§ 9b BSIG).

Was verlangt das Gesetz?

Die wesentlichen Neuerungen des IT-SiG 2.0 im Überblick:

Systeme zur Angriffserkennung (§ 8a Abs. 1a BSIG) — KRITIS-Betreiber müssen seit 1. Mai 2023 SIEM-/IDS-/SOAR-Lösungen einsetzen, die kritische IT-Komponenten kontinuierlich überwachen und Anomalien melden. Die Umsetzung wird Teil des Zwei-Jahres-Nachweises.
UBI-Pflichten (§ 8f BSIG) — Selbsterklärung zum Stand der IT-Sicherheit, Meldepflicht erheblicher Störungen, Registrierung beim BSI, Kontaktstelle.
Untersagung kritischer Komponenten (§ 9b BSIG) — das BMI kann den Einsatz kritischer Komponenten untersagen, wenn der Hersteller nicht vertrauenswürdig ist. Betrifft insbesondere 5G-Netze, Cloud-Komponenten, Sicherheitsprodukte.
Vertrauenswürdigkeits-Erklärung des Herstellers (§ 9b Abs. 3 BSIG) — Pflicht des Herstellers gegenüber dem KRITIS-Betreiber.
Erweiterte Anordnungsbefugnisse des BSI — proaktive Detektion von Sicherheitslücken in öffentlich erreichbaren Systemen (§ 7b), Untersagung von Netzwerk- und Gerätekonfigurationen, Anordnung von Schutzmaßnahmen.
Erweiterung der Bußgeldvorschriften (§ 14 BSIG) — höherer Rahmen, klarere Tatbestände, Multiplikator bei Nicht-Beachtung von Anordnungen.
Verbraucherschutz (§ 9c BSIG) — IT-Sicherheitskennzeichen für Hersteller, freiwillig auf Verbraucherprodukten.

In der Praxis

Pflicht zur Angriffserkennung als Programm aufsetzen. Ein einzelnes SIEM-Tool reicht nicht aus, um die Anforderung zu erfüllen — gefragt sind klare Use Cases, regelmäßige Analyse, definierte Eskalation und Lessons-Learned-Schleife. BSI hat eine Orientierungshilfe veröffentlicht, die als Maßstab dient. Für den Nachweis nach § 8a BSIG muss die Wirksamkeit belegbar sein.

UBI-Status aktiv prüfen. Die UBI-Einstufung erfolgt teils durch das BSI, teils durch Selbsterklärung. Wer Rüstungsgüter herstellt, eine Störfall-Anlage betreibt oder zu den Top-Wertschöpfern Deutschlands zählt, sollte die Pflichten nach § 8f BSIG eigenständig prüfen — eine versäumte Selbsterklärung ist bußgeldbewehrt.

Komponenten-Untersagung in der Beschaffung mitdenken. Bei kritischen Komponenten muss eine Garantieerklärung des Herstellers vorliegen. Das BMI kann nachträglich Einsatz untersagen — der Beschaffungsprozess sollte das Risiko bewerten und bei strategischen Komponenten Ausstiegsklauseln verhandeln.

Mapping zu ISO 27001

Das IT-SiG 2.0 verstärkt insbesondere die ISO-Kontrollen rund um Vorfälle, Detektion und Lieferanten. Wer ein zertifiziertes ISMS mit B3S-Erweiterung betreibt, deckt einen großen Teil der IT-SiG-2.0-Pflichten ab.

Direkt relevante Kontrollen:

A.5.7 — Bedrohungsinformationen: strukturierte Auswertung der BSI-Lagebilder.
A.5.19 — Informationssicherheit in den Lieferantenbeziehungen: Vertrauenswürdigkeits-Erklärungen kritischer Komponenten.
A.5.20 — Adressierung der Informationssicherheit in Lieferantenvereinbarungen: vertragliche Verankerung der Hersteller-Garantien.
A.5.21 — Verwaltung der Informationssicherheit in der IKT-Lieferkette: Lieferketten-Risiken bei kritischen Komponenten.
A.5.23 — Informationssicherheit für die Nutzung von Cloud-Diensten: Bewertung von Cloud-Komponenten unter § 9b BSIG.
A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Voraussetzung für die § 8b-Meldung.
A.5.25 — Bewertung und Entscheidung zu Informationssicherheitsereignissen: Klassifikation der Erheblichkeit.
A.5.26 — Reaktion auf Informationssicherheitsvorfälle: strukturierte Eindämmung.
A.5.30 — IKT-Bereitschaft für Geschäftskontinuität: Wiederanlauf bei Komponenten-Ausfall.
A.5.36 — Einhaltung von Richtlinien: Compliance-Prüfung gegen B3S und § 8f.
A.8.7 — Schutz vor Schadsoftware: technische Basis der Angriffserkennung.
A.8.8 — Umgang mit technischen Schwachstellen: CVE-Watch und Patch-Management.
A.8.16 — Aktivitätsüberwachung: zentrale Kontrolle für die SIEM-Pflicht nach § 8a Abs. 1a BSIG.

Typische Audit-Befunde

System zur Angriffserkennung deckt nicht die kritische IT ab — SIEM überwacht Office-IT, OT-Bereiche bleiben blind.
Use Cases für Angriffserkennung fehlen — die SIEM-Plattform ist installiert, generiert aber kaum verwertbare Alarme, weil Use Cases nicht definiert sind.
UBI-Selbsterklärung fehlt — das Unternehmen erfüllt die Kriterien, hat aber keine Erklärung beim BSI hinterlegt.
Vertrauenswürdigkeits-Erklärungen kritischer Komponenten lückenhaft — Hersteller hat geliefert, aber nie die Garantieerklärung nach § 9b BSIG abgegeben.
Anordnungen des BSI nicht prozessual eingebettet — eine Anordnung wird im allgemeinen Postlauf bearbeitet, statt sofort eskaliert.
Bußgeld-Risiko unterschätzt — die Geschäftsleitung weiß nicht, dass IT-SiG-2.0-Verstöße bis 2 Mio. € bußgeldbewehrt sind.

Quellen

BSIG-Volltext mit IT-SiG-2.0-Änderungen (Gesetze im Internet) — konsolidierte Fassung
BSI — Orientierungshilfe Systeme zur Angriffserkennung — Mindestanforderungen und Reifegradmodell
BMI — Pressemitteilung zum Inkrafttreten des IT-SiG 2.0 — Hintergrund und politische Einordnung
Bundesgesetzblatt — Verkündung IT-SiG 2.0 — amtliche Veröffentlichung vom 27. Mai 2021

Häufig gestellte Fragen

Was hat das IT-Sicherheitsgesetz 2.0 konkret verändert?

Das IT-SiG 2.0 hat das BSIG strukturell erweitert: neue Kategorie der Unternehmen im besonderen öffentlichen Interesse (UBI), verpflichtende Systeme zur Angriffserkennung für KRITIS-Betreiber, ausgeweitete Anordnungsbefugnisse des BSI, höhere Bußgelder bis 2 Mio. €, Untersagung kritischer Komponenten ausländischer Hersteller. Der Geltungsbereich der Cybersicherheits-Aufsicht wurde damit deutlich vergrößert.

Bin ich UBI nach § 8f BSIG?

UBI sind Unternehmen, die zu den größten Wertschöpfern der deutschen Wirtschaft gehören (Top-Liste nach Kriterien des Bundes), Rüstungsgüter herstellen oder die nach Störfall-Verordnung als Betreiber gelten. Die Selbsteinstufung obliegt dem Unternehmen, das BSI kann die Einstufung prüfen. UBI haben reduzierte Pflichten gegenüber KRITIS — Mindestmaß an IT-Sicherheit, Meldepflicht, Registrierung.

Wie funktioniert die Pflicht zu Systemen für Angriffserkennung?

Seit Mai 2023 müssen KRITIS-Betreiber SIEM- oder vergleichbare Systeme einsetzen, die laufend die für die Funktion kritische IT überwachen, Anomalien erkennen und Auswertungen ermöglichen. Die Umsetzung muss dokumentiert und im Zwei-Jahres-Nachweis nach § 8a BSIG enthalten sein. BSI-Empfehlungen und B3S der Branche konkretisieren die Anforderungen.