Das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), das im Jahr 2021 in Kraft trat, hat den regulatorischen Rahmen für Cybersecurity in Deutschland deutlich verschärft. Besonders Betreiber Kritischer Infrastrukturen (KRITIS) und Firmen mit sicherheitsrelevanten IT-Bestandteilen sehen sich mit neuen Pflichten konfrontiert. Im Zentrum stehen der verpflichtende Einsatz von Angriffserkennungssystemen und die Regulierung sicherheitskritischer IT-Komponenten. Unternehmen müssen damit nicht nur technisch anspruchsvolle Lösungen einführen, sondern zugleich strenge Vorgaben zu Datenschutz und Compliance erfüllen. Der Beitrag beleuchtet praxisnah Chancen und Risiken und skizziert Wege für eine rechtskonforme Umsetzung.
Das Herzstück des IT-SiG 2.0 ist die neue Pflicht zur Einführung sogenannter Systeme zur Angriffserkennung (§ 8a Abs. 1a BSIG). Diese sollen verdächtige Aktivitäten in IT-Systemen frühzeitig sichtbar machen. Konkret handelt es sich um eine Mischung aus technischen Maßnahmen (z. B. Intrusion Detection/Prevention, SIEM-Lösungen) und organisatorischen Strukturen wie abgestimmten Incident-Response-Prozessen.
Unternehmen müssen passende Sensoren implementieren, Alarmierungsroutinen festlegen und Security Operations Center betreiben, die kontinuierlich Bedrohungen überwachen. Entscheidend ist, dass die Systeme nicht als reine Formalität verstanden werden, sondern tatsächlich die Sicherheitslage verbessern. Der Gesetzgeber macht klar: Der Kauf einer Software allein reicht nicht – die Lösungen müssen eng in den operativen Alltag eingebettet sein.
Mit der Einrichtung der Systeme ist es nicht getan. Unternehmen müssen ihre Maßnahmen regelmäßig dokumentieren und diese gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) belegen. Seit Mai 2023 fordert das BSI entsprechende Nachweise, die von akkreditierten Prüfern kontrolliert werden.
Fehlen die Belege oder erfüllt das eingesetzte System nicht die Anforderungen, drohen empfindliche Strafen. Nach § 14 BSIG können Bußgelder von bis zu zwei Millionen Euro verhängt werden. Der Druck wächst somit, nicht nur Mindeststandards zu erfüllen, sondern tatsächlich wirksame Schutzmechanismen einzusetzen.
Die Einführung von Angriffserkennungssystemen berührt zwangsläufig Fragen des Datenschutzes. Werden Netzwerke lückenlos überwacht, geraten oft auch personenbezogene Daten ins Blickfeld – etwa Protokolle zu Mitarbeiteraktivitäten. Hier ist eine sorgfältige Abwägung zwischen Sicherheitsinteressen und Persönlichkeitsrechten erforderlich.
Unternehmen sind verpflichtet, Datenschutzbeauftragte frühzeitig einzubeziehen, technische Lösungen wie IP-Maskierung vorzusehen und Rechte der Beschäftigten zu berücksichtigen. Hinzu kommt die Pflicht nach DSGVO, Sicherheitsvorfälle unverzüglich zu melden. Damit wird deutlich: IT-Sicherheit ist nur im Zusammenspiel mit dem Datenschutz rechtssicher umsetzbar.
Ein weiterer Schwerpunkt des IT-SiG 2.0 betrifft sogenannte kritische Komponenten (§ 9b BSIG). Erstmals unterliegen bestimmte IT-Produkte in essenziellen Systemen einem besonderen Prüf- und Zulassungsverfahren. Das BSI ist befugt, Hersteller und deren Produkte auf Risiken zu überprüfen und deren Einsatz im Ernstfall zu untersagen.
Für Unternehmen bedeutet dies, dass Beschaffung und Risikomanagement stärker geopolitisch geprägt sind. Abhängigkeiten von einzelnen Anbietern oder Lieferketten bergen erhebliche Unsicherheiten. Strategien zur Diversifizierung, vertragliche Absicherungen für den Fall von Herstellerverboten sowie Notfallpläne für den Austausch kritischer Komponenten werden daher unverzichtbar. Besonders sensibel ist dies in Branchen mit eingeschränkter Lieferantenauswahl, etwa in der Telekommunikation.
Die neuen Vorschriften bringen zweifellos erhebliche Belastungen mit sich. Gleichzeitig eröffnen sie aber auch Chancen: Unternehmen, die die Anforderungen frühzeitig umsetzen, können nicht nur rechtliche Risiken reduzieren, sondern auch ihr Sicherheitsniveau stärken und Vertrauen bei Geschäftspartnern, Kunden und Investoren gewinnen.
Die Erfahrungen der ersten zwei Jahre zeigen: Viele Firmen haben die Vorgaben genutzt, um ihre Sicherheitsarchitektur grundlegend zu verbessern. Gleichwohl gibt es noch Nachholbedarf, insbesondere bei kleineren KRITIS-Betreibern, die erstmals in den Anwendungsbereich gefallen sind.
Zum Schluss lassen sich konkrete Handlungsschritte für eine rechtskonforme Umsetzung ableiten:
1. Interdisziplinäre Projektgruppe bilden: IT, Recht und Compliance sollten eng zusammenarbeiten.
2. Bestandsaufnahme durchführen: Eine genaue Analyse bestehender Systeme und Risiken schafft die Grundlage für weitere Maßnahmen.
3. Standards heranziehen: Etablierte Normen wie ISO 27001 erleichtern Implementierung und Nachweisführung.
4. Ausreichende Ressourcen einplanen: Angesichts der Komplexität sind genügend Personal und Budget entscheidend.
Diese Empfehlungen verdeutlichen: Das IT-SiG 2.0 ist nicht nur eine gesetzliche Verpflichtung, sondern zugleich eine Chance, die eigene Widerstandsfähigkeit nachhaltig zu steigern.