Seit Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) gültig. Damit leistet die Bundesregierung einen Beitrag dazu, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Vor allem im Bereich der Kritischen Infrastrukturen (KRITIS) spielt die Verfügbarkeit und Sicherheit der IT-Systeme eine wichtige und zentrale Rolle.
Ziel des IT-Sicherheitsgesetzes ist außerdem die Verbesserung der IT-Sicherheit bei Unternehmen, in der Bundesverwaltung sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet. Daher gelten einzelne Regelungen des IT-Sicherheitsgesetzes auch für Betreiber von kommerziellen Werbeangeboten, die höhere Anforderungen an ihre IT-Systeme erfüllen müssen. Ebenso sind Telekommunikationsunternehmen dazu verpflichtet, Kunden zu warnen, wenn sie einen Missbrauch eines Kundenanschlusses feststellen und den Betroffenen Lösungsmöglichkeiten aufzeigen.
Um diese Ziele zu erreichen, wurden Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausgeweitet.
Am 27. März 2019 ist ein neuer Entwurf für das IT-Sicherheitsgesetz vorgestellt worden, auf welchen sich die Bundesregierung allerdings nicht einigen konnte.
So wurde Anfang Mai 2020 ein neuer Entwurf in die Ressortabstimmung gegeben. Mit dem neuen Entwurf für das IT-Sicherheitsgesetz sollen die Kompetenzen des BSI erweitert werden – mehr Kompetenzen, mehr Geld und mehr Personal. Neben der Überarbeitung des BSI-Gesetzes kommt es zu Neuerungen im Telekommunikations- und Telemediengesetz.
Laut dem unter anderem von Netzpolitik.org veröffentlichten Entwurf aus dem Innenministerium soll das BSI zur Identifizierung von IT-Angreifern „Portscans“, „Sinkholes“ und „Honeypots“ betreiben dürfen.
Weiterhin enthält der Entwurf die Durchsuchung des Internets nach unsicheren Geräten und das Testen von Standard-Passwörtern wie „0000“ oder „admin“. Ebenfalls ist die Befugnis, mit Schadsoftware infizierte Internetgeräte aktiv zu verändern, weiterhin enthalten. Internet-Anbieter sollen dazu verpflichtet werden, IT-Geräte per Installation von Patches bzw. Löschung von Schadsoftware zu bereinigen.
Darüber hinaus sollen Protokolldaten samt personenbezogener Nutzerinformationen für künftig 18 Monate gespeichert und ausgewertet werden.
Aus dem alten Entwurf wurden beispielsweise die Änderungen im Strafgesetzbuch und in der Strafprozessordnung gestrichen.
Zusammengefasst soll die deutsche IT-Sicherheitspolitik grundlegend neu ausgerichtet und offensiver werden.