Die Bundesregierung will dafür sorgen, dass beispielsweise Krankenhäuser, Banken und Energieversorger ihre Computersysteme besser gegen Cyberangriffe schützen.

Mit dem IT-Sicherheitsgesetz sollen Firmen aus sensiblen Bereichen verpflichtet werden, Attacken auf ihre IT-Systeme unverzüglich zu melden. Sofern es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt, soll aber auch eine anonyme Meldung ausreichen. Die Unternehmen sollen Mindeststandards zur IT-Sicherheit für ihre Branche festlegen.

Firmen, die einen Online-Shop oder andere Internet-Dienste betreiben, sollen verpflichtet werden, ihre Angebote nach dem Stand der Technik zu sichern. So soll verhindert werden, dass Nutzer sich beim Surfen Computerviren oder Trojaner einfangen. Außerdem ist für die zuständigen Sicherheitsbehörden mehr Personal eingeplant.

De Maizière sagte, es gehe darum, notwendige Sicherheitsvorkehrungen in die digitale Welt zu übertragen. „Wir wollen die deutschen IT-Systeme zu den sichersten in der Welt machen“, betonte er. Das Gesetz sei dazu ein wichtiger Schritt. Auch auf EU-Ebene seien Mindestanforderungen für Betreiber kritischer Infrastrukturen geplant. Die Arbeit an einer EU-Richtlinie dazu laufe noch. Deutschland warte jedoch nicht, bis Europa dazu Vorgaben mache, sondern setze die Anforderungen schon vorab um.

Die Opposition ist jedoch unzufrieden. Das Gesetz sei grundsätzlich eine gute Idee, sagte Linksfraktionsvize Jan Korte. Er schränkte aber ein: „Die Ausführung, wie Sie es angehen, ist leider mangelhaft.“ Es fehle eine Bestandsaufnahme der tatsächlichen Gefahren. Auch der Datenschutz komme zu kurz. Beim Plus an Personal würden vor allem die Sicherheitsbehörden bedacht, die Bundesdatenschutzbeauftragte bekomme dagegen nur zwei bis sieben Stellen zusätzlich.

Der Grünen-Innenpolitiker Konstantin von Notz beklagte, Firmen sollten in die Pflicht genommen werden, Behörden dagegen nicht. „Vor der eigenen behördlichen Haustür wird nicht gekehrt“, kritisierte er. Der Gesetzentwurf bleibe an vielen Stellen außerdem ungenau. Es sei auch abwegig, dass Deutschland gerade beim Thema IT-Sicherheit einen nationalen Sonderweg einschlage.

Auch von Experten kam zuletzt Kritik. In einem Gutachten für den Cyber-Sicherheitsrat Deutschland hatte der Rechtsanwalt und frühere Hamburger Innensenator, Christoph Ahlhaus (CDU), mehrere verfassungsrechtliche Bedenken aufgelistet. Einer der Einwände ist, dass Bundesbehörden von den Pflichten ausgenommen würden.