Das IT-Sicherheitsgesetz soll den Schutz sogenannter kritischer Infrastrukturen gegen Cyberangriffe verbessern. Damit reiht es sich ein in parallele internationale und europäische Bestrebungen (siehe die Cybersicherheitsstrategien von Bundesregierung und EU-Kommission und das Dekret Cybersicherheit von US-Präsident Obama vom Februar 2013). Bei dem IT-Sicherheitsgesetz handelt es sich um ein sogenanntes Artikelgesetz, d.h. ein Gesetz, durch das eine Reihe bestehender Gesetze geändert werden. Es soll ferner unter anderem die Netz- und Informationssicherheitsrichtlinie der EU, auf die sich der Rat und EU-Parlament Ende 2015 geeinigt haben, in das deutsche Recht umsetzen.
Im Zuge des IT-Sicherheitsgesetzes werden Betreiber kritischer Infrastrukturen – aus den Bereichen Energie, IT und Telekommunikation, Transparenz und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen – verpflichtet, angemessene technisch-organisatorische Maßnahmen zur IT-Sicherheit zu ergreifen. Zur Konkretisierung dieser Pflicht sollen Branchenstandards erarbeitet und dem BSI zur Anerkennung vorgelegt werden. Außerdem enthält das Gesetz für Betreiber kritischer Infrastrukturen Meldepflichten bei Sicherheitsvorfällen gegenüber dem BSI (im TK-Bereich gegenüber der Bundesnetzagentur).
Für Websitebetreiber ist relevant, dass auch die allgemeine Sicherheit im Internet gestärkt werden soll. Dazu sollen Telemedienanbieter verpflichtet werden, Maßnahmen zu ergreifen, um die technischen Einrichtungen zu schützen gegen
- unerlaubten Zugriff,
- Datenschutzverletzungen und
- gegen Störungen einschließlich äußerer Angriffe.
Als eine Maßnahme hierzu wird im Gesetz insbesondere der Einsatz von Verschlüsselungsverfahren genannt.