Zum 9. Dezember wurde eine weitere Entwurfsfassung des IT-SiG 2.0 veröffentlicht, die gegenüber dem Stand vom 02.12.2020 umfangreiche Änderungen enthält. Wesentliche Änderungen betreffen grundsätzlich folgende Bereiche:

- Konkretisierung der Angaben für den Erfüllungsaufwand der Verwaltung.

- Anpassungen in den Begriffsdefinitionen, so für Protokollierungsdaten, kritische Komponenten mit einer deutlich konkreteren bzw. einschränkenden Definition, und für die Bestimmung der Infrastrukturen im besonderen öffentlichen Interesse mit genaueren Kennzahlen.

- Kontrolle der Kommunikationstechnik des Bundes: Einfügen einer Regelung zur Absprache mit dem Betroffenen.

- BSI als allgemeine Meldestelle für Sicherheit in der Informationstechnik: Einfügen einer Regelung zum intendierten Ermessen zur Nutzung von gemeldeten Informationen.

- Änderung der Vorgaben zur Speicherung von Protokolldaten zum Zwecke der Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes. Anpassung der Verarbeitung behördeninterner Protokollierungsdaten.

- Angleichung der Bestandsdatenauskunft an die Vorgaben der Entscheidung des BVerfG vom 27. Mai 2020 („Bestandsdatenauskunft II“).

- Eingrenzung der Durchführung von Detektionsmaßnahmen für die Netz- und IT-Sicherheit („Hacker-Paragraf“) mit einer Beschränkung auf einen vorher bestimmten Bereich von IP-Adressen im Sinne einer Whitelist, die regelmäßig zu aktualisieren ist.

- Vorgaben des BSI: Änderung von „Benehmen“ auf „Einvernehmen“ für die Festlegung von Mindeststandards für die Sicherheit der Informationstechnik des Bundes.

- Änderung von Fristen für die KRITIS-Regelungen in § 8a BSIG und eine Anpassung bzw. Einschränkung der Vorlagepflicht von Betreiberdokumenten, soweit die Registrierungspflicht nicht erfüllt wurde.

- Regelungen zur IT-Sicherheit von Unternehmen in besonderem öffentlichen Interesse: Vom BSI bereitgestellte Formulare zur Selbsterklärung sind nicht mehr verbindlich, mit der Vorlage der Selbsterklärung besteht eine Registrierungspflicht beim BSI.

- Zeitliche Einschränkung der Betretensbefugnis des BSI zur Prüfung der Voraussetzungen der EU VO 2019/881 (EU Cybersecurity Act).

- Untersagung des Einsatzes kritischer Komponenten: Vornehmlich nur begriffliche Anpassungen.

- Freiwilliges IT-Sicherheitskennzeichen: Vornehmlich nur begriffliche Anpassungen.

- Erlass von konkretisierenden Rechtsverordnungen: Konkretisierung der Kennzahlen und Schwellenwerte für die größten Unternehmen in Deutschland, Einfügen einer Rechtsverordnung zur Offenlegung von Schnittstellen und zur Einhaltung etablierter technischer Standards.

- Bußgeldvorschriften: Eigenständige Sanktion fehlender Nachweiserbringung gem. § 8a Abs. 3 S. 1 BSIG, Aufnahme einer Fahrlässigkeitsregelung, Aufnahme einer Regelung für den Verstoß gegen Vorgaben aus dem EU CSA, die maximale Bußgeldhöhe bleibt unverändert, auch wurde der Gleichlauf mit der EU DS-GVO im Hinblick auf die Sanktionshöhe nicht wieder aufgenommen.

- Einfügen eines neuen § 14a BSIG (Institutionen der Sozialen Sicherung): Eigenständige Sanktionsregelung für Einrichtungen aus dem Sozialrecht.

Ansonsten wurden über den gesamten Gesetzentwurf verteilt verschiedene begriffliche Anpassungen bzw. Konkretisierungen und sprachliche Umstellungen vorgenommen.