Mit dem am Ende der Legislaturperiode in großer Eile verabschiedeten IT-Sicherheitsgesetz 2.0 reagiert der Gesetzgeber auf die weiterhin ungelösten Probleme der IT-Sicherheit im Bereich Kritischer Infrastrukturen (KRITIS) und darüber hinaus. In einem klar auf das BSI ausgerichteten Ansatz wird dieses weiter gestärkt und erhält erhebliche Kompetenzen gegenüber den KRITIS-Betreibern, den neu definierten Unternehmen im besonderen öffentlichen Interesse und den Herstellern. Problematisch bleiben die starke Fragmentierung der Rechtsmaterie auch im europäischen Mehrebenensystem und die nach wie vor zu gering ausgebaute Pflicht zur Information der Öffentlichkeit.