Das BSI-Gesetz (BSIG) regelt das Bundesamt für Sicherheit in der Informationstechnik (BSI) und gibt ihm seine Handlungsgrundlage. Es wurde am 14. April 2009 verabschiedet und wurde am 23. Juni 2021 aktualisiert. Das BSI ist die Behörde Deutschlands, welche für die Sicherheit der digitalen Welt zuständig ist. Das betrifft besonders den Schutz der Kritischen Infrastrukturen Deutschlands mit dem IT-Sicherheitsgesetz. Darüber hinaus hat das BSI folgende Aufgaben für insbesondere die Sicherheit in der Informationstechnik.
Zunächst geht es um das Sammeln und Analysieren von Informationen über Sicherheitslücken, Angriffsmuster und Schadprogramme, welche die Sicherheit in der Informationstechnik gefährden. Weiterhin erstellt das BSI ein Lagebild der IT-Sicherheit in Deutschland.
Um in Deutschland die Sicherheit in der Informationstechnik zu gewährleisten, erhält und verarbeitet das BSI Protokolldaten sowie Daten, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen, um Angriffe auf die IT-Systeme des Bundes zu erkennen und abzuwehren. Es informiert betroffene Stellen oder die Öffentlichkeit vor Sicherheitslücken in informationstechnischen Produkten und Diensten sowie vor Schadprogrammen. Dabei muss das BSI Hersteller grundsätzlich vorab informieren.
Das BSI definiert einheitliche und strenge Sicherheitsstandards für die Bundesverwaltung und stellt geeignete Produkte zur Verfügung oder lässt diese entwickeln. Die Einhaltung von IT-Sicherheit nach dem Stand der Technik bei den Betreibern Kritischer Infrastrukturen, wie zum Beispiel Energieversorgung, Gesundheitswesen oder Telekommunikation wird vom BSI kontrolliert. Diese Unternehmen müssen regelmäßig Nachweise über ihre IT-Sicherheitsmaßnahmen vorlegen und IT-Sicherheitsvorfälle melden.
Das BSI-Gesetz und sein ausführendes Organ, das BSI selbst, dienen somit dem Schutz der Informationstechnik und der damit verbundenen Grundwerte und Schutzziele, welche da sind: