Der IT-Einsatz birgt neuartige Sicherheitsherausforderungen. Mit dem IT-Sicherheitsgesetz und dem Gesetz zur Umsetzung der RL (EU) 2016/1148 wurde die neue Rechtsmaterie der Pflichten zur IT-Sicherheit Kritischer Infrastrukturen geschaffen. Die Untersuchung analysiert diese und ordnet sie in verfassungs- wie unionsrechtliche Zusammenhänge ein. Die zentralen Begriffe der IT-Sicherheit und der Kritischen Infrastrukturen werden geklärt und die Pflichten zur IT-Sicherheit anhand Regelungsstruktur und -gegenstand als Risikosteuerungsrecht und Schnittmenge verschiedener Rechtsmaterien qualifiziert. Den Infrastrukturbetreibern wird die Gewährleistung der IT-Sicherheit durch eine zentrale Sicherungspflicht und ergänzende Nachweis- und Meldepflichten auferlegt. Zugleich wird ihnen ein Raum der Eigenverantwortung belassen. Im Zusammenwirken der Betreiber mit dem BSI gewährleistet der Pflichtenkanon die IT-Sicherheit auf einem einheitlichen Niveau und ist zugleich für eine Dynamisierung offen.