Bundesamt für Sicherheit in der Informationstechnik

Branchenspezifische Sicherheitsstandards

§ 8a des BSI-Gesetzes schreibt vor, dass Betreiber Kritischer Infrastrukturen (KRITIS), die unter die Neuregelungen des IT-Sicherheitsgesetzes fallen und in der BSI-Kritisverordnung identifiziert wurden, ihre kritischen IT-Systeme, -Komponenten und -Prozesse durch angemessene Vorkehrungen nach dem Stand der Technik gegen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit absichern müssen. Mit „kritisch“ sind dabei die informationstechnischen Systeme, Komponenten oder Prozesse gemeint, die für die Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen maßgeblich sind.

Um dieser Anforderung zu genügen, können KRITIS-Betreiber und ihre Verbände Branchenspezifische Sicherheitsstandards (B3S) erarbeiten. Das BSI prüft diese auf Antrag und erkennt sie bei Eignung im Benehmen mit dem BBK und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde an (siehe Abbildung 1).

Grafik zur Eignungsprüfung Branchenspezifischer Sicherheitsstandards Branchenspezifische Sicherheitsstandards Abbildung 1: Eignungsprüfung für Branchenspezifische Sicherheitsstandards (B3S) Quelle: Bundesamt für Sicherheit in der Informationstechnik

Die Erfüllung der Anforderungen nach § 8a BSIG muss von den betroffenen Betreibern mindestens alle zwei Jahre gegenüber dem BSI nachgewiesen werden. Dieser Nachweis kann durch Sicherheitsaudits oder Prüfungen erfolgen. Bei aufgedeckten Sicherheitsmängeln kann das BSI im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

Da sich die Bedrohungslage und damit auch der „Stand der Technik“ zur Abwehr von Gefahren stetig ändern, sollte spätestens alle zwei Jahre überprüft werden, inwieweit die in einem B3S getroffenen Annahmen und vorgenommenen Beschreibungen noch aktuell sind.

Was ist „Stand der Technik“?

Organisatorische und technische Vorkehrungen gelten dann als angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen steht, die ein Ausfall oder eine Beeinträchtigung der betroffenen Kritischen Infrastruktur hätte. Bei der Beurteilung der Angemessenheit von Maßnahmen müssen stets die Folgen eines potentiellen Ausfalls für das Gemeinwohl (Wirtschaft, Staat und Gesellschaft) betrachtet werden. Aufgrund der besonderen Bedeutung der Kritischen Infrastrukturen für das Gemeinwohl ist eine rein betriebswirtschaftliche Kosten-Nutzen-Betrachtung der Maßnahmen nicht angemessen.

„Stand der Technik“ ist ein gängiger juristischer Begriff, der nicht allgemeingültig und abschließend definiert ist. Da die technische Entwicklung schneller ist als die Gesetzgebung, hat es sich bewährt, in Gesetzen den Begriff „Stand der Technik“ zu verwenden, statt zu versuchen, konkrete technische Anforderungen festzulegen. Was zu einem bestimmten Zeitpunkt „Stand der Technik“ ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln.

Informationen zur Umsetzung des "Stands der Technik" sowie die B3S-Orientierungshilfe und die B3S-FAQ finden Sie hier.