Bundesamt für Sicherheit in der Informationstechnik

"Stand der Technik" umsetzen

Schnell zum Abschnitt

Sofern Sie von den Neuregelungen des BSI-Gesetzes betroffen sind, ist Ihre Organisation verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung "angemessene Vorkehrungen zur Vermeidung von Störungen […] ihrer informationstechnischen Systeme" nach dem "Stand der Technik" zu treffen und dies gegenüber dem BSI nachzuweisen.

Der Nachweis kann durch Sicherheitsaudits oder Prüfungen erfolgen. Hierzu übermitteln Sie dem BSI eine Aufstellung der durchgeführten Audits oder Prüfungen einschließlich der dabei aufgedeckten Sicherheitsmängel.

Das BSI kann die Vorlage der Dokumente, die der Überprüfung zugrunde gelegt wurden, die Übermittlung der gesamten Audit- oder Prüfungsergebnisse sowie, in Abstimmung mit den zuständigen Aufsichtsbehörden, die Beseitigung der Sicherheitsmängel verlangen.

Hinweis: Der § 8a BSIG hat in einigen dedizierten Bereichen der Kritischen Infrastrukturen keine Gültigkeit, weil hier spezialgesetzliche Regelungen gelten. Dies gilt insbesondere für die Bereiche der öffentlichen Telekommunikation, der Energienetze und Energieanlagen. Für zwei der drei Bereiche hat die Bundesnetzagentur (BNetzA) Kataloge mit Sicherheitsanforderungen erstellt. Der Katalog für Energieanlagen ist zzt. noch in Erarbeitung. Weitere Informationen zum IT-Sicherheitskatalog der Bundesnetzagentur sind im Internet zu finden unter: www.bundesnetzagentur.de/it-sicherheitskatalog-energie

Branchenspezifische Sicherheitsstandards (B3S)

Das BSI-Gesetz sieht vor, dass zur Festlegung der Anforderungen an die Umsetzung von § 8a (1) (inkl. "Stand der Technik") von Betreibern Kritischer Infrastrukturen oder ihren Fachverbänden branchenspezifische Sicherheitsstandards (B3S) erarbeitet werden können. Eine gesetzliche Pflicht zur Erarbeitung eines solchen B3S besteht nicht. Die Erstellung eines B3S ist für die Branchen jedoch eine Chance, ausgehend von der eigenen Expertise selber Vorgaben zum "Stand der Technik" zu formulieren. Darüber hinaus gibt er den Betreibern, die sich nach einem solchen anerkannten B3S prüfen lassen, Rechtssicherheit bzgl. des "Stand der Technik", der bei einem Audit verlangt und überprüft wird.

Die Erarbeitung von B3S erfolgt vorzugsweise in den Branchenarbeitskreisen (BAK) des UP KRITIS. Der UP KRITIS als etablierte Kooperationsplattform zwischen Betreibern und Staat stellt hierfür die entsprechenden Strukturen zur Verfügung. Eine Liste der bereits bestehenden oder in Gründung befindlichen Branchenarbeitskreise finden Sie hier. Voraussetzung für die Mitgliedschaft in einem BAK ist die Teilnahme am UP KRITIS sowie die Zustimmung der übrigen Mitglieder des Arbeitskreises.

Orientierungshilfe gemäß § 8a (2) (B3S)

Das BSI kann bei der Erarbeitung von B3S beratend mitwirken. Es hat hierzu in Abstimmung mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, den Aufsichtsbehörden und einigen Gremien des UP KRITIS die erste Version (Version 0.92) einer Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG herausgegeben. Basierend auf dieser Fassung der Orientierungshilfe können Betreiber und Verbände ihre B3S erarbeiten. Sollten sich im Laufe der Erarbeitung Aspekte ergeben, die eine Änderung an Kriterien nötig machen, werden diese vor Fertigstellung der letztlich gültigen Version 1.0 noch eingearbeitet.

Häufig gestellte Fragen und Antwort im Zusammenhang mit der Orientierungshilfe hat das BSI in den zugehörigen FAQ beantwortet.

Verfahren der Eignungsprüfung (B3S)

Wurde ein B3S erarbeitet, kann dieser mit Hilfe eines Formulars beim BSI zur Prüfung eingereicht werden. Das Formular umfasst die notwendigen Metadaten für die Beantragung der Prüfung sowie eine Checkliste zu formalen Anforderungen an das Dokument. Zusätzlich zu dem Formular sollte eine "Mapping-Tabelle" ausgefüllt und eingereicht werden, diese hilft dabei, die Eignung des B3S nachvollziehbar zu machen.

Das BSI stellt anschließend fest, ob ein B3S geeignet ist, die Anforderungen an den "Stand der Technik" für den Geltungsbereich in Bezug auf die branchenspezifische Gefährdungslage und die Risikobetrachtung zu erfüllen. Die Prüfung der Eignung erfolgt in Abstimmung mit dem BBK und den zuständigen Aufsichtsbehörden.
Das BSI stellt die Eignung eines B3S im Allgemeinen für 2 Jahre fest, dann ist er erneut vorzulegen.

Zwischenergebnis

Da ein B3S einem gewissen Reifeprozess unterliegt, wird er meist in drei Teilen erstellt:

  1. Anforderungen (Abschnitt 1 bis 4 der Orientierungshilfe B3S)
  2. Stand der Technik der Maßnahmen und Vorgehensweise (Abschnitte 5 und 6 der Orientierungshilfe B3S)
  3. Nachweise (Abschnitt 7 der Orientierungshilfe B3S)

Damit Betreiber und Verbände frühzeitig erkennen können, was in ihrer Branche unter den Anforderungen gemäß § 8a (1) und dem "Stand der Technik" verstanden wird, bietet das BSI an, schon vor einer abschließenden Feststellung der Eignung zu den jeweiligen Bestandteilen eines B3S Stellung zu nehmen.

Auf der Grundlage der vorgelegten Informationen und unter Vorbehalt der im Rahmen der eigentlichen Eignungsprüfung notwendigen Abstimmung mit anderen Behörden kann die Branche ein Zwischenergebnis bzgl. der Eignung des erarbeiteten B3S erhalten. Diese Ergebnisse können die Betreiber dann bereits bei der Umsetzung eines angemessenen "Stand der Technik" verwenden.

Bei Zustimmung der Branche können die Teilergebnisse auch schon an die anderen Behörden zur Vorabinformation weitergegeben werden, so dass die spätere, eigentliche Eignungsprüfung erheblich beschleunigt werden kann.

Grafik zur stufenweisen Eignungsprüfung Branchenspezifischer Sicherheitsstandards durch das BSI Branchenspezifische Sicherheitsstandards Abbildung 1: Stufenweise Eignungsprüfung durch das BSI, Stand 28.04.2017 Quelle: Bundesamt für Sicherheit in der Informationstechnik

Veröffentlichung (B3S)

Bei einer Zustimmung des Antragstellers wird der B3S veröffentlicht und gibt der jeweiligen Branche Sicherheit in den Anforderungen gemäß § 8a (1) und dem "Stand der Technik". Eine Liste der bereits in Arbeit befindlichen bzw. veröffentlichten B3S ist unter B3S in BAKs veröffentlicht, soweit die Ersteller zugestimmt haben.

Die Branche kann festlegen, ob der B3S oder einzelne Teile davon (z. B. die Maßnahmen) als vertraulich eingestuft werden und nur bestimmten Betreibern zur Verfügung gestellt werden sollen. Die Vertraulichkeitsstufe der einzelne Teile ist im B3S deutlich hervorzuheben. Es wird empfohlen, hierfür das Traffic Light Protocol (TLP) zu verwenden. Die Tatsache, dass sich ein B3S in einer Eignungsprüfung befindet oder bereits eine Eignungsfeststellung erhalten hat, ist im Allgemeinen öffentlich.

Nachweis (B3S)

Wurde die Eignung eines B3S vom BSI offiziell festgestellt, können Betreiber der jeweiligen Branche sich nach diesem B3S prüfen lassen und so gegenüber dem BSI den Nachweis erbringen, dass sie den Anforderungen des § 8a BSI-Gesetz genügen. Genauere Informationen finden Sie auf der Seite: Nachweise gemäß § 8a (3) BSIG.