Bundesamt für Sicherheit in der Informationstechnik

"Stand der Technik" umsetzen

Sofern Sie von den KRITIS-spezifischen Regelungen des BSI-Gesetzes betroffen sind, ist Ihre Organisation verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung (also der BSI-KritisV) "angemessene Vorkehrungen zur Vermeidung von Störungen […] ihrer informationstechnischen Systeme, Komponenten und Prozesse" nach dem "Stand der Technik" zu treffen und dies gegenüber dem BSI nachzuweisen.

Hierzu können Betreiber oder Ihre Verbände in "branchenspezifischen Sicherheitsstandards" (B3S) konkretisieren, wie diese Anforderungen erfüllt werden können. Solche B3S können dem BSI zur Feststellung der Eignung vorgelegt werden. Eine gesetzliche Pflicht zur Erarbeitung eines solchen B3S besteht nicht. Die Erstellung eines B3S ist für die Branchen jedoch eine Chance, ausgehend von der eigenen Expertise selber Vorgaben zum "Stand der Technik" zu formulieren. Darüber hinaus gibt er den Betreibern, die sich nach einem solchen anerkannten B3S prüfen lassen, Rechtssicherheit bzgl. des "Stand der Technik", der bei einem Audit verlangt und überprüft wird.

Das BSI bietet auf den folgenden Unterseiten eine Hilfestellung zur Erstellung solcher B3S ("Orientierungshilfe B3S"), informiert über zur Eignungsfeststellung eingereichte B3S und unterstützt im Erstellungsprozess:

Orientierungshilfe B3S: Die Orientierungshilfe B3S ist eine in Zusammenarbeit mit dem UP KRITIS und dem BBK erstellte Empfehlung zu Inhalten branchenspezifischer Sicherheitsstandards. Neben inhaltlichen Empfehlungen gibt die Orientierungshilfe B3S den Autoren methodische und strukturelle Hilfen in der Erstellung. Sofern es in einem Bereich keinen B3S gibt, kann die Orientierungshilfe B3S auch von Betreibern oder Prüfern als Orientierung verwendet werden, welche Sicherheitsvorkehrungen im KRITIS-Bereich notwendig sind. Die Orientierungshilfe ist eine Empfehlung, zu den Ausführungen sind gleichwertige Alternativen möglich.

Beim BSI zur Eignungsprüfung eingereichte B3S: Auf dieser Seite finden Sie eine Übersicht über die bereits zu Eignungsprüfung beim BSI eingereichten B3S. Die Seite enthält Informationen darüber, zu welchen B3S bereits eine Eignung festgestellt wurde und in welchem Status sich weitere B3S befinden.

Verfahren der Eignungsprüfung: Hier finden Sie Informationen zum Prozess der Eignungsprüfung und zur Einreichung sowie die dafür benötigten Formulare. Weitere Hilfestellungen können Sie in der Orientierungshilfe B3S (siehe oben) finden.

Hinweis: Der § 8a BSIG hat in einigen dedizierten Bereichen der Kritischen Infrastrukturen keine Gültigkeit, weil hier spezialgesetzliche Regelungen gelten. Dies gilt insbesondere für die Bereiche der öffentlichen Telekommunikation, der Energienetze und Energieanlagen. Für zwei der drei Bereiche hat die Bundesnetzagentur (BNetzA) Kataloge mit Sicherheitsanforderungen erstellt. Der Katalog für Energieanlagen ist zzt. noch in Erarbeitung. Weitere Informationen zum IT-Sicherheitskatalog der Bundesnetzagentur sind im Internet zu finden unter: www.bundesnetzagentur.de/it-sicherheitskatalog-energie