Die Nutzung eines branchenspezifischen Sicherheitsstandards (B3S) im Rahmen der Nachweiserbringung ist nicht verpflichtend.

Auch wenn ein B3S mit dem passenden Geltungsbereich existiert, ist ein Betreiber einer Kritischen Infrastruktur nicht verpflichtet, diesen umzusetzen. Die Anforderungen gemäß § 8a Absatz 1 BSIG können auch auf andere Weise erfüllt werden.

Ein B3S wird innerhalb der jeweiligen Branche entwickelt und soll Sicherheit bei der Umsetzung und bei der Prüfung der Anforderungen gemäß § 8a Absatz 1 BSIG geben. Zudem vermittelt er Rechtssicherheit, was das BSI im jeweiligen Bereich als "Stand der Technik" ansieht.

Hinweis: Der § 8a BSIG hat in einigen dedizierten Bereichen der Kritischen Infrastrukturen keine Gültigkeit, weil hier spezialgesetzliche Regelungen gelten. Dies gilt insbesondere für die Bereiche der Energienetze und Energieanlagen. Für den erstgenannten Bereich hat die Bundesnetzagentur (BNetzA) einen Katalog mit Sicherheitsanforderungen erstellt:

• IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, der dem Schutz gegen Bedrohungen der für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme dient.

Weitere Informationen zum IT-Sicherheitskatalog der Bundesnetzagentur sind im Internet zu finden unter: www.bundesnetzagentur.de/it-sicherheitskatalog-energie.