Branchenspezifische Sicherheitsstandards (B3S) für KRITIS

Betroffene Kritische Infrastrukturen (KRITIS) müssen den Stand der Technik ihrer IT-Systeme nachweisen: Durch B3S werden die diesbezüglichen Anforderungen für eine Branche definiert

Die genauen Technologien hinter dem sehr juristisch geprägten Begriff „Stand der Technik“, sind nicht gesetzlich definiert, da die technische Entwicklung schneller voranschreitet, als Gesetze zum Thema Informationssicherheit angepasst werden können. Der Begriff bezieht sich also immer auf den technischen Stand, der zum Zeitpunkt der Anwendung der entsprechenden Regel aktuell ist. Eine mögliche Quelle für den Stand der Technik kann in nationalen (wie einem B3S) oder internationalen Standards zu finden sein.

Da die eingesetzte Technik in den KRITIS-Bereichen von Branche zu Branche sehr unterschiedlich ist, hat das BSI jeder Branche freigestellt, einen oder mehrere Branchenspezifische Sicherheitsstandards (B3S) zu definieren, um den aktuellen Stand der Technik in ihrer Branche festzuhalten. Daher können auch mehrere B3S für die gleiche Branche erarbeitet werden. Das ist dann sinnvoll, wenn sich ein B3S z.B.

• auf bestimmte Unternehmen bezieht
• es zwei unterschiedliche Vorgehensweisen gibt, die zum gleichen Schutzziel führen (z.B. zwei Verbände)
• der Autor des B3S (auch Eigentümer) diesen nicht veröffentlichen will, usw. usf.

Nach dem Erstellen des B3S wird dieser vom BSI einer Eignungsfeststellung unterzogen. Entspricht er den Anforderungen aus der „Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG (Version 1.0 vom 01.12.2017)“, so wird der B3S offiziell als Stand der Technik für zwei Jahre anerkannt. Nach den zwei Jahren muss der B3S – ggf. überarbeitet – erneut eingereicht werden. Auch noch nicht oder nicht mehr freigegebene B3S können noch als Mittel zur Definition zum Stand der Technik herangezogen werden. Es muss allerdings, aufgrund der fehlenden BSI Eignung, bei den vom B3s empfohlenen Maßnahmen sowohl durch den Anwender als auch durch den Prüfer eine sorgfältige Bewertung von Aktualität und Vollständigkeit erfolgen.

Die Integration in passende Managementsysteme (ISMS, BCM, Notfallmanagement, Risikomanagement usw.) ist möglich und oft wirtschaftlich attraktiv. Dabei können die Aufgaben verschiedener Managementsysteme auch in ein gemeinsames Managementsystem integriert werden.

Für folgende Brachen existiert ein (vom BSI freigegebener) B3S:

Folgende B3S sind aktuell im Freigabeprozess:

Schulungen zum Thema Informationssicherheitssysteme

Unsere GUTcert Akademie bietet viele praxisorientierte Seminare zum Thema Informationssicherheitssysteme an, u.a. eine Schulung zum Informationssicherheitsbeauftragten/-auditor nach ISO 27001 (GUTcert). Verschaffen Sie sich das nötige Know-how, um Ihre Organisation kompetent abzusichern.

Für Informationen zum Schulungsprogramm steht Ihnen das Team der GUTcert Akademie (+49 30 2332021-21) zur Verfügung.

Fragen oder Hinweise zum Thema Informationssicherheit richten Sie gerne an Herrn Marcel Däfler.