KRITIS: Eignung des B3S Wasser/Abwasser Version 2.0 festgestellt

Zwei Jahre nach Erscheinen des ersten Branchenspezifischen Sicherheitsstandards wurde die Version 2.0 des B3S Wasser/Abwasser offiziell von dem Bundesamt für Sicherheit in der Informationstechnik anerkannt

Für KRIITIS Betreiber im Bereich Wasser/Abwasser stehen nun stressige Zeiten bevor. Für alle, die zum 30.05.2018 die KRITIS Prüfung abgelegt haben, steht nun bereits die erste Wiederholung an. Pünktlich zur Neuauflage wurde auch ein neuer B3S Wasser/Abwasser vom BSI anerkannt: Die Version 2.0.

Was ist ein B3S?

Die genauen Technologien hinter dem sehr juristisch geprägten Begriff „Stand der Technik“, sind nicht gesetzlich definiert, da die technische Entwicklung schneller voranschreitet, als Gesetze zum Thema Informationssicherheit angepasst werden können. Der Begriff bezieht sich also immer auf den technischen Stand, der zum Zeitpunkt der Anwendung der entsprechenden Regel aktuell ist. Mögliche Quellen für den Stand der Technik findet man in nationalen (wie den B3S) oder internationalen Standards.

Da die eingesetzte Technik in den KRITIS-Bereichen von Branche zu Branche sehr unterschiedlich ist, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) jeder Branche freigestellt, einen oder mehrere Branchenspezifische Sicherheitsstandards (B3S) zu definieren, um den aktuellen Stand der Technik in ihrer Branche festzuhalten. Daher können auch mehrere B3S für die gleiche Branche erarbeitet werden. Das ist dann sinnvoll, wenn sich ein B3S z.B.

  • auf bestimmte Unternehmen bezieht
  • es zwei unterschiedliche Vorgehensweisen gibt, die zum gleichen Schutzziel führen (z.B. zwei Verbände)
  • der Autor des B3S (auch Eigentümer) diesen nicht veröffentlichen will etc.

B3S Gültigkeiten

Nach Erstellen eines B3S wird dieser vom BSI einer Eignungsfeststellung unterzogen. Entspricht er den Anforderungen aus der Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG in der aktuell Gültigen Version, so wird der B3S offiziell als Stand der Technik für zwei Jahre anerkannt. Nach den zwei Jahren muss der B3S – ggf. überarbeitet – erneut eingereicht werden. Auch noch nicht oder nicht mehr freigegebene B3S können noch als Mittel zur Definition zum Stand der Technik herangezogen werden. Es muss allerdings, aufgrund der fehlenden BSI Eignung, bei den vom B3S empfohlenen Maßnahmen sowohl durch den Anwender als auch durch den Prüfer eine sorgfältige Bewertung von Aktualität und Vollständigkeit erfolgen.

Unternehmensfrist ist abhängig vom ersten Einreichen der Nachweise

Die individuelle Unternehmensfrist berechnet sich anhand des Schreibens des BSI, das jedes Unternehmen als Antwort auf die Einsendung der Dokumente bekommt. Das dort aufgeführte Datum ist ausschlaggebend für die Berechnung der Nachfolgefrist (+ 2 Jahre).

Beispiel aus der Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG Version 1.0 vom 15.05.2019:

  • Ablauf der Frist zur Erbringung des erstmaligen Nachweises gemäß § 8a Absatz 3 BSIG (Korb 1): 03.05.2018
  • Einreichung der Nachweisdokumente: 15.04.2018
  • Ablauf der Frist zur Erbringung des Folgenachweises gemäß § 8a Absatz 3 BSIG: 15.04.2020

Nachweis alle zwei Jahre ist die Mindestanforderung – öfter ist möglich

Es ist durchaus gestattet, jährlich einen Nachweis zu erbringen, etwa, wenn das KRITIS System mit einem ISO 27001 Managementsystem verbunden ist. So kann der ISO 27001-Zyklus beibehalten werden, darüber hinaus erhöht eine kontinuierliche (jährliche) KRITIS-Prüfung auch die Effektivität, da Risiken und Schwachstellen frühzeitig gefunden werden.

Ihr Ansprechpartner bei der GUTcert

Fragen oder Hinweise zum Thema Informationssicherheit richten Sie gerne an Marcel Däfler.

Zurück