B3S (Branchenspezifische Sicherheitsstandards)

B3S

Copyright ┬ę Shutterstock / laymanzoom

Was ist B3S – (Branchenspezifische Sicherheitsstandards)?

Der Stand der Technik muss Schutzma├čnahmen implementiert haben, um die Verf├╝gbarkeit, Vertraulichkeit, Authentizit├Ąt und Integrit├Ąt zu gew├Ąhrleisten.

Um diese Schutzanforderungen zu erf├╝llen, k├Ânnen Betreiber kritischer Infrastrukturen und ihre Verb├Ąnde sogenannte branchenspezifische Sicherheitsstandards (B3S) entwickeln. Das IT-Sicherheitsgesetz wird diese Standards auf Anfrage pr├╝fen und gegebenenfalls in Absprache mit dem BBK (Bundesamt f├╝r Bev├Âlkerungsschutz und Katastrophenhilfe) und in enger Abstimmung mit der zust├Ąndigen Bundesaufsichtsbeh├Ârde anerkennen.

Kritische Infrastrukturen

Unter “Kritische Infrastrukturen” werden die informationstechnischen Systeme, Prozesse und Komponenten verstanden, die f├╝r das reibungslose Funktionieren der betriebenen Infrastrukturen relevant sind.

Die B3S-Standards sind f├╝r folgende Branchen festgelegt:

  • Wasser/Abwasser
  • Ern├Ąhrung
  • Informationstechnik und Telekommunikation
  • Energie

Stand der Technik

Stand der Technik bezieht sich auf den h├Âchsten Stand der allgemeinen Entwicklung in Bezug auf ein Ger├Ąt, ein wissenschaftliches Gebiet oder eine Technik, die zu einem bestimmten Zeitpunkt erreicht werden. Sie bezieht sich auch auf einen solchen Entwicklungsstand, der zu einem bestimmten Zeitpunkt aufgrund der damals ├╝blichen Methode erreicht wurde.

Der Begriff wird zudem h├Ąufig verwendet, um zu vermitteln, dass ein Produkt mit der bestm├Âglichen Technologie hergestellt wird.

Auf welcher Grundlage basiert B3S?

Gem├Ą├č ┬ž 8 des BSI-Gesetzes m├╝ssen Betreiber kritischer Infrastrukturen ihre IT-Systeme, IT-Prozesse und IT-Komponenten mit ausreichenden Sicherheitsma├čnahmen versorgen, wenn sie unter das neu geregelte IT-Sicherheitsgesetz fallen und laut BSI-KRITIS-Verordnung als solche identifiziert wurden.

Die Einhaltung der IT-Anforderungen gem├Ą├č ┬ž 8 a BSI-Gesetz sind von den Betreiber in einem Turnus von 2 Jahren nachzuweisen. Der Nachweis erfolgt durch entsprechende Sicherheits-Audits oder -Kontrollen. Werden Sicherheitsm├Ąngel festgestellt, kann das BSI (Bundesamt f├╝r Sicherheit in der Informationstechnik) im Einvernehmen mit der zust├Ąndigen Bundesaufsichtsbeh├Ârde die Beseitigung der Sicherheitsm├Ąngel auferlegen und den Betreiber hierf├╝r eine Frist setzen.

Zum Merken

Nach ┬ž 8a des BSI-Gesetzes m├╝ssen Betreiber Kritischer Infrastrukturen ihre IT-Systeme, -Komponenten und -Prozesse durch angemessene Vorkehrungen nach dem Stand der Technik absichern. Hierbei stehen Verf├╝gbarkeit, Integrit├Ąt, Authentizit├Ąt und Vertraulichkeit der Kernprozesse im Fokus.

Eignungspr├╝fung von B3S

Die Entwicklung von B3S erfolgt vorzugsweise in den Industriegruppen der sog. “UP KRITIS” (Initiative zur Zusammenarbeit von Wirtschaft und Staat zwecks Schutz kritischer Infrastrukturen). Diese bew├Ąhrte Kooperationsgruppe, die aus den Betreibern und dem Staat besteht, entwickelt entsprechende Konzepte und stellt diese zur Verf├╝gung.

Sobald ein B3S-Standard entwickelt wurde, wird dieser mittels eines Formulars bei dem Bundesamt f├╝r Sicherheit und Informationstechnik beantragt werden. Das Formular nimmt die notwendigen Metadaten auf. Die formalen Anforderungen werden mithilfe einer Checkliste ├╝berpr├╝ft. Eine zus├Ątzliche Mapping-Tabelle unterst├╝tzt zur Nachvollziehung der B3S-Eignung.

Das BSI stellt anschlie├čend die Eignung fest, indem gepr├╝ft wird, ob die Voraussetzungen an den Stand der Technik f├╝r die betreffende Gef├Ąhrdung in der Branche angemessen und ob die Risiko-Auswertung erf├╝llt ist. Nach erfolgter Abstimmung mit dem BBK und den Bundesaufsichtsbeh├Ârden wird die Eignung eines B3S-Standards f├╝r die Dauer von zwei Jahren festgelegt.

Ver├Âffentlichung

Auf der Homepage des BSI ist eine ├ťbersicht der bereits ver├Âffentlichten Standards zu finden.

Neben der erforderlichen Zustimmung kann die Branche entscheiden, ob ein B3S-Standard voll umf├Ąnglich oder Teile davon als vertraulich gekennzeichnet werden und nur einem bestimmten Betreiberkreis zur Verf├╝gung gestellt werden. Gilt ein Standard als vertraulich, so ist dies explizit kenntlich zu machen.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte