Branchenspezifische Sicherheitsstandards - B3S
In der BSI-KRITIS-Verordnung identifizierte, unter die Neuregelungen des IT-Sicherheitsgesetzes fallende Betreiber Kritischer Infrastrukturen (KRITIS), müssen nach § 8a des BSI-Gesetzes ihre kritischen IT-Systeme, -Komponenten und -Prozesse durch angemessene Vorkehrungen nach dem „Stand der Technik“ absichern. Hierbei stehen Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Kernprozesse im Fokus.
Als „kritisch“ sind für die Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen maßgebliche informationstechnische Systeme, Komponenten oder Prozesse definiert.
KRITIS-Betreiber und ihre Verbände können dafür Branchenspezifische Sicherheitsstandards (B3S) erarbeiten. Diese werden auf Antrag vom BSI geprüft. Bei Eignung erfolgt in Zusammenarbeit mit dem BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe), der zuständigen Aufsichtsbehörde des Bundes oder der zuständigen Aufsichtsbehörde die Anerkennung (siehe Abbildung).
Eignungsprüfung für Branchenspezifische Sicherheitsstandards (B3S)
(Quelle: Bundesamt für Sicherheit in der Informationstechnik)
Intertek kann maßgeblich beim mindestens alle zwei Jahre erforderlichen Nachweis der Erfüllung der Anforderungen nach § 8a BSIG gegenüber dem BSI unterstützen. Dazu bietet Intertek betroffenen Unternehmen spezielle Sicherheitsaudits sowie Prüfungen an, um Risiken von Sicherheitsmängeln zu reduzieren bzw. Mängel schnell und effizient zu beseitigen. Dies entspricht den Vorgaben des BSI, das im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangt.
Bedrohungslage und damit verbunden „Stand der Technik“ zur Abwehr von Gefahren ändern sich stetig. Mit Hilfe von Intertek können Sie gegenüber dem BSI die Aktualität der von Ihnen im B3S getroffenen Annahmen und vorgenommenen Beschreibungen effektiv nachweisen. Intertek kann im Bereich Rechenzentrum und Hosting erste erfolgreiche Prüfungen vorweisen.
Beim „Stand der Technik“ handelt es sich um einen nicht allgemeingültig und abschließend definierten, gängigen juristischen Begriff. Da die technische Entwicklung schneller ist als die Gesetzgebung, verwenden Gesetze den Begriff „Stand der Technik“. So legen sie keine konkreten technischen Anforderungen fest. Der „Stand der Technik“ zu einem bestimmten Zeitpunkt lässt sich unter anderem anhand existierender nationaler/internationaler Standards oder erfolgreicher Praxisbeispiele für den jeweiligen Bereich ermitteln.
Organisatorische und technische Vorkehrungen gelten als angemessen, wenn der dafür erforderliche Aufwand im Verhältnis zu möglichen Folgen steht, die ein Ausfall oder eine Beeinträchtigung der betroffenen Kritischen Infrastruktur hätte. Die Beurteilung der Angemessenheit von Maßnahmen berücksichtigt stets die Folgen eines potentiellen Ausfalls für das Gemeinwohl - also für Staat, Gesellschaft und Wirtschaft. Kritischen Infrastrukturen wird besondere Bedeutung für das Gemeinwohl zugeschrieben, was eine rein betriebswirtschaftliche Kosten-Nutzen-Betrachtung der Maßnahmen als unangemessen erscheinen lässt.