B3S anwenden: wie Branchenstandards entstehen und wie Betreiber sie nutzen
Kernaussage
Ein branchenspezifischer Sicherheitsstandard (B3S) ist kein eigener Rechtsakt und kein BSI-Erzeugnis. Er ist ein von einer Branche selbst erarbeitetes Konkretisierungsdokument, das beschreibt, wie die gesetzlichen Sicherheitsanforderungen nach dem Stand der Technik in genau diesem Sektor erfüllt werden können. Das BSI schreibt einen B3S nicht, sondern stellt nur seine Eignung fest.
Für das Management folgen daraus zwei getrennte Blickwinkel. Ein Branchenverband entscheidet, ob er die Investition in einen eigenen Standard trägt und ihn beim BSI zur Eignungsfeststellung einreicht. Ein einzelner Betreiber entscheidet, ob er einen vorhandenen, festgestellten B3S anwendet oder seinen Nachweis anders führt. Beide Wege führen zur selben Pflicht: dem regelmäßigen Nachweis gegenüber dem BSI.
Problem in der Praxis
In der Praxis wird ein B3S häufig wie ein Freibrief behandelt. Die Annahme lautet: Wenn es für meine Branche einen festgestellten B3S gibt und ich ihn formal anwende, bin ich automatisch konform. Das stimmt so nicht. Ein festgestellter B3S ist eine anerkannte, aber freiwillige Umsetzungs- und Nachweishilfe. Der Betreiber kann den Nachweis auch ohne B3S führen, und er bleibt in jedem Fall für die tatsächliche Wirksamkeit seiner Maßnahmen verantwortlich.
Auf der Verbandsseite entsteht ein anderes Missverständnis. Ein B3S wird als einmaliges Dokumentationsprojekt gesehen, nicht als dauerhaft zu pflegender Standard. Die Eignungsfeststellung des BSI ist jedoch befristet, und der Standard muss mit dem Stand der Technik und der Bedrohungslage mitwachsen. Läuft eine Feststellung aus, entbindet das die Betreiber nicht von ihrer Nachweispflicht.
CISO-Einordnung
Die beiden Lebenszyklen sind sauber auseinanderzuhalten.
Entstehung (Verbandsperspektive): Besonders wichtige Einrichtungen und ihre Branchenverbände können einen B3S vorschlagen, um die Anforderungen des Risikomanagements zu konkretisieren. Das BSI prüft, ob der Standard tatsächlich branchenspezifisch und geeignet ist, und stellt die Eignung fest. Rechtsanker dafür ist nach dem BSIG in der Fassung des NIS2-Umsetzungsgesetzes der § 30 Abs. 8 BSIG; § 30 Abs. 9 erklärt dies für Betreiber kritischer Anlagen entsprechend anwendbar. Ältere Quellen verweisen hier noch auf § 8a Abs. 2 BSIG alter Fassung. Maßgeblich ist immer der aktuelle Gesetzestext.
Anwendung (Betreiberperspektive): Betreiber kritischer Anlagen gelten nach dem neuen BSIG automatisch als besonders wichtige Einrichtungen und unterliegen zusätzlich den verschärften Pflichten der §§ 31 und 39 BSIG. Sie müssen die Umsetzung ihrer Maßnahmen dem BSI regelmäßig nachweisen. Der B3S liefert dafür eine branchenakzeptierte Mess- und Prüfgrundlage, ersetzt aber weder die Risikoanalyse der eigenen Anlage noch die Verantwortung für die Wirksamkeit.
Inhaltlich folgt ein B3S typischerweise einer ISMS-Logik: Geltungsbereich der kritischen Anlage, Gefährdungs- und Risikoanalyse, organisatorische und technische Maßnahmen nach Stand der Technik, Notfall- und Kontinuitätsmanagement, Lieferketten- und Dienstleistersicherheit, Angriffserkennung und Wirksamkeitsprüfung. Die genaue Tiefe und Ausprägung ist branchenabhängig und gehört in den jeweiligen Standard, nicht in eine allgemeine Checkliste.
Umsetzungsperspektive
Aus Sicht eines Branchenverbands besteht der Weg aus: gemeinsamer Festlegung des Branchen- und Anlagenzuschnitts, Erarbeitung des Standards auf einem methodischen Unterbau (häufig orientiert an ISO/IEC 27001 oder BSI IT-Grundschutz, ergänzt um branchenspezifische Gefährdungen), Abstimmung mit dem BSI und Einreichung zur Eignungsfeststellung. Nach der Feststellung beginnt die eigentliche Daueraufgabe: Pflege, Aktualisierung und rechtzeitige Verlängerung, bevor die Feststellung ausläuft. Die Geltungsdauer einer Eignungsfeststellung ist befristet; nach BSI-Verwaltungspraxis wird oft ein zeitlich begrenztes Gültigkeitsfenster genannt, dessen genaue Bindung jedoch zu prüfen ist, da sie nicht unmittelbar im Gesetz kodifiziert ist und das BSI je B3S ein individuelles Datum führt.
Aus Sicht eines Betreibers besteht der Weg aus: Prüfung, ob für die eigene Branche überhaupt ein festgestellter und aktuell gültiger B3S existiert (B3S gibt es nur dort, wo eine Branche einen erarbeitet hat und das BSI ihn festgestellt hat, nicht flächendeckend). Danach Abgleich des B3S-Geltungsbereichs mit der eigenen kritischen Anlage, Schließen der Lücken im eigenen Managementsystem und schließlich der Nachweis gegenüber dem BSI. Nach § 39 BSIG erfolgt dieser Nachweis durch Sicherheitsaudits, Prüfungen oder Zertifizierungen; aufgedeckte Sicherheitsmängel sind dem BSI mitzuteilen. Die Prüfung wird durch qualifizierte beziehungsweise registrierte prüfende Stellen erbracht; die Detailregeln des Qualifikations- und Registrierungsregimes sind anhand der aktuellen BSIG-Begleitdokumente zu prüfen.
Der Nachweiszyklus beträgt nach § 39 Abs. 1 BSIG alle drei Jahre. Das weicht von der früheren Rechtslage ab, in der ein Zwei-Jahres-Zyklus galt (§ 8a Abs. 3 BSIG alter Fassung). Für bestehende Betreiber knüpft eine Übergangsregel den neuen Zeitpunkt an den letzten Nachweis nach altem Recht an; die genaue Auslegung im Einzelfall ist zu prüfen.
Typische Fehler
- Den B3S als Konformitätsautomatik missverstehen statt als freiwillige Nachweishilfe.
- Ein vorhandenes ISO-27001-Zertifikat als KRITIS-Nachweis behandeln, ohne dass dessen Geltungsbereich die kritische Anlage und die §§ 30/31-Anforderungen vollständig abdeckt.
- Den Geltungsbereich des B3S nicht mit dem tatsächlichen Zuschnitt der eigenen kritischen Anlage abgleichen.
- Den Ablauf der Eignungsfeststellung verpassen und annehmen, ein abgelaufener B3S entbinde von der Nachweispflicht.
- Auf der Verbandsseite den B3S einmalig erstellen, aber Pflege, Aktualisierung und Verlängerung nicht organisatorisch verankern.
Risiken und Trade-offs
Die Anwendung eines B3S reduziert Auslegungsspielraum und schafft eine branchenakzeptierte Prüfgrundlage. Der Preis ist eine Bindung an einen fremd gepflegten Standard, dessen Aktualität und Fortbestand der einzelne Betreiber nicht steuert. Fällt eine Eignungsfeststellung weg, muss der Nachweis kurzfristig anders geführt werden, etwa über ISO/IEC 27001 mit passend gewähltem Geltungsbereich und ergänzenden KRITIS-spezifischen Prüfaspekten.
Für Branchenverbände steht dem Nutzen eines anerkannten gemeinsamen Standards ein dauerhafter Pflegeaufwand gegenüber. Ein zu generischer B3S verliert seinen Mehrwert gegenüber den allgemeinen Normen; ein zu enger B3S passt nicht mehr zur Vielfalt der Anlagen in der Branche.
Ein weiterer Trade-off betrifft die methodische Basis. Ein Aufsatz auf ISO/IEC 27001 erleichtert Synergien mit bestehenden Zertifizierungen, bindet aber an eine lizenzierte Norm. Ein Aufsatz auf BSI IT-Grundschutz ist frei referenzierbar, erfordert aber Vertrautheit mit dessen Baustein-Logik.
Entscheidungspunkte
- Existiert für die eigene Branche ein festgestellter und aktuell gültiger B3S, und deckt sein Geltungsbereich die eigene kritische Anlage ab?
- B3S anwenden oder den Nachweis eigenständig (zum Beispiel über ISO/IEC 27001 plus ergänzende Prüfung) führen?
- Auf Verbandsseite: rechtfertigt der Branchennutzen die dauerhafte Pflege- und Verlängerungslast eines eigenen B3S?
- Welche methodische Basis (ISO/IEC 27001, BSI IT-Grundschutz oder Kombination) passt zur Branche und zu bestehenden Zertifizierungen?
- Wie wird der Drei-Jahres-Nachweiszyklus organisatorisch mit dem Gültigkeitsfenster der Eignungsfeststellung synchronisiert?
Praktische Empfehlungen
- Behandeln Sie den B3S als Nachweishilfe, nicht als Konformitätsgarantie; die Verantwortung für die Wirksamkeit bleibt beim Betreiber.
- Gleichen Sie zuerst den Geltungsbereich ab: Deckt der B3S Ihre konkrete kritische Anlage und die gesetzlichen Anforderungen vollständig ab?
- Planen Sie den Nachweis als wiederkehrenden Drei-Jahres-Zyklus und beauftragen Sie prüfende Stellen rechtzeitig.
- Verifizieren Sie das individuelle Gültigkeitsdatum des genutzten B3S in der BSI-Übersicht und halten Sie einen Plan B für den Fall einer auslaufenden Feststellung bereit.
- Verankern Sie auf Verbandsseite Pflege, Fortschreibung und Verlängerung des B3S fest in Rollen und Taktung, nicht als Projektnachlauf.
Relevante Normreferenzen
- BSIG in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), verkündet BGBl. 2025 I Nr. 301, in Kraft seit 6.12.2025: § 30 (Risikomanagement, Stand der Technik, B3S in Abs. 8/9), § 31 (besondere Pflichten der Betreiber kritischer Anlagen), § 39 (Nachweispflichten). Ältere Entsprechungen: § 8a BSIG alter Fassung. Maßgeblich ist der aktuelle Gesetzestext.
- BSI-KritisV (KRITIS-Verordnung): Sektoren, Anlagenkategorien und Schwellenwerte; Anpassung an das BSIG 2025 ist im Einzelfall zu prüfen.
- ISO/IEC 27001: methodischer Bezugsrahmen, auf dem ein B3S aufsetzen kann; nur als Referenz, ersetzt nicht den KRITIS-Nachweis.
- NIS2-Richtlinie (RL (EU) 2022/2555): europäische Grundlage, die das BSIG umsetzt.
Häufige Fragen
Schreibt das BSI einen B3S?+
Nein. Branchen beziehungsweise ihre Verbände erarbeiten den B3S; das BSI stellt nur die Eignung fest.
Bin ich mit einem B3S automatisch konform?+
Nein. Ein B3S ist eine freiwillige Nachweishilfe. Die Verantwortung für die Wirksamkeit der Maßnahmen und den Nachweis bleibt beim Betreiber.
Reicht ein ISO-27001-Zertifikat für den KRITIS-Nachweis?+
Nicht automatisch. Der Geltungsbereich muss die kritische Anlage und die gesetzlichen Anforderungen vollständig abdecken; oft sind ergänzende KRITIS-spezifische Prüfaspekte nötig.
Wie oft muss nachgewiesen werden?+
Nach § 39 Abs. 1 BSIG alle drei Jahre. Früher galt ein Zwei-Jahres-Zyklus nach § 8a Abs. 3 BSIG alter Fassung.
Was, wenn die Eignungsfeststellung des B3S ausläuft?+
Das entbindet nicht von der Nachweispflicht; der Nachweis ist dann anderweitig zu führen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen B3S / KRITIS-Nachweis prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: b3s-006.
