B3S, ISO 27001 und IT-Grundschutz: wie sie zusammenpassen
Kernaussage
B3S, ISO 27001 und IT-Grundschutz sind keine konkurrierenden Welten, sondern Schichten, die aufeinander aufbauen. Ein branchenspezifischer Sicherheitsstandard (B3S) beschreibt, wie die gesetzlichen Sicherheitsanforderungen in einer Branche nach Stand der Technik erfüllt werden können. Methodisch greift er dafür typischerweise auf etablierte Managementsysteme zurück, vor allem auf ISO/IEC 27001 und den BSI IT-Grundschutz, und ergänzt sie um branchenspezifische Gefährdungen und Maßnahmen.
Für die Führungsebene zählt vor allem eine Aussage: Ein vorhandenes ISO-27001-Zertifikat deckt den KRITIS-Nachweis nicht automatisch ab. Der gesetzliche Nachweis und ein Managementsystem-Zertifikat verfolgen unterschiedliche Zwecke und Geltungsbereiche. Wer beides gleichsetzt, riskiert eine Nachweislücke gegenüber dem BSI. Wer die Schichten dagegen bewusst verzahnt, kann denselben Aufbau mehrfach nutzen und Doppelarbeit vermeiden.
Problem in der Praxis
In vielen KRITIS-Organisationen existiert bereits ein zertifiziertes ISMS. Das führt regelmäßig zu der Annahme, der KRITIS-Nachweis sei damit erledigt. Im Audit oder bei der Vorlage beim BSI zeigt sich dann die Lücke: Der Geltungsbereich des Zertifikats umfasst zwar Unternehmensbereiche, aber nicht zwingend die kritische Anlage in ihrem vollen Umfang. Oder die KRITIS-spezifischen Anforderungen, etwa Systeme zur Angriffserkennung, sind im Zertifizierungsscope gar nicht geprüft worden.
Das zweite häufige Muster ist die Doppelstruktur. Eine Organisation betreibt ein ISO-ISMS, parallel ein IT-Grundschutz-Vorhaben und obendrauf eine separate B3S-Umsetzung, jeweils mit eigenen Registern, Verantwortlichkeiten und Nachweisen. Statt einer Steuerung entstehen drei Baustellen, die sich widersprechen und teuer im Unterhalt sind.
Beide Muster haben dieselbe Wurzel: Die Schichten werden nicht als Aufbau verstanden, sondern als getrennte Projekte. Der CISO muss diese Beziehung explizit machen.
CISO-Einordnung
Es hilft, drei Ebenen sauber zu trennen.
- Die gesetzliche Ebene definiert das Was und das Ob. Trägergesetz ist das BSI-Gesetz (BSIG) in der seit 6.12.2025 geltenden Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes. Es verankert Risikomanagement-Pflichten, besondere Pflichten der Betreiber kritischer Anlagen und die Nachweispflicht.
- Die Branchenebene (B3S) konkretisiert das Wie für einen Sektor. Ein B3S wird von Betreibern oder ihren Branchenverbänden erarbeitet; das BSI stellt nur die Eignung fest, es erstellt B3S nicht selbst. Die Anwendung ist freiwillig, der Nachweis kann auch ohne B3S geführt werden.
- Die Methodenebene (ISO 27001, IT-Grundschutz) liefert den Managementsystem-Unterbau, auf dem ein B3S inhaltlich aufsetzt.
Ein B3S ist inhaltlich wie ein ISMS aufgebaut: Geltungsbereich der kritischen Anlage, Gefährdungs- und Risikoanalyse, organisatorische und technische Maßnahmen nach Stand der Technik, Notfall- und Kontinuitätsmanagement, Lieferanten- und Dienstleistersicherheit, Angriffserkennung und Wirksamkeitsprüfung. Genau diese Bausteine kennt ein CISO aus ISO 27001 und IT-Grundschutz. Die branchenspezifische Leistung des B3S liegt nicht im Managementrahmen, sondern in der Konkretisierung der sektortypischen Gefährdungen und Schutzziele.
Der Unterschied liegt im Zweck des Nachweises. Ein ISO-Zertifikat bestätigt, dass ein ISMS im definierten Scope den Normanforderungen entspricht. Der KRITIS-Nachweis belegt gegenüber dem BSI, dass die gesetzlichen Anforderungen für die konkrete kritische Anlage erfüllt sind. Deckungsgleich sind beide nur, wenn der Zertifizierungsscope die kritische Anlage und die gesetzlichen Anforderungen vollständig erfasst und um die KRITIS-spezifischen Prüfaspekte ergänzt wird.
Umsetzungsperspektive
Sinnvoll ist ein Aufbau von unten nach oben, der die Mehrfachnutzung von Anfang an einplant.
- Managementsystem als Basis: Ein belastbares ISMS nach ISO 27001 oder IT-Grundschutz liefert Scope-Logik, Risikomanagement, Rollen, Maßnahmen- und Nachweissteuerung. Dieser Kern wird ohnehin gebraucht.
- B3S als Konkretisierung darauflegen: Der gewählte B3S der Branche definiert, welche zusätzlichen Gefährdungen und Maßnahmen die kritische Anlage abdecken muss. Die Differenz zum vorhandenen ISMS ist die eigentliche Projektarbeit.
- Scope auf die kritische Anlage ausrichten: Der Geltungsbereich muss die Anlage und die gesetzlichen Risikomanagement-Anforderungen vollständig umfassen, nicht nur die IT-Organisation.
- Nachweis planen: Der KRITIS-Nachweis wird durch Sicherheitsaudits, Prüfungen oder Zertifizierungen geführt; aufgedeckte Sicherheitsmängel sind dem BSI mitzuteilen. Die Prüfung erfolgt durch qualifizierte beziehungsweise registrierte prüfende Stellen. Die genauen Registrierungs- und Qualifikationsregeln sind anhand des aktuellen BSIG und der BSI-Begleitdokumente zu prüfen.
Mehrfachnutzung entsteht, wenn dieselben Risiken, Maßnahmen und Nachweise einmal gepflegt und für ISO-Zertifizierung, Grundschutz und KRITIS-Nachweis gemeinsam verwendet werden. Praktisch bedeutet das ein gemeinsames Risiko- und Maßnahmenregister mit einer zusätzlichen Markierung, welche Einträge KRITIS-relevant sind, statt drei getrennter Systeme.
Typische Fehler
- Das ISO-Zertifikat wird als KRITIS-Nachweis behandelt, obwohl Scope und Prüfaspekte nicht deckungsgleich sind.
- Der Zertifizierungsscope umfasst die Organisation, aber nicht die kritische Anlage in vollem Umfang.
- B3S, ISO und Grundschutz werden als getrennte Projekte mit eigenen Registern betrieben statt als Schichten.
- KRITIS-spezifische Anforderungen wie Angriffserkennung werden im Managementsystem nicht abgebildet.
- Die unterschiedlichen Prüf- und Nachweiszyklen werden nicht aufeinander abgestimmt, sodass Termine kollidieren.
- Ein ausgelaufener oder nicht verlängerter B3S wird als Wegfall der Nachweispflicht missverstanden.
Risiken und Trade-offs
Wer vollständig auf einen B3S setzt, gewinnt an Anerkennung und Struktur, bindet sich aber an dessen Pflege und Geltungsdauer. Die Eignungsfeststellung eines B3S durch das BSI ist zeitlich befristet; die konkrete Geltungsdauer und Bindung sind pro B3S und anhand der aktuellen BSI-Übersicht zu prüfen. Läuft ein B3S aus, entfällt die Nachweispflicht nicht, der Nachweis ist dann anderweitig zu führen, etwa über ISO 27001 mit ergänzender Prüfung.
Wer ohne B3S nachweist, ist flexibler, muss aber selbst belegen, dass die gesetzlichen Anforderungen nach Stand der Technik erfüllt sind, ohne sich auf eine branchenanerkannte Konkretisierung stützen zu können. Das erhöht den Argumentationsaufwand gegenüber der prüfenden Stelle und dem BSI.
Die Integration der Schichten spart langfristig Aufwand, erfordert aber anfangs eine saubere Zuordnung von Anforderungen über die Frameworks hinweg. Ein zu enger gemeinsamer Nenner übersieht KRITIS-Spezifika; ein zu breiter Ansatz überlastet die Organisation mit nicht erforderlichen Maßnahmen.
Entscheidungspunkte
- Existiert für die eigene Branche ein vom BSI als geeignet festgestellter B3S, und ist er auf die eigene kritische Anlage anwendbar?
- Soll der KRITIS-Nachweis über einen B3S, über ISO 27001 mit ergänzender Prüfung oder über IT-Grundschutz geführt werden?
- Deckt der bestehende Zertifizierungsscope die kritische Anlage und die gesetzlichen Anforderungen vollständig ab, oder muss er erweitert werden?
- Lassen sich Risiko-, Maßnahmen- und Nachweisstrukturen frameworkübergreifend zusammenführen, statt sie getrennt zu führen?
- Wie werden die unterschiedlichen Prüf- und Geltungszyklen von Zertifikat, B3S-Eignung und gesetzlichem Nachweis terminlich synchronisiert?
Praktische Empfehlungen
- Behandeln Sie ISO 27001 oder IT-Grundschutz als methodische Basis und den B3S als branchenspezifische Auflage darauf, nicht als getrennte Programme.
- Prüfen Sie zuerst den Geltungsbereich: Erfasst Ihr ISMS-Scope die kritische Anlage und die gesetzlichen Anforderungen wirklich vollständig?
- Führen Sie ein gemeinsames Risiko- und Maßnahmenregister und kennzeichnen Sie darin die KRITIS-relevanten Einträge.
- Klären Sie früh, welche prüfende Stelle den Nachweis abnimmt, und stimmen Sie Audit- und Nachweistermine mit den Zertifizierungszyklen ab.
- Verifizieren Sie die geltenden Paragraphen, Fristen und die B3S-Eignungsdauer vor verbindlichen Aussagen am aktuellen Gesetzestext und an der BSI-Übersicht, da sich die Rechtslage 2025 geändert hat.
- Planen Sie für den Fall eines auslaufenden B3S einen alternativen Nachweisweg ein.
Relevante Normreferenzen
- BSI-Gesetz (BSIG) in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (in Kraft seit 6.12.2025): Risikomanagement-Pflichten, besondere Pflichten der Betreiber kritischer Anlagen sowie Nachweispflicht. Die B3S-Rechtsgrundlage ist im Risikomanagement-Paragraphen verankert (nach aktuellem Stand über dessen Vorschlags- und Eignungsregelung sowie deren entsprechende Anwendung auf Betreiber kritischer Anlagen); die genaue Absatz- und Paragraphenzuordnung ist am aktuellen Gesetzestext zu prüfen, da ältere Quellen die frühere Fassung (unter anderem den früheren KRITIS-Paragraphen) zitieren.
- ISO/IEC 27001: Referenz für den ISMS-Managementrahmen, auf den ein B3S methodisch aufsetzen kann (reine Konzeptreferenz, kein Volltext).
- BSI IT-Grundschutz: Alternativer oder komplementärer methodischer Unterbau; viele B3S referenzieren Grundschutz-Bausteine.
- NIS2-Richtlinie (EU) 2022/2555: Europäischer Rahmen, dessen Risikomanagement das BSIG für die strengste Adressatengruppe umsetzt.
Häufige Fragen
Deckt ein ISO-27001-Zertifikat den KRITIS-Nachweis ab?+
Nicht automatisch. Nur wenn der Zertifizierungsscope die kritische Anlage und die gesetzlichen Anforderungen vollständig erfasst und um KRITIS-spezifische Prüfaspekte ergänzt wird, kann es den Nachweis tragen.
Baut ein B3S auf ISO 27001 und IT-Grundschutz auf?+
Methodisch typischerweise ja: Ein B3S ist wie ein ISMS aufgebaut und ergänzt diesen Rahmen um branchenspezifische Gefährdungen und Maßnahmen. Die genaue Formulierung der BSI-Orientierungshilfe ist am Original zu prüfen.
Muss ich einen B3S anwenden?+
Nein. Ein B3S ist eine anerkannte, aber freiwillige Nachweishilfe. Der KRITIS-Nachweis kann auch ohne B3S geführt werden, etwa über ISO 27001 mit ergänzender Prüfung.
Was passiert, wenn ein B3S ausläuft?+
Die Nachweispflicht bleibt bestehen. Der Nachweis ist dann anderweitig zu führen. Geltungsdauer und Verlängerung eines B3S sind pro Standard an der BSI-Übersicht zu prüfen.
Kann ich die Frameworks gemeinsam nutzen?+
Ja. Ein gemeinsames Risiko- und Maßnahmenregister mit Markierung der KRITIS-relevanten Einträge erlaubt es, ISO-Zertifizierung, Grundschutz und KRITIS-Nachweis aus einer Struktur zu bedienen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen B3S / KRITIS-Nachweis prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: b3s-003.
