B3S im Zusammenspiel mit NIS2 und dem KRITIS-Dachgesetz
Kernaussage
Ein B3S ist nicht das Gesetz, sondern der nationale, sektorale Nachweis-Layer über einem regulatorischen Gerüst, das aus zwei europäischen Säulen besteht: NIS2 für die Cybersicherheit und die CER-Richtlinie für die physische Resilienz kritischer Einrichtungen. In Deutschland wird die Cyber-Säule über das BSI-Gesetz (BSIG) in der Fassung des NIS2UmsuCG umgesetzt, die Resilienz-Säule über das KRITIS-Dachgesetz. Der B3S setzt primär auf der Cyber-Säule auf: Er konkretisiert branchenspezifisch, wie die Anforderungen des BSIG nach dem Stand der Technik erfüllt und nachgewiesen werden können.
Für die Steuerung folgt daraus eine doppelte Aufgabe. Erstens muss der CISO beide Säulen als ein abgestimmtes Pflichtenbild führen, nicht als getrennte Silos. Zweitens muss er erkennen, dass NIS2 den Adressatenkreis stark erweitert hat, der B3S- und Nachweismechanismus aber weiterhin am engsten für Betreiber kritischer Anlagen greift. Wer beides sauber trennt, vermeidet Überregulierung der falschen Einheiten ebenso wie Lücken bei den wirklich kritischen Anlagen.
Problem in der Praxis
In vielen Organisationen werden NIS2, das KRITIS-Dachgesetz und der B3S zu einem diffusen "KRITIS-Thema" verschmolzen. Das führt zu drei wiederkehrenden Fehlbildern.
Erstens die Säulen-Verwechslung: Cyber-Pflichten aus dem BSIG und physische Resilienz-Pflichten aus dem KRITIS-Dachgesetz werden gemeinsam einer Stelle zugeordnet, obwohl sie unterschiedliche Schutzziele, unterschiedliche zuständige Behörden und teils unterschiedliche Adressaten haben. Ein B3S deckt die Cyber-Seite ab, ist aber kein Nachweis für physische Resilienzanforderungen.
Zweitens die Adressaten-Verwechslung: Mit NIS2 fallen deutlich mehr Einrichtungen unter Risikomanagement- und Meldepflichten als unter das klassische KRITIS-Regime. Viele dieser neuen besonders wichtigen oder wichtigen Einrichtungen sind keine Betreiber kritischer Anlagen und unterliegen daher nicht automatisch der strengen Nachweislogik, an der der B3S ansetzt. Werden alle gleich behandelt, entsteht entweder unnötiger Aufwand oder ein blinder Fleck.
Drittens die Paragraphen-Altlast: Ältere Verträge, Richtlinien und B3S-Bezüge verweisen noch auf die alte BSIG-Fassung, während die geltende Struktur erwartet wird.
CISO-Einordnung
Hilfreich ist ein Modell aus drei Ebenen und zwei Säulen.
Die europäische Ebene besteht aus zwei Richtlinien: NIS2 (RL (EU) 2022/2555) für Cybersicherheit und die CER-Richtlinie (RL (EU) 2022/2557) für die Resilienz kritischer Einrichtungen, also physischen Schutz, Ausfallsicherheit und Wiederherstellung. Beide adressieren überlappende, aber nicht identische Sektoren und Einrichtungen.
Die nationale Umsetzungsebene spiegelt diese Zweiteilung. Die Cyber-Säule wird im BSIG in der Fassung des NIS2UmsuCG umgesetzt (BGBl. 2025 I Nr. 301, in Kraft seit dem 6.12.2025). Die physische Resilienz-Säule wird über das KRITIS-Dachgesetz umgesetzt; dessen genauer Stand, die zuständige Behörde und die konkreten Pflichten sind am aktuellen Rechtsstand zu prüfen, da sie nicht Gegenstand des BSIG sind.
Die sektorale Konkretisierungs- und Nachweisebene ist die Domäne des B3S. Er konkretisiert das Wie der BSIG-Cyberanforderungen branchenspezifisch und stützt den Nachweis. Nach dem Gesetz können besonders wichtige Einrichtungen und ihre Branchenverbände einen B3S vorschlagen; das BSI stellt dessen Eignung fest und erklärt dies für Betreiber kritischer Anlagen entsprechend anwendbar. Die genaue Absatz-Zuordnung ist am aktuellen Gesetzestext zu verifizieren.
Wichtig für die Einordnung: Betreiber kritischer Anlagen gelten nach neuem BSIG zugleich als besonders wichtige Einrichtungen und unterliegen zusätzlich verschärften Pflichten, unter anderem zu Systemen der Angriffserkennung. Für genau diese strengste Gruppe greift die Nachweispflicht gegenüber dem BSI, für die der B3S der naheliegende strukturierte Weg ist.
Umsetzungsperspektive
Aus CISO-Sicht beginnt die Steuerung mit einer Einstufung entlang beider Säulen. Zunächst ist zu klären, in welche Kategorie die eigene Organisation fällt: besonders wichtige Einrichtung, wichtige Einrichtung oder Betreiber kritischer Anlagen nach dem BSIG, und parallel, ob und wie sie unter die Resilienzlogik des KRITIS-Dachgesetzes fällt. Diese beiden Einstufungen können auseinanderfallen.
Erst danach ist der B3S sinnvoll zu verorten. Er ist relevant dort, wo die strenge Cyber-Nachweispflicht greift, also für kritische Anlagen, und wo für den eigenen Sektor ein vom BSI festgestellter, einschlägiger B3S existiert. B3S existieren nicht flächendeckend, sondern nur dort, wo eine Branche einen Standard erarbeitet und das BSI ihn festgestellt hat. Fehlt ein passender B3S, wird der Cyber-Nachweis anderweitig geführt, etwa auf Basis von ISO/IEC 27001 oder BSI IT-Grundschutz mit ergänzender Prüfung.
Für die physische Resilienz-Säule ist der B3S nicht das Vehikel. Hier sind die Anforderungen des KRITIS-Dachgesetzes gesondert zu adressieren, typischerweise mit anderen Nachweis- und Meldewegen und einer anderen zuständigen Behörde. Der CISO sollte frühzeitig klären, wer im Haus diese Säule verantwortet und wie sie mit dem ISMS verzahnt wird.
Praktisch bewährt sich ein gemeinsamer Steuerungskern für beide Säulen: ein Register der relevanten Einrichtungen und Anlagen mit Zuordnung der jeweiligen Rechtsgrundlage und Behörde, ein abgestimmtes Meldewesen und ein gemeinsamer Nachweiskalender. Die Cyber-Nachweise gegenüber dem BSI sind in einem festen Zyklus zu erbringen; nach neuem Recht beträgt dieser drei Jahre, während die alte Fassung zwei Jahre vorsah. Konkrete Termine können von Übergangsregelungen abhängen, deren Auslegung im Einzelfall zu prüfen ist.
Typische Fehler
- NIS2- und CER-Säule werden vermengt, sodass physische Resilienzpflichten als durch einen B3S abgedeckt gelten.
- Alle NIS2-Adressaten werden wie Betreiber kritischer Anlagen behandelt, obwohl die strenge Nachweislogik nur für kritische Anlagen greift.
- Der erweiterte Adressatenkreis wird unterschätzt, und neu betroffene Einrichtungen bleiben ohne Einstufung.
- Für die physische Resilienz-Säule wird keine eigene Verantwortlichkeit und kein eigener Nachweisweg etabliert.
- Alte Paragraphenverweise (BSIG a. F.) bleiben in Richtlinien, Verträgen und B3S-Bezügen stehen.
- Meldepflichten aus beiden Säulen werden nicht zu einem konsistenten Meldewesen zusammengeführt.
Risiken und Trade-offs
Der wichtigste Trade-off liegt zwischen Integration und Trennschärfe. Eine zu starke Integration beider Säulen in ein einziges Programm spart Aufwand, verwischt aber Zuständigkeiten und Nachweispflichten, was bei Prüfungen auffällt. Eine zu strikte Trennung schafft Klarheit, erzeugt aber Doppelstrukturen und Reibung an den Schnittstellen, etwa beim Meldewesen oder bei gemeinsamen Lieferanten.
Ein zweites Risiko betrifft den Adressatenkreis. Wer den erweiterten Kreis zu eng auslegt, riskiert nicht erfasste Pflichten; wer ihn zu weit auslegt, bindet Ressourcen an Einheiten ohne entsprechende gesetzliche Tiefe. Die Einstufung sollte daher auf belastbaren Kriterien beruhen und dokumentiert sein.
Drittens besteht ein Abhängigkeitsrisiko vom B3S selbst. Eignungsfeststellungen des BSI sind zeitlich befristet; läuft eine Feststellung aus oder wird ein B3S nicht verlängert, entbindet das nicht von der Nachweispflicht. Die konkrete Geltungsdauer ist im Einzelfall zu prüfen, da Verwaltungspraxis und individuelle Gültigkeitsdaten je B3S maßgeblich sind.
Entscheidungspunkte
- In welche Kategorie fällt die Organisation je Säule (BSIG-Einstufung und KRITIS-Dachgesetz-Einstufung), und fallen diese auseinander?
- Ist die Organisation Betreiber kritischer Anlagen, sodass die strenge Cyber-Nachweispflicht und damit die B3S-Logik greift?
- Existiert für den eigenen Sektor ein festgestellter, einschlägiger B3S, oder wird der Cyber-Nachweis über ISO/IEC 27001 bzw. IT-Grundschutz geführt?
- Wer verantwortet die physische Resilienz-Säule, und wie wird sie mit dem ISMS und dem Meldewesen verzahnt?
- Wie werden die Nachweiszyklen und Meldepflichten beider Säulen in einem gemeinsamen Kalender gesteuert?
Praktische Empfehlungen
- Trennen Sie konzeptionell sauber zwischen Cyber-Säule (NIS2/BSIG, B3S, BSI) und Resilienz-Säule (CER/KRITIS-Dachgesetz) und kommunizieren Sie diese Trennung intern.
- Erstellen Sie eine dokumentierte Einstufung je Säule und halten Sie fest, wo beide Einstufungen auseinanderfallen.
- Verorten Sie den B3S bewusst als Cyber-Nachweis-Layer für kritische Anlagen und nicht als Allzwecknachweis für alle Pflichten.
- Etablieren Sie für die physische Resilienz-Säule eine eigene Verantwortlichkeit und einen eigenen Nachweisweg, abgestimmt mit dem ISMS.
- Führen Sie Meldepflichten beider Säulen in einem konsistenten Meldewesen zusammen, mit klaren Adressaten je Behörde.
- Schlüsseln Sie alte Paragraphenverweise auf die geltende BSIG-Fassung um und gleichen Sie den Stand des KRITIS-Dachgesetzes und der BSI-KritisV mit den aktuellen Quellen ab.
Relevante Normreferenzen
- BSI-Gesetz (BSIG) in der Fassung des NIS2UmsuCG (BGBl. 2025 I Nr. 301, in Kraft seit 6.12.2025): nationaler Anker für Risikomanagement, Maßnahmen nach Stand der Technik, verschärfte Pflichten der Betreiber kritischer Anlagen und Nachweispflicht; die genaue Paragraphen- und Absatzzuordnung (insbesondere B3S sowie Nachweispflicht) ist am aktuellen Gesetzestext zu verifizieren.
- NIS2-Richtlinie (RL (EU) 2022/2555): europäischer Rahmen für Cybersicherheit, dessen Umsetzung das BSIG konkretisiert.
- CER-Richtlinie (RL (EU) 2022/2557) und KRITIS-Dachgesetz: europäischer bzw. nationaler Rahmen für die physische Resilienz kritischer Einrichtungen; Stand, zuständige Behörde und konkrete Pflichten des KRITIS-Dachgesetzes sind vor verbindlichen Aussagen am aktuellen Rechtsstand zu prüfen.
- BSI-KritisV: bestimmt Sektoren, Anlagenkategorien und Schwellenwerte; Stand und Anpassung an das BSIG 2025 sind vor verbindlichen Aussagen zu prüfen.
- ISO/IEC 27001: methodischer Bezugsrahmen für das ISMS, hier nur als Referenz; ein Zertifikat deckt den KRITIS-Nachweis nicht automatisch ab.
- BSI IT-Grundschutz: alternativer bzw. komplementärer methodischer Unterbau, frei referenzierbar.
Häufige Fragen
Deckt ein B3S auch die physische Resilienz nach dem KRITIS-Dachgesetz ab?+
Nein. Ein B3S konkretisiert die Cyberanforderungen des BSIG. Die physische Resilienz folgt der CER-Säule und dem KRITIS-Dachgesetz und ist gesondert zu adressieren.
Was ist der Unterschied zwischen NIS2 und der CER-Richtlinie?+
NIS2 (RL (EU) 2022/2555) regelt Cybersicherheit, die CER-Richtlinie (RL (EU) 2022/2557) die Resilienz kritischer Einrichtungen, also physischen Schutz und Ausfallsicherheit. In Deutschland werden sie über das BSIG bzw. das KRITIS-Dachgesetz umgesetzt.
Gilt die B3S- und Nachweislogik für alle NIS2-Adressaten?+
Nein. Sie greift am engsten für Betreiber kritischer Anlagen, für die die Nachweispflicht gegenüber dem BSI gilt. Viele neue besonders wichtige oder wichtige Einrichtungen sind keine kritischen Anlagen.
Warum gilt der Adressatenkreis als erweitert?+
Weil NIS2 deutlich mehr Sektoren und Einrichtungen erfasst als das klassische KRITIS-Regime. KRITIS-Betreiber gelten zugleich als besonders wichtige Einrichtungen und unterliegen zusätzlich verschärften Pflichten.
Ist der Stand des KRITIS-Dachgesetzes gesichert?+
Stand, zuständige Behörde und konkrete Pflichten sind am aktuellen Rechtsstand zu prüfen und nicht als feststehend zu übernehmen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen B3S / KRITIS-Nachweis prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: b3s-007.
