Cybervize - Cybersecurity Beratung

Angemessene Vorkehrungen nach Stand der Technik im KRITIS-Nachweis

B3S / KRITIS-NachweisCISOKRITIS-VerantwortlicheISMS ManagerGeschäftsführung

Kernaussage

"Angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik" ist kein fester Katalog, sondern ein bewegliches Ziel. Es verbindet zwei Maßstäbe, die zusammen gelesen werden müssen: Angemessenheit ist risikoorientiert und verhältnismäßig, der Stand der Technik ist dynamisch und entwickelt sich weiter. Beides ist keine Checkliste, sondern eine Begründungspflicht.

Für Betreiber kritischer Anlagen heißt das: Nicht jede technisch denkbare Maßnahme ist Pflicht, aber jede getroffene oder bewusst unterlassene Maßnahme muss aus Risiko und Stand der Technik nachvollziehbar abgeleitet sein. Genau diese Ableitung muss im KRITIS-Nachweis gegenüber dem BSI tragen.

Problem in der Praxis

In vielen Organisationen wird "Stand der Technik" als statische Liste missverstanden. Man kauft ein Produkt, hakt eine Maßnahme ab und betrachtet die Pflicht als erfüllt. Spätestens bei der Prüfung zeigt sich die Lücke: Es fehlt die Verbindung zwischen der konkreten Gefährdung der kritischen Anlage und der gewählten Vorkehrung.

Ein zweites Muster ist die Gleichsetzung mit einem Zertifikat. "Wir sind ISO 27001 zertifiziert, also sind wir nach Stand der Technik aufgestellt." Diese Schlussfolgerung ist gefährlich, weil ein Zertifikat eine Aussage über ein Managementsystem in einem definierten Geltungsbereich trifft, aber nicht automatisch über die Angemessenheit jeder einzelnen Vorkehrung für die konkrete kritische Anlage.

Das dritte Muster ist das Gegenteil: Übererfüllung ohne Priorisierung. Es werden teure Maßnahmen umgesetzt, die für das tatsächliche Risiko der Anlage unverhältnismäßig sind, während zentrale Gefährdungen ungedeckt bleiben. Beide Fehlerrichtungen sind dasselbe Problem: fehlende Risikoorientierung.

CISO-Einordnung

Der Begriff stammt aus der Logik der KRITIS-Regulierung. Historisch war er im BSI-Gesetz unter den Pflichten zur IT-Sicherheit kritischer Infrastrukturen verankert (früher § 8a BSIG a. F.). Mit dem BSIG in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, das seit dem 6. Dezember 2025 in Kraft ist, wird die Risikomanagement-Logik in den §§ 30 und 31 BSIG fortgeführt; § 30 Abs. 2 BSIG verlangt ausdrücklich die Berücksichtigung des Stands der Technik sowie einschlägiger europäischer und internationaler Normen. Die genaue Wortlaut-Zuordnung der historischen Formulierung "angemessene Vorkehrungen" zum heutigen Gesetzestext ist gegen die geltende Fassung abzugleichen.

Für den CISO sind zwei Begriffe getrennt zu denken und dann zu verbinden:

  • Angemessenheit ist die Verhältnismäßigkeit. Sie ergibt sich aus dem Risiko: Bedeutung der kritischen Anlage, Schadenspotenzial, Eintrittswahrscheinlichkeit, Aufwand und Wirksamkeit der Maßnahme.
  • Stand der Technik ist der fortschreitende Maßstab dessen, was in der Fachwelt als bewährt und verfügbar gilt. Er liegt zwischen den "anerkannten Regeln der Technik" (etabliert, teils älter) und dem "Stand von Wissenschaft und Forschung" (Spitze, noch nicht praxisreif).

Beide Maßstäbe greifen ineinander: Der Stand der Technik liefert den Möglichkeitsraum, die Angemessenheit wählt daraus risikogerecht aus. Ein B3S, also ein branchenspezifischer Sicherheitsstandard, ist genau das Werkzeug, um diese Auswahl für eine Branche zu konkretisieren. Er wird von Betreibern bzw. Branchenverbänden erarbeitet, das BSI stellt seine Eignung fest. Die Anwendung bleibt freiwillig; der Nachweis kann auch ohne B3S geführt werden.

Umsetzungsperspektive

Der CISO sollte "angemessene Vorkehrungen nach Stand der Technik" als nachvollziehbare Ableitungskette betreiben, nicht als Beschaffungsliste:

  1. Geltungsbereich der kritischen Anlage sauber abgrenzen, inklusive der unterstützenden Prozesse, Lieferanten und Schnittstellen.
  2. Gefährdungs- und Risikoanalyse als Ausgangspunkt: Welche Szenarien bedrohen die Funktionsfähigkeit der Anlage konkret?
  3. Maßnahmenauswahl entlang des Stands der Technik, jeweils mit dokumentierter Begründung der Angemessenheit gegenüber dem Risiko.
  4. Wirksamkeitsprüfung: Maßnahmen werden nach der Einführung auf Wirkung geprüft.
  5. Fortschreibung: Weil der Stand der Technik wandert, ist die Angemessenheit periodisch neu zu bewerten, nicht einmalig.

Ein B3S kann auf einem ISMS-Aufbau wie ISO/IEC 27001 oder dem BSI IT-Grundschutz aufsetzen und ihn um branchenspezifische Gefährdungen und Maßnahmen ergänzen. Dieser methodische Unterbau ist als Konzept zu verstehen; die exakte Bezugnahme variiert je B3S und ist im jeweils festgestellten Dokument zu prüfen. Wichtig für die Steuerung: Die Begründungsspur entsteht im Betrieb, nicht erst kurz vor der Prüfung.

Typische Fehler

  1. Stand der Technik wird als statische Produktliste behandelt statt als beweglicher Maßstab.
  2. Angemessenheit wird ohne Risikobezug behauptet ("ist Best Practice") statt hergeleitet.
  3. Ein ISO-27001-Zertifikat wird als automatischer Nachweis der Angemessenheit für die Anlage gewertet.
  4. Maßnahmen werden eingeführt, aber ihre Wirksamkeit wird nie geprüft.
  5. Die Bewertung wird einmalig erstellt und nicht fortgeschrieben, obwohl der Stand der Technik weiterzieht.
  6. Unterlassene Maßnahmen werden nicht begründet, sodass im Audit eine Lücke ohne Erklärung sichtbar wird.

Risiken und Trade-offs

Der wichtigste Trade-off liegt zwischen Unterdeckung und Übererfüllung. Zu wenig lässt zentrale Risiken offen und gefährdet die Anlage sowie den Nachweis. Zu viel bindet Budget an unverhältnismäßige Maßnahmen und schwächt die Akzeptanz im Betrieb.

Ein zweiter Trade-off betrifft Geschwindigkeit gegen Stabilität. Wer dem Stand der Technik immer an der Spitze folgt, riskiert unreife Technik. Wer zu lange wartet, fällt hinter den Maßstab zurück. Die richtige Position liegt im praxisbewährten Mittelfeld, das für das jeweilige Risiko angemessen ist.

Ein dritter Punkt ist die Nachweisbarkeit. Eine fachlich gute Maßnahme ohne dokumentierte Begründung hilft im Audit wenig. Umgekehrt ersetzt eine perfekte Dokumentation keine wirksame Maßnahme. Beides muss zusammenkommen.

Entscheidungspunkte

  • Welche Gefährdungen der kritischen Anlage sind so wesentlich, dass Vorkehrungen am oberen Rand des Stands der Technik gerechtfertigt sind?
  • Wo ist eine bewährte, etablierte Lösung angemessen, und wo ist sie erkennbar nicht mehr Stand der Technik?
  • Soll ein festgestellter B3S der Branche genutzt werden, oder wird der Nachweis eigenständig geführt?
  • Deckt der Geltungsbereich eines vorhandenen ISO-27001-Zertifikats die kritische Anlage und die KRITIS-spezifischen Anforderungen vollständig ab, oder sind ergänzende Prüfaspekte nötig?
  • In welcher Taktung wird die Angemessenheit neu bewertet, damit der wandernde Stand der Technik nicht zur stillen Lücke wird?

Praktische Empfehlungen

  1. Behandeln Sie "Stand der Technik" als Begründungspflicht, nicht als Einkaufsliste: Jede wesentliche Maßnahme bekommt eine Risiko- und Stand-der-Technik-Begründung.
  2. Dokumentieren Sie auch bewusste Nichtumsetzungen mit Begründung, damit Prüfer die Entscheidung nachvollziehen können.
  3. Verankern Sie eine periodische Neubewertung, weil sich der Maßstab fortlaufend verschiebt.
  4. Prüfen Sie den Geltungsbereich vorhandener Zertifikate gegen die konkrete kritische Anlage, bevor Sie sich auf sie als Nachweis stützen.
  5. Nutzen Sie einen festgestellten B3S als branchenspezifische Konkretisierung, ohne ihn als Freibrief zu verstehen; die Verantwortung für die Angemessenheit bleibt beim Betreiber.
  6. Verbinden Sie die Begründungsspur mit dem laufenden ISMS-Betrieb, damit der Nachweis ein Nebenprodukt des Regelbetriebs wird.

Relevante Normreferenzen

  • BSIG (in der Fassung des NIS2UmsuCG, BSIG 2025): § 30 (Risikomanagement-Pflichten, Stand der Technik in Abs. 2), § 31 (besondere Pflichten der Betreiber kritischer Anlagen), § 39 (Nachweispflichten). Historische Entsprechung: § 8a BSIG a. F. Der genaue Paragraphen- und Absatzstand ist gegen die geltende Fassung auf gesetze-im-internet.de zu prüfen.
  • B3S (branchenspezifische Sicherheitsstandards): Rechtsgrundlage in § 30 Abs. 8 BSIG, für Betreiber kritischer Anlagen entsprechend über § 30 Abs. 9 BSIG; Eignungsfeststellung durch das BSI.
  • ISO/IEC 27001: Referenz für den ISMS-Methodenrahmen, auf dem ein B3S aufsetzen kann (Bezug, nicht Ersatz des Nachweises).
  • BSI IT-Grundschutz: alternativer oder komplementärer methodischer Unterbau vieler B3S.

Häufige Fragen

Bedeutet "Stand der Technik" die neueste verfügbare Technik?+

Nein. Stand der Technik liegt zwischen den anerkannten Regeln der Technik und dem Stand von Wissenschaft und Forschung. Gemeint ist das praxisbewährte, verfügbare Niveau, nicht zwingend die Spitze.

Heißt angemessen, dass alle möglichen Maßnahmen umgesetzt werden müssen?+

Nein. Angemessenheit ist Verhältnismäßigkeit. Maßnahmen werden risikogerecht ausgewählt; auch ein bewusster Verzicht kann angemessen sein, wenn er begründet ist.

Reicht ein ISO-27001-Zertifikat als Nachweis der Angemessenheit?+

Nicht automatisch. Der Geltungsbereich muss die kritische Anlage und die KRITIS-spezifischen Anforderungen vollständig erfassen; oft sind ergänzende Prüfaspekte nötig.

Muss ich einen B3S verwenden?+

Nein. Ein festgestellter B3S ist eine anerkannte, aber freiwillige Umsetzungs- und Nachweishilfe. Der Nachweis kann auch ohne B3S geführt werden.

Wie oft muss ich die Angemessenheit neu bewerten?+

Weil der Stand der Technik fortschreitet, ist eine periodische Neubewertung nötig. Die formale Nachweisführung folgt zudem dem gesetzlichen Zyklus nach § 39 BSIG (Zyklus und Paragraphenstand prüfen).

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen B3S / KRITIS-Nachweis prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: b3s-002.