Cybervize - Cybersecurity Beratung

B3S und der KRITIS-Nachweis: Überblick

B3S / KRITIS-NachweisCISOKRITIS-BeauftragteISMS ManagerGeschäftsführung

Kernaussage

Ein B3S (Branchenspezifischer Sicherheitsstandard) ist kein eigener Rechtsakt und keine Pflicht, sondern eine von der Branche erarbeitete Konkretisierung der Frage, wie die gesetzlichen Sicherheitsanforderungen "nach dem Stand der Technik" in einem konkreten Sektor erfüllt werden können. Das BSI erstellt B3S nicht selbst, sondern stellt auf Antrag deren Eignung fest. Ein festgestellter B3S ist damit eine anerkannte, aber freiwillige Umsetzungs- und Nachweishilfe.

Verpflichtend ist nicht der B3S, sondern der gesetzliche Rahmen darunter: Betreiber kritischer Anlagen müssen Sicherheitsmaßnahmen umsetzen und dem BSI in einem festen Zyklus nachweisen. Der B3S ist ein möglicher Weg, diesen Nachweis strukturiert zu führen - nicht der einzige. Für die Steuerung bedeutet das: Der CISO entscheidet nicht über das Ob des Nachweises, sondern über das Wie.

Problem in der Praxis

In vielen KRITIS-Organisationen werden drei Dinge verwechselt: die gesetzliche Pflicht, das Werkzeug B3S und der eigentliche Nachweis. Daraus entstehen typische Fehlannahmen. Manche Häuser behandeln "B3S anwenden" als gesetzliche Pflicht und blockieren damit pragmatischere Wege. Andere gehen davon aus, ein vorhandenes ISO/IEC-27001-Zertifikat decke den KRITIS-Nachweis automatisch ab.

Verschärft wird die Lage durch die Gesetzesnovelle. Mit der Umsetzung von NIS2 im BSIG wurden die einschlägigen Paragraphen neu nummeriert. Ältere Dokumente, Verträge und interne Richtlinien verweisen noch auf die alte Fassung, während Audits und Behördenkommunikation die neue Struktur erwarten. Wer diese Umschlüsselung nicht aktiv pflegt, riskiert falsche Referenzen in genau den Unterlagen, die später Prüfgegenstand sind.

CISO-Einordnung

Drei Ebenen sind sauber zu trennen.

Erstens die Gesetzesebene. Trägergesetz ist das BSI-Gesetz (BSIG) in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), verkündet im BGBl. 2025 I Nr. 301 und in Kraft seit dem 6.12.2025. Das Gesetz legt fest, dass Betreiber kritischer Anlagen Risikomanagement und Sicherheitsmaßnahmen nach dem Stand der Technik betreiben und dies nachweisen müssen. KRITIS-Betreiber gelten nach neuem BSIG zugleich als "besonders wichtige Einrichtungen" und unterliegen zusätzlich verschärften Pflichten.

Zweitens die B3S-Ebene, also das branchenspezifische Wie. Nach dem Gesetz können Einrichtungen und ihre Branchenverbände einen B3S vorschlagen; das BSI prüft, ob er branchenspezifisch und geeignet ist. Maßgeblich für die genaue Absatz-Zuordnung ist stets der aktuelle Gesetzestext.

Drittens die Nachweisebene. Der Nachweis ist der Beleg gegenüber dem BSI, dass die Maßnahmen tatsächlich umgesetzt sind. Er kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen geführt werden; aufgedeckte Sicherheitsmängel sind dem BSI mitzuteilen.

Inhaltlich orientiert sich ein B3S an einem ISMS-Aufbau: Geltungsbereich der kritischen Anlage, Gefährdungs- und Risikoanalyse, organisatorische und technische Maßnahmen nach Stand der Technik, Notfall- und Kontinuitätsmanagement, Lieferanten- und Dienstleistersicherheit, Angriffserkennung sowie Wirksamkeitsprüfung. Diese Logik ist generisch und ersetzt keine konkrete Anforderungsliste.

Umsetzungsperspektive

Aus CISO-Sicht steht am Anfang eine Standortbestimmung, kein Standardkauf. Die erste Frage betrifft den Geltungsbereich: Welche Anlage ist kritisch, und deckt das vorhandene Sicherheitsmanagement diesen Scope vollständig ab? Ein ISO/IEC-27001-Zertifikat ist hier methodisch wertvoll, deckt den KRITIS-Nachweis aber nicht automatisch ab. Der Zertifikats-Scope muss die kritische Anlage und die gesetzlichen Anforderungen vollständig erfassen, und in der Regel sind ergänzende, KRITIS-spezifische Prüfaspekte nötig.

Existiert für den eigenen Sektor ein festgestellter B3S, ist er meist der effizienteste Bezugspunkt, weil er die branchentypischen Gefährdungen bereits abbildet und vom BSI als geeignet anerkannt wurde. B3S existieren jedoch nicht flächendeckend, sondern nur dort, wo eine Branche einen Standard erarbeitet und das BSI ihn festgestellt hat. Gibt es keinen passenden B3S oder ist er für die eigene Anlage nicht einschlägig, wird der Nachweis anderweitig geführt, etwa auf Basis von ISO/IEC 27001 oder BSI IT-Grundschutz mit ergänzender Prüfung.

Hinzu kommt die zeitliche Planung. Der Nachweis ist in einem festen Zyklus gegenüber dem BSI zu erbringen; nach neuem Recht beträgt dieser Zyklus drei Jahre, während die alte Fassung einen Zwei-Jahres-Rhythmus vorsah. Für bestehende Betreiber kann der konkrete nächste Termin von Übergangsregelungen abhängen, deren Auslegung im Einzelfall zu prüfen ist. Praktisch sollte der CISO die Nachweisvorbereitung als wiederkehrenden Regelbetrieb anlegen, nicht als Projekt vor der Frist.

Typische Fehler

  1. B3S wird als gesetzliche Pflicht missverstanden, obwohl er eine freiwillige Nachweishilfe ist.
  2. Ein vorhandenes ISO-27001-Zertifikat wird ungeprüft als ausreichender KRITIS-Nachweis gewertet.
  3. Der Geltungsbereich des Sicherheitsmanagements deckt die kritische Anlage nicht vollständig ab.
  4. Alte Paragraphenverweise (BSIG a. F.) bleiben in Richtlinien und Verträgen stehen.
  5. Die Nachweisvorbereitung startet zu spät, ohne Puffer für Prüfkapazitäten und Nachbesserungen.
  6. Die Gültigkeit von Eignungsfeststellung und Zertifikaten wird nicht aktiv überwacht.

Risiken und Trade-offs

Die Bindung an einen B3S schafft Klarheit und Anerkennung, kann aber auch Abhängigkeit von dessen Aktualität erzeugen. Eignungsfeststellungen des BSI sind zeitlich befristet; läuft eine Feststellung aus oder wird ein B3S nicht verlängert, entbindet das nicht von der Nachweispflicht. Der Nachweis ist dann auf anderem Weg zu führen. Die konkrete Geltungsdauer einer Eignungsfeststellung ist im Einzelfall zu prüfen, da hier Verwaltungspraxis und individuelle "gültig bis"-Daten je B3S maßgeblich sind.

Ein zweiter Trade-off betrifft den Prüfweg. Audit, Prüfung oder Zertifizierung unterscheiden sich in Aufwand, Aussagekraft und Wiederverwendbarkeit. Wer ohnehin ein ISMS zertifiziert betreibt, kann Synergien heben, muss aber den Scope und die KRITIS-spezifischen Aspekte sauber ergänzen. Wer rein auditbasiert nachweist, ist flexibler, baut aber weniger übertragbare Struktur auf.

Drittens besteht ein Ressourcenrisiko: Qualifizierte prüfende Stellen sind begrenzt verfügbar. Die genauen Anforderungen an prüfende Stellen unter dem neuen BSIG sind anhand der aktuellen Begleitdokumente zu prüfen.

Entscheidungspunkte

  • Gibt es für den eigenen Sektor einen festgestellten, einschlägigen B3S, oder wird der Nachweis über ISO/IEC 27001 bzw. IT-Grundschutz geführt?
  • Deckt der Scope des bestehenden Sicherheitsmanagements die kritische Anlage und die gesetzlichen Anforderungen vollständig ab?
  • Welcher Prüfweg (Audit, Prüfung, Zertifizierung) passt zu Reifegrad, Budget und Zyklus?
  • Wann ist der nächste Nachweistermin, und welche Übergangsregel ist im Einzelfall einschlägig?
  • Wie wird die Gültigkeit von B3S-Eignungsfeststellung und Zertifikaten überwacht?

Praktische Empfehlungen

  1. Trennen Sie sauber zwischen gesetzlicher Pflicht, B3S als Werkzeug und dem eigentlichen Nachweis - und kommunizieren Sie diese Trennung intern.
  2. Prüfen Sie zuerst den Geltungsbereich: Erfasst Ihr Sicherheitsmanagement die kritische Anlage wirklich vollständig?
  3. Behandeln Sie ein ISO-27001-Zertifikat als Baustein, nicht als fertigen KRITIS-Nachweis; klären Sie die ergänzenden Prüfaspekte früh.
  4. Schlüsseln Sie alte Paragraphenverweise auf die geltende BSIG-Fassung um und verifizieren Sie die genaue Zuordnung am aktuellen Gesetzestext.
  5. Legen Sie die Nachweisvorbereitung als wiederkehrenden Regelbetrieb mit Zeitpuffer an, nicht als einmaliges Projekt vor der Frist.
  6. Gleichen Sie verbindliche Aussagen zu Schwellenwerten, Fristen und Eignungsfeststellungen stets mit den aktuellen BSI-Quellen und Verordnungen ab.

Relevante Normreferenzen

  • BSI-Gesetz (BSIG) in der Fassung des NIS2UmsuCG (BGBl. 2025 I Nr. 301, in Kraft seit 6.12.2025): gesetzlicher Anker für Risikomanagement, Maßnahmen nach Stand der Technik und Nachweispflicht der Betreiber kritischer Anlagen. Die genaue Paragraphen- und Absatzzuordnung (insbesondere B3S sowie Nachweispflicht) ist am aktuellen Gesetzestext zu verifizieren; vor der Novelle wurde insoweit auf die alte Fassung (BSIG a. F.) verwiesen.
  • BSI-KritisV: bestimmt Sektoren, Anlagenkategorien und Schwellenwerte; Stand und Anpassung an das BSIG 2025 sind vor verbindlichen Aussagen zu prüfen.
  • ISO/IEC 27001: methodischer Bezugsrahmen für das ISMS, hier nur als Referenz; ein Zertifikat deckt den KRITIS-Nachweis nicht automatisch ab.
  • BSI IT-Grundschutz: alternativer bzw. komplementärer methodischer Unterbau, frei referenzierbar.
  • NIS2-Richtlinie (RL (EU) 2022/2555): europäischer Rahmen, dessen Umsetzung das BSIG für kritische Anlagen konkretisiert.

Häufige Fragen

Ist ein B3S Pflicht?+

Nein. Pflicht sind Risikomanagement, Sicherheitsmaßnahmen nach Stand der Technik und der Nachweis gegenüber dem BSI. Ein B3S ist eine freiwillige, vom BSI als geeignet festgestellte Hilfe, um diesen Nachweis strukturiert zu führen.

Erstellt das BSI die B3S?+

Nein. B3S werden von Betreibern kritischer Anlagen bzw. ihren Branchenverbänden erarbeitet. Das BSI stellt lediglich deren Eignung fest.

Reicht ein ISO-27001-Zertifikat als KRITIS-Nachweis?+

Nicht automatisch. Der Geltungsbereich muss die kritische Anlage und die gesetzlichen Anforderungen vollständig erfassen; meist sind ergänzende, KRITIS-spezifische Prüfaspekte nötig.

Wie oft muss nachgewiesen werden?+

Nach neuem BSIG in einem Drei-Jahres-Zyklus (zuvor zwei Jahre). Der konkrete nächste Termin kann von Übergangsregelungen abhängen, die im Einzelfall zu prüfen sind.

Was passiert, wenn ein B3S ausläuft?+

Ein abgelaufener oder nicht verlängerter B3S entbindet nicht von der Nachweispflicht. Der Nachweis ist dann auf anderem Weg zu führen, etwa über ISO/IEC 27001 mit ergänzender Prüfung.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen B3S / KRITIS-Nachweis prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: b3s-001.