Branchenspezifische Sicherheitsstandards

15:26 16 Juni in IT-Sicherheitsgesetz OnePage

Durch § 8a Abs. 2 BSIG wird den Branchen und ihren Fachverbänden die Möglichkeit eingeräumt, branchenspezifische Sicherheitsstandards (B3S) zu erarbeiten, die bei Eignung vom BSI anerkannt werden, und in der Konsequenz die Sicherheitsstandards nach Abs. 1 konkretisieren (§ 8a Abs. 2 Satz 3 BSIG).

B3S werden in den meisten Fällen in den Branchenarbeitskreisen (BAK) des UP KRITIS erarbeitet. Dabei handelt es sich um eine anerkannte Kooperationsplattform zwischen Betreibern und Staat.   stellt hierfür die entsprechenden Strukturen zur Verfügung. Eine Mitgliedschaft in einem BAK setzt zum einen die Teilnahme am UP KRITIS voraus und ferner bedarf es der Zustimmung durch die übrigen Mitglieder des BAK.

Eine Anerkennung eines B3S erfolgt unter folgenden Voraussetzungen:

  1. „Betreiber Kritischer Infrastrukturen und ihrer Branchenverbände“ können branchenspezifische Standards vorschlagen.
  2. Die Anerkennung durch das BSI erfolgt „im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe“ und „im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde“.
  3. Geeignetheit zur Gewährleistung der Anforderungen nach § 8a Abs. 1 BSIG.

Die konkretisierende Wirkung leitet sich also im Ergebnis aus der Anerkennung durch das BSI ab. Die Rechtsnatur dieser anerkannten Branchenstandards ergibt sich weder aus dem Gesetzesentwurf noch aus dessen Begründung.

Dem Wortlaut nach hat das BSI kein Ermessen, sondern ist zur Feststellung verpflichtet, ob diese geeignet sind die Anforderungen zu erfüllen.

Die Betreiber von KRITIS können nach dem IT-SicherheitsG eigene branchenspezifische Sicherheitsstandards entwickeln und gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorschlagen.

WPNO unterstützt Sie bei der Entwicklung und Implementierung branchenspezifischer Mindeststandards. In diesem Rahmen begleiten wir Sie auch bei Ihrer Kommunikation mit dem BSI.

Unsere Wirtschaftsprüfer, Steuerberater, Rechtsanwälte, IT- und Datenschutz-Spezialisten beraten und begleiten Sie gleichermaßen wie unsere externen BSI-IT-Grundschutz-Auditoren, die hauseigenen ISO 27001 Lead-Auditoren sowie die spezialisierten CISA-, CISM-, CGEIT- und CRISC-Fachkräfte gerne bei der Identifizierung, der Konsolidierung und der Auswahl von geeigneten organisatorischen und technischen Maßnahmen, welche Ihre jeweiligen branchenspezifischen Besonderheiten berücksichtigen.

Zudem unterstützen und begleiten wir Sie bei der Präsentation Ihrer Standards gegenüber dem BSI.