Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat erstmals die Eignung eines branchenspezifischen Sicherheitsstandards (B3S) festgestellt. Damit haben Betreiber kritischer Infrastrukturen die Möglichkeit, die nach § 8a BSIG zu treffenden organisatorischen und technischen Vorkehrungen nach dem Stand der Technik anhand dieses anerkannten Standards durchzuführen und nachzuweisen.

Der Gesetzgeber schreibt vor, dass Versorgungsunternehmen die die Schwellenwerte der BSI-Kritisverordnung (BSI-KritisV) erreichen oder überschreiten erstmals am 3. Mai 2018 nachweisen müssen, dass ihre IT-Infrastruktur gemäß den gesetzlichen Vorgaben des BSIG geschützt ist. Im Sektor öffentliche Wasserversorgung und Abwasserbeseitigung sind Unternehmen betroffen, deren jährliches Wasseraufkommen bei mindestens 22 Millionen m³/Jahr liegt.

Nach § 8a Abs. 2 BSIG haben Betreiber kritischer Infrastrukturen und ihre Branchenverbände die Möglichkeit branchenspezifische Sicherheitsstandards (B3S) zur Gewährleistung der Anforderungen des Gesetzes vorzuschlagen. Das Bundesamt stellt dann auf Antrag fest, ob diese geeignet sind, die Anforderungen zu gewährleisten. Auf den Antrag des Deutscher Verein des Gas- und Wasserfaches e. V. (DVGW) und des Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall e. V. (DWA) hat das BSI nun erstmals einen solchen Standard als geeignet festgestellt. Dieser Standard besteht aus einem von den Verbänden veröffentlichten Merkblatt und dem DVGW-/DWA-IT-Sicherheitsleitfaden sowie den DVGW-/DWA-Regularien. Diese dienen zur Nachweisführung nach § 8a Abs. 3 BSIG. Diese Unterlagen sowie weitere Informationen können beispielsweise über die Webseite des DVGW bezogen werden.

Auch Unternehmen aus dem Bereich Wasserversorgung und Abwasserbeseitigung, die nicht als Betreiber kritischer Infrastrukturen nach BSIG gelten, können den Standard umsetzen, um die IT-Sicherheit ihrer Wasserversorgungs- und Abwasserentsorgungsanlagen zu erhöhen.

Auf der Homepage des BSI sind die bislang vom BSI festgestellten B3S aufgeführt. Darüber hinaus sind dort die B3S aufgelistet, die sich in der Erstellung bzw. im Verfahren der Vorabeignungsprüfung befinden. Darunter befinden sich beispielsweise solche für CDN und Vertrauensdienste, eingereicht vom BAK Datacenter & Hosting oder zum sicheren IT-Betrieb Variante Banken und Versicherungen, eingereicht vom Deutschen Sparkassen- und Giroverband e. V.

Christian Krösch

Rechtsanwalt, Betriebswirt (IWW)
Fachanwalt für Insolvenzrecht
Datenschutzauditor (TÜV)
Datenschutzbeauftragter (TÜV)

Zum Profil
Christian Krösch