Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
B3S Beratung: Sicherheitsstandards für KRITIS | SECURAM

ISMS · §30 Abs. 9 BSIG

B3S Beratung für KRITIS-Betreiber

Branchenspezifische Sicherheitsstandards (B3S) konkretisieren die IT-Sicherheitsanforderungen nach §30 BSIG für einzelne KRITIS-Sektoren. Das BSI erkennt B3S im Zwei-Jahres-Zyklus an. Betreiber kritischer Infrastrukturen in den Sektoren Energie, Gesundheit, Wasser, Transport und Finanzwesen weisen damit die Einhaltung der gesetzlichen Anforderungen nach. SECURAM begleitet bei der Umsetzung des sektorspezifischen B3S, beim Nachweis nach §39 BSIG und bei der Vorbereitung auf BSI-Prüfungen.

Erstgespräch vereinbaren Leistungsumfang ↓
B3S Branchenstandard

Ausgangslage

Warum B3S für KRITIS-Betreiber verbindlich werden

Branchenspezifische Sicherheitsstandards schaffen Rechtssicherheit bei der Umsetzung gesetzlicher IT-Sicherheitsanforderungen.

§30 BSIG verpflichtet Betreiber kritischer Infrastrukturen zur Umsetzung angemessener IT-Sicherheitsmaßnahmen nach dem Stand der Technik. Was „Stand der Technik" im Detail bedeutet, bleibt im Gesetz abstrakt. Branchenspezifische Sicherheitsstandards (B3S) füllen diese Lücke: Sie übersetzen die gesetzlichen Anforderungen in konkrete, prüfbare Maßnahmen für den jeweiligen Sektor. §30 Abs. 9 BSIG erlaubt Branchenverbänden, solche Standards beim BSI zur Eignungsfeststellung einzureichen. Nach positiver Prüfung gelten sie zwei Jahre als anerkannter Nachweis.

Die Bedeutung der B3S steigt mit dem Inkrafttreten des KRITIS-Dachgesetzes und den verschärften Anforderungen durch NIS-2. Betreiber, die ihren sektorspezifischen B3S umsetzen und zusätzlich ein ISMS nach ISO 27001 betreiben, sind für beide Nachweispflichten aufgestellt. Der B3S liefert die branchenspezifische Konkretisierung, ISO 27001 den methodischen Rahmen für das Managementsystem.

In unseren Projekten beginnen wir mit der Identifikation des anwendbaren B3S und einer GAP-Analyse gegen dessen Anforderungen. Organisationen mit bestehendem ISMS oder BSI-IT-Grundschutz-Zertifizierung starten mit deutlichem Vorsprung, weil die Risikomanagement-Methodik und wesentliche Dokumentationsstrukturen bereits vorhanden sind. Die größten Lücken bestehen typischerweise bei sektorspezifischen technischen Maßnahmen und den Meldepflichten nach NIS-2.

Leistungsumfang

B3S: Von der Bestandsaufnahme bis zum BSI-Nachweis

Acht Bausteine decken den gesamten B3S-Lebenszyklus ab — von der Sektorzuordnung bis zur laufenden Pflege.

01

B3S-Bestandsaufnahme

Identifikation des anwendbaren B3S für Ihren Sektor. Prüfung der BSI-Anerkennung, Gültigkeitsdatum und Aktualität der vorliegenden Fassung.

02

GAP-Analyse

Systematischer Abgleich des IST-Zustands gegen die Anforderungen des sektorspezifischen B3S. Ergebnis: priorisierter Maßnahmenplan mit Aufwandsschätzung.

03

Maßnahmenplanung

Erstellung eines strukturierten Umsetzungsplans auf Basis der GAP-Analyse. Priorisierung nach Kritikalität, Aufwand und regulatorischer Dringlichkeit.

04

Implementierung

Umsetzung der technischen und organisatorischen Maßnahmen nach B3S-Vorgaben. Integration in bestehende ISMS-Strukturen, wo vorhanden.

05

Dokumentation

Aufbau der Nachweisdokumentation für den BSI-Nachweis nach §39 BSIG. Richtlinien, Verfahrensanweisungen, Prüfprotokolle und Risikobewertungsberichte.

06

Internes Audit

Wirksamkeitsprüfung der umgesetzten Maßnahmen gegen die B3S-Anforderungen. Identifikation von Restrisiken und Verbesserungspotenzial vor dem BSI-Nachweis.

07

BSI-Nachweisvorbereitung

Strukturierte Vorbereitung auf die Prüfung nach §39 BSIG. Zusammenstellung der Nachweisdokumentation, Simulation von Prüfungssituationen und Koordination mit Prüfstellen.

08

Schulung und Awareness

Sensibilisierung der Mitarbeiter für sektorspezifische Anforderungen des B3S, Meldepflichten und die persönliche Verantwortung der Geschäftsleitung.

Ablauf

B3S-Implementierung in 6 Phasen

B3S-Scope und Sektorzuordnung

Woche 1–2

Identifikation des anwendbaren B3S für Ihren Sektor. Prüfung der BSI-Anerkennung und des Gültigkeitszeitraums. Festlegung des Projektumfangs und der betroffenen Anlagen.

Ergebnis: Scope-Dokument mit anwendbarem B3S

GAP-Analyse

Woche 2–4

Systematischer Vergleich bestehender Sicherheitsmaßnahmen mit den Anforderungen des sektorspezifischen B3S. Bewertung des Erfüllungsgrads je Anforderungsbereich.

Ergebnis: GAP-Report mit priorisiertem Maßnahmenplan

Maßnahmenimplementierung

Woche 4–12

Umsetzung der technischen und organisatorischen Maßnahmen. Bei bestehendem ISMS: Integration der B3S-spezifischen Anforderungen in vorhandene Prozesse und Dokumentation.

Ergebnis: Umgesetzte Controls, aktualisierte Richtlinien

Dokumentation und Nachweisführung

Woche 10–14

Aufbau der vollständigen Nachweisdokumentation für den BSI-Nachweis nach §39 BSIG. Konsolidierung von Richtlinien, Prüfprotokollen und Risikobewertungen.

Ergebnis: Nachweisdokumentation für BSI

Internes Audit

Woche 12–15

Wirksamkeitsprüfung der umgesetzten Maßnahmen vor dem BSI-Nachweis. Identifikation von Abweichungen und Korrekturmaßnahmen.

Ergebnis: Auditbericht mit Feststellungen und Empfehlungen

BSI-Nachweis und ISBaaS-Übergang

Woche 15–18

Koordination der BSI-Nachweiseinreichung nach §39 BSIG. Vorbereitung der Übergabe an den laufenden ISBaaS-Betrieb für die kontinuierliche Pflege und den nächsten Zwei-Jahres-Zyklus.

Ergebnis: BSI-Einreichung, ISBaaS-Übergabedokumentation

Zeitangaben beziehen sich auf ein Erstprojekt im Mittelstand (100–500 Mitarbeiter). Bei bestehenden Managementsystemen oder erfahrenen Organisationen verkürzen sich die Phasen entsprechend.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Skalierung

Vom Branchenstandard zur Zertifizierung

B3S konkretisieren die KRITIS-Anforderungen für einzelne Sektoren. Die Kombination mit ISO 27001 schafft ein belastbares Managementsystem.

Organisationen, die ihren B3S umsetzen und ein ISMS nach ISO 27001 etablieren, erfüllen die Nachweispflichten nach §39 BSIG mit deutlich weniger Aufwand. Die KRITIS-Anforderungen bauen auf beiden Säulen auf.

Weitere Standards in der ISMS-Säule
NIS-2 TISAX BSI IT-Grundschutz DORA CRA CISIS12

Laufender Betrieb

ISBaaS — Externer Informationssicherheitsbeauftragter

Nach Abschluss der B3S-Implementierung übernimmt das ISBaaS-Modell den laufenden Betrieb des Informationssicherheits-Managementsystems. Ein externer Informationssicherheitsbeauftragter stellt sicher, dass die B3S-Maßnahmen dauerhaft wirksam bleiben und die Dokumentation aktuell gehalten wird.

B3S-Nachweise müssen alle zwei Jahre erneuert werden. Das ISBaaS-Modell stellt sicher, dass Aktualisierungen des B3S rechtzeitig in die operativen Prozesse einfließen und der nächste Nachweis nach §39 BSIG vorbereitet ist, bevor die Frist abläuft.

  • B3S-Anforderungspflege im Zwei-Jahres-Zyklus
  • BSI-Nachweis-Koordination nach §39 BSIG
  • ISMS-Betrieb und Risikomanagement
  • Sektorspezifische Meldepflichten

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — B3S

Branchenspezifische Sicherheitsstandards (B3S) sind von Branchenverbänden erarbeitete und vom BSI anerkannte Konkretisierungen der IT-Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen. §30 Abs. 9 BSIG erlaubt Branchen, eigene Standards beim BSI zur Anerkennung einzureichen. Ein anerkannter B3S gibt Betreibern Rechtssicherheit bei der Umsetzung der gesetzlichen Anforderungen und dient als Prüfgrundlage beim Nachweis nach §39 BSIG.
B3S richten sich an Betreiber kritischer Infrastrukturen, die unter das BSIG fallen und deren Anlagen die in der BSI-KritisV definierten Schwellenwerte erreichen. Die Umsetzung eines B3S ist freiwillig, bietet aber einen anerkannten Weg zum Nachweis der IT-Sicherheitsanforderungen nach §30 BSIG. In der Praxis nutzen die meisten KRITIS-Betreiber den für ihren Sektor geltenden B3S als Rahmenwerk, weil er die abstrakten Gesetzesanforderungen in konkrete, prüfbare Maßnahmen übersetzt.
Anerkannte B3S existieren unter anderem für die Sektoren Energie (Strom, Gas), Wasser und Abwasser, Gesundheit (Krankenhäuser, Labordiagnostik, Pharma), Transport und Verkehr, Finanz- und Versicherungswesen, Ernährungsindustrie und IT/Telekommunikation. Das BSI führt eine öffentliche Liste aller anerkannten B3S mit Gültigkeitsdatum. Da die Anerkennung auf zwei Jahre befristet ist, werden die Standards regelmäßig aktualisiert und neu eingereicht.
Ein Branchenverband oder eine Branchenarbeitsgruppe erarbeitet den Standard und reicht ihn beim BSI zur Eignungsfeststellung ein. Das BSI prüft, ob der B3S die Anforderungen nach §30 BSIG abdeckt und dem aktuellen Stand der Technik entspricht. Nach positiver Prüfung spricht das BSI die Eignung für zwei Jahre aus. Einzelne Betreiber können den Standard nicht selbst einreichen. Sie setzen den vom BSI anerkannten B3S ihres Sektors um und weisen die Umsetzung nach §39 BSIG nach.
Die BSI-Anerkennung eines B3S gilt für zwei Jahre ab dem Datum der Eignungsfeststellung. Nach Ablauf muss der Branchenverband eine aktualisierte Fassung einreichen, die den aktuellen Stand der Technik und etwaige Gesetzesänderungen berücksichtigt. Für Betreiber bedeutet das: Sie müssen prüfen, ob die aktuelle Version ihres B3S noch gültig ist, und ihre Maßnahmen gegebenenfalls an die neue Fassung anpassen. SECURAM begleitet diesen Aktualisierungsprozess im Rahmen des ISBaaS-Modells.
ISO 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme mit allgemeiner Gültigkeit über alle Branchen hinweg. Ein B3S hingegen konkretisiert die IT-Sicherheitsanforderungen für einen bestimmten KRITIS-Sektor und berücksichtigt branchenspezifische Risiken, Technologien und regulatorische Besonderheiten. In der Praxis ergänzen sich beide: Ein ISMS nach ISO 27001 liefert den methodischen Rahmen, der B3S fügt die sektorspezifischen Anforderungen hinzu. Betreiber, die beides umsetzen, erfüllen sowohl die internationalen als auch die nationalen Anforderungen.
B3S adressieren die IT-Sicherheitsanforderungen nach §30 BSIG (Cybersicherheit, BSI-Aufsicht). Das KRITIS-Dachgesetz regelt die physische Resilienz kritischer Anlagen (BBK-Aufsicht). Beide Regelwerke können für denselben Betreiber parallel gelten. B3S decken den digitalen Teil ab, das KRITIS-Dachgesetz den physischen. Betreiber, die ihren B3S umsetzen und zusätzlich einen Resilienzplan nach dem KRITIS-Dachgesetz erstellen, erfüllen beide Anforderungsstränge. Die Integration beider Systeme vermeidet parallele Dokumentation.
Der Beratungsaufwand richtet sich nach Sektor, Unternehmensgröße und dem Reifegrad bestehender Sicherheitsmaßnahmen. SECURAM kalkuliert auf Personentag-Basis. Ein typischer Einstieg ist die GAP-Analyse, die den Ist-Zustand gegen den sektorspezifischen B3S abgleicht und einen priorisierten Maßnahmenplan liefert. Organisationen mit bestehendem ISMS nach ISO 27001 starten mit deutlich geringerem Aufwand, weil Risikomanagement-Methodik und Dokumentationsstrukturen bereits vorhanden sind.
SECURAM verbindet B3S-Umsetzung mit bestehender ISMS- und BCMS-Kompetenz. Die parallele Erfahrung aus ISO-27001-Projekten, KRITIS-Beratung und NIS-2-Umsetzung ermöglicht eine integrierte Implementierung, die Überschneidungen zwischen den Standards systematisch nutzt. Das ISBaaS-Modell sichert nach der Implementierung den laufenden Betrieb einschließlich der B3S-Aktualisierung im Zwei-Jahres-Zyklus und der Koordination der BSI-Nachweise nach §39 BSIG.

B3S-Umsetzung starten

Vereinbaren Sie ein Erstgespräch zur Analyse Ihres B3S-Handlungsbedarfs.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in die B3S-Umsetzung

GAP-Analyse

B3S GAP-Analyse

Abgleich Ihres IST-Zustands gegen den sektorspezifischen B3S mit priorisiertem Maßnahmenplan.

GAP-Analyse anfragen →
Internes Audit

Internes Audit nach B3S

Wirksamkeitsprüfung der umgesetzten Maßnahmen vor dem BSI-Nachweis nach §39 BSIG.

Audit anfragen →
Implementierung

B3S implementieren

Strukturierte Umsetzung des sektorspezifischen B3S — von der Maßnahmenplanung bis zum BSI-Nachweis.

Implementierung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen