B3S werden in der Regel in den Branchenarbeitskreisen des UP KRITIS erarbeitet. Der UP KRITIS ist eine öffentlich-private Kooperation zum Schutz Kritischer Infrastrukturen in Deutschland.

Weitere Informationen dazu findet man auf den Seiten des UP KRITIS bei den Branchenarbeitskreisen und auf den Seiten des BSI zu den Branchenspezifischen Sicherheitsstandards.

Im Zuge der Erarbeitung von B3S müssen zunächst übergreifende Schutzziele, Bedrohungen, Risiken, Prozessen, Technologien etc. identifiziert werden, die in einem (oder ggf. in mehreren, spezialisierten) B3S behandelt werden sollen.

Ein B3S dient als Richtlinie für Betreiber, die von der Bündelung des Wissens aus mehreren Quellen profitieren, Die im B3S enthaltenen Anforderungen sind ausreichend abstrakt, so dass sie unabhängig von der im Einzelfall eingesetzten IT umgesetzt werden können. Dennoch soll die Umsetzung der Sicherheitsanforderungen möglichst konkret durch den B3S vorgegeben werden. Anforderungen können technische Vorgaben oder die Verwendung einer spezifischen Methodik beziehungsweise Vorgehensweise sein.

Die Feststellung der Eignung eines Branchenspezifischen Sicherheitsstandards (B3S) erfolgt in der Regel für drei Jahre. Spätestens nach drei Jahren sollte daher überprüft werden, inwiefern die im B3S getroffenen Annahmen und Beschreibungen sowie die umzusetzenden Maßnahmen noch der aktuellen Bedrohungslage und dem aktuellen "Stand der Technik" entsprechen. Eine Vorlage desselben B3S zur erneuten Eignungsprüfung ist möglich.

Sollte der B3S dem Stand der Technik nicht mehr genügen, kann das BSI die Eignungsfeststellung widerrufen. Ein "automatischer Widerruf" wird jedoch nicht erfolgen. Übergangsfristen für die Nutzung zur Erstellung einer Prüfgrundlage, wie beispielsweise bei der IT-Grundschutzzertifizierung, sind nicht notwendig.

Nach Ablauf der auf drei Jahre befristeten Eignungsfeststellung durch das BSI kann grundsätzlich nicht mehr davon ausgegangen werden, dass der "Stand der Technik" durch die im B3S beschriebenen Sicherheitsvorkehrungen in vollem Umfang erfüllt ist.

Auch bei vorliegender Eignungsfeststellung des B3S muss für den Nachweis gemäß § 8a Absatz 3 BSIG die Aktualität der im B3S beschriebenen Vorkehrungen geprüft werden.

Ein B3S stellt keine Prüfgrundlage dar, sondern stellt Maßnahmen und Vorgehensweisen zur Verfügung, mit deren Umsetzung KRITIS-Betreiber der jeweiligen Branche die Anforderungen des § 8a Absatz 1 BSIG erfüllen können. Die Wahl einer geeigneten Prüfgrundlage für Prüfungen gemäß § 8a Absatz 3 BSIG obliegt generell den durchführenden Auditoren. Die Auditoren müssen dabei selbst sicherstellen, dass die verwendete Prüfgrundlage zur Bewertung geeignet ist, ob ein KRITIS-Betreiber ein hinreichendes IT-Sicherheitsniveau im Sinne des § 8a Absatz 1 BSIG erreicht hat. Da ein B3S den Stand der Technik für eine Branche abbildet und vom BSI diesbezüglich geprüft wurde, liegt es nahe, diesen zur Erstellung einer Prüfgrundlage heranzuziehen.

Ist die Eignung eines B3S formal abgelaufen, bedeutet dies nicht, dass der B3S aus Sicht des BSI nicht länger den Stand der Technik abbildet, sondern ausschließlich dass das BSI seine positive Aussage bzgl. der Eignung aufgrund der verstrichenen Frist nicht länger aufrecht erhält. Daher können auch von ihm abgeleitete Prüfgrundlagen weiterhin geeignet sein, um Prüfungen gemäß § 8a Absatz 3 BSIG durchzuführen.

Da Prüfer die Eignung ihrer Prüfgrundlage selbst kontinuierlich prüfen und verifizieren müssen, dass diese ausreichend und aktuell sind, entstehen hier ggf. höhere Aufwände, da keine positive Aussage des BSI bzgl. der Eignung des B3S mehr vorliegt. Das BSI verbindet hiermit jedoch keine Aussage bzgl. der Nicht-Eignung des B3S. Existieren aktuellere B3S, sollten diese zur Erstellung einer Prüfgrundlage verwendet werden.

In einem B3S kann auf bereits existierende und gültige Vorgaben wie z. B. Standards, Normen, Regelwerke, Best Practices usw. verwiesen werden

Hierbei müssen die hieraus für den Betreiber zu erfüllenden Anforderungen klar benannt werden.

Ein B3S kann ggf. als Ergänzung zu einem bestehenden Standard erstellt werden.

Die Integration der erwähnten Managementsysteme in bestehende Strukturen eines Betreibers ist möglich und oft im wirtschaftlichen Interesse des Betreibers. Die Aufgaben der verschiedenen Managementsysteme können aber auch in ein gemeinsames Managementsystem integriert werden.

Mehrere B3S einer Branche sind zulässig. Gründe für die Erstellung mehrerer B3S können unter anderem sein:

• Unterschiedliche Anwendungsbereiche der B3S
• Aufgrund unterschiedlicher Umsetzung von Sicherheitsvorkehrungen können unterschiedliche Standards zu einem gleichwertigen Ergebnis kommen.
• Die B3S sind Eigentum der Autoren. Gegebenenfalls ist ein B3S nicht für sämtliche Betreiber einer Branche verfügbar.

Branchenspezifische Sicherheitsstandards dienen gemäß § 8a Absatz 2 BSIG der Konkretisierung von den Maßnahmen, die Betreiber Kritischer Infrastrukturen umsetzen können, um § 8a Absatz 1 und Absatz 1a BSIG zu erfüllen. B3S haben dabei nicht den Anspruch, die einzige Möglichkeit für die Erfüllung von § 8a Absatz 1 und Absatz 1a BSIG darzustellen. Es kann durchaus weitere Möglichkeiten geben, ein angemessenes Sicherheitsniveau im Sinne von § 8a Absatz 1 und Absatz 1a BSIG zu erreichen.

B3S dienen nicht der Festlegung der Prüfmethodik oder von Prüfhandlungen. Es ist nicht der Zweck eines B3S, Prüfern als Prüfgrundlage für Nachweise gemäß § 8a Absatz 3 BSIG zu dienen.

Die Auswahl und Verwendung einer geeigneten Prüfgrundlage für Prüfungen im Rahmen des § 8a Absatz 3 BSIG liegt in der Verantwortung der Prüfer. Der B3S kann dazu dienen, eine entsprechende Prüfgrundlage zu erstellen.

Bei der Erstellung einer geeigneten Prüfgrundlage sollten die aktuellen B3S beachtet werden, da sie den Stand der Technik in der Branche widerspiegeln.

Die Eignungsfeststellung eines B3S kann grundsätzlich unmittelbar nach Abschluss der Prüfung erfolgen, wenn der B3S vollständig und uneingeschränkt geeignet eingereicht wird. Liegt der Reifegrad des B3S hingegen unter den notwendigen Anforderungen, dauert die Feststellung üblicherweise zwischen sechs und zwölf Monaten. In dieser Zeit bewertet das BSI den vorgelegten B3S und kommuniziert den seitens des BSI identifizierten, noch ausstehenden Weiterentwicklungsbedarf an die Einreichenden. Begleitend kann das BSI u. a. kurze Workshops mit den Einreichenden veranstalten, um offene Änderungen direkt zu besprechen und Hinweise zu Lösungsmöglichkeiten zu geben. Für diese Feedback- & Weiterentwicklungsrunden werden in der Regel einige Monate benötigt - je nachdem, wie schnell innerhalb der Branche Lösungen für die identifizierten Herausforderungen gefunden und im B3S umgesetzt werden können.

Das BSI kann bei fehlenden Erfolgsaussichten der Prüfung des B3S die Begleitung jederzeit beenden und stellt dann die Nichteignung fest. Spätestens nach 12 Monaten führt das BSI die abschließende Prüfung des vorliegenden B3S-Entwurfs durch und erstellt einen dem Prüfergebnis entsprechenden Bescheid.

Am 1. Oktober 2019 ist die Besondere Gebührenverordnung des Bundesministeriums des Innern und für Heimat für individuell zurechenbare öffentliche Leistungen (Besondere Gebührenverordnung BMI, BGebV BMI) in Kraft getreten. Das darin enthaltene Gebühren- und Auslagenverzeichnis sieht nun in Abschnitt 7 Nummer 7 auch die Prüfung der Eignung branchenspezifischer Sicherheitsstandards nach § 3 Absatz 1 Satz 2 Nummer 17 in Verbindung mit § 8a Absatz 2 Satz 2 des BSI-Gesetzes (BSIG) als neuen Gebührentatbestand vor.

Das BSI hat somit die erforderlichen Arbeitsstunden zur Prüfung der Eignung des eingereichten B3S-Vorschlags aufzuführen und die Kosten von dem Antragsteller zu erheben.

Die Gebühren für die Prüfung fallen unabhängig vom Ergebnis der Prüfung an. Sollte der Antrag zurückgezogen werden oder das Verfahren der Prüfung aus anderen Gründen abgebrochen werden, fallen Kosten im Rahmen der bis zu diesem Zeitpunkt entstandenen Aufwände an.