Die Nutzung eines branchenspezifischen Sicherheitsstandards (B3S) im Rahmen der Nachweiserbringung ist nicht verpflichtend.

Auch wenn ein B3S mit dem passenden Geltungsbereich existiert, ist ein Betreiber einer Kritischen Infrastruktur nicht verpflichtet, diesen umzusetzen. Die Anforderungen gemäß § 8a Absatz 1 BSIG können auch auf andere Weise erfüllt werden.

Ein B3S wird innerhalb der jeweiligen Branche entwickelt und soll Sicherheit bei der Umsetzung und bei der Prüfung der Anforderungen gemäß § 8a Absatz 1 BSIG geben. Zudem vermittelt er Rechtssicherheit, was das BSI im jeweiligen Bereich als "Stand der Technik" ansieht.

Hinweis: § 8a BSIG findet in einigen dedizierten Bereichen der Kritischen Infrastrukturen keine Anwendung, weil hier spezialgesetzliche Regelungen gelten. Dies gilt insbesondere für den Bereich der öffentlichen Telekommunikation. Für diesen Bereich hat die Bundesnetzagentur (BNetzA) einen Katalog mit Sicherheitsanforderungen erstellt:

• Katalog von Sicherheitsanforderungen gemäß § 167 TKG.

Weitere Informationen zum IT-Sicherheitskatalog der BNetzA sind im Internet zu finden unter: www.bundesnetzagentur.de/sicherheitsanforderungen.