"Stand der Technik" ist ein gängiger juristischer Begriff. Die technische Entwicklung ist schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit vielen Jahren bewährt, in Gesetzen auf den "Stand der Technik" abzustellen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen. Was zu einem bestimmten Zeitpunkt "Stand der Technik" ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards und Normen von beispielsweise DIN, ISO, DKE oder ISO/IEC oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den "Stand der Technik" allgemeingültig und abschließend zu beschreiben.

Sofern Sie von den KRITIS-spezifischen Regelungen des BSI-Gesetzes betroffen sind, ist Ihre Organisation verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung (also der BSI-KritisV) "angemessene Vorkehrungen zur Vermeidung von Störungen […] ihrer informationstechnischen Systeme, Komponenten und Prozesse" nach dem "Stand der Technik" zu treffen und dies gegenüber dem BSI nachzuweisen.

Der Stand der Technik kann von Betreibern oder Verbänden in B3S erfasst und dem BSI zur Feststellung der Eignung vorgelegt werden.

Hinweis

§ 8a BSIG hat in einigen dedizierten Bereichen der Kritischen Infrastrukturen keine Gültigkeit, weil hier spezialgesetzliche Regelungen gelten. Dies gilt insbesondere für die Bereiche der öffentlichen Telekommunikation, der Energienetze und Energieanlagen. Für die genannten Bereiche hat die Bundesnetzagentur (BNetzA) Kataloge mit Sicherheitsanforderungen erstellt. Der Katalog für Energieanlagen ist zzt. noch in Erarbeitung. Weitere Informationen zum IT-Sicherheitskatalog der Bundesnetzagentur sind im Internet zu finden unter: www.bundesnetzagentur.de/it-sicherheitskatalog-energie