Eignungsfeststellung des Branchenspezifischen Sicherheitsstandards B3S für den kommunalen Straßenverkehr

Der Sektor Transport und Verkehr unterliegt seit dem IT-Sicherheitsgesetz einigen zusätzlichen gesetzlichen Anforderungen, sofern eine Anlage als Kritische Infrastruktur (KRITIS) eingestuft wird. Die BSI-KritisV legt dabei Schwellenwerte fest, ab wann eine Anlage als Kritische Infrastruktur zu betrachten ist. Der Schwellenwert für Verkehrssteuerungs- und Leitsysteme im kommunalen Straßenverkehr liegt bei 500.000 versorgten Einwohnern.
Um den gesetzlichen Anforderungen nachzukommen, IT-Sicherheitsmaßnahmen nach „Stand der Technik“ einzusetzen und zu erhalten, können betroffene Unternehmen den Branchenspezifischen Sicherheitsstandard (B3S) Straßenverkehr umsetzen. Die Kernforderung des B3S ist der Aufbau eines ISMS nach ISO/IEC 27001:2013 unter Berücksichtigung der branchenspezifischen Anforderungen. Diese wurden definiert im VDE-Standard DIN VDE V 0832-700, der vom DKE/AK 713.3.5 „Schutzmaßnahmen gegen nicht autorisierte Zugriffe“, in dem auch die admeritia mitwirkt, erstellt wurde. Die Eignung des branchenspezifischen Sicherheitsstandards für den kommunalen Straßenverkehr wurde im April 2019 gemäß § 8a Absatz 2 des BSIG durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) festgestellt. Damit gewährleistet die Umsetzung des Standards die Erfüllung der nach § 8a Absatz 1 BSIG definierten Anforderungen.
Die Frist für die Umsetzung und Prüfung des B3S läuft im Juni 2019 ab. Darüber hinaus unterliegen KRITIS-Unternehmen gleichzeitig einer Meldepflicht von erheblichen IT-Störungen gegenüber dem BSI.