Nach § 8b Absatz 3 BSIG müssen Betreiber Kritischer Infrastrukturen, spätestens zwei Jahre nach Inkrafttreten der BSI-KritisV nach § 10 Abs. 1 „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“

Die Betreiber sollen dabei den Stand der Technik umsetzen (§ 8b Absatz 3 BSIG). Dies kann durch die Anwendung von „branchenspezifische[n] Sicherheitsstandards (B3S) zur Gewährleistung der Anforderungen“ geschehen, die von den Betreibern der Kritischen Infrastrukturen oder Fachverbänden erarbeitet und dem BSI zur Eignungsfeststellung vorgelegt werden.

Die gesetzliche Anforderung aus § 8b Absatz 3 BSIG betrifft das Meldeverfahren der Betreiber Kritischer Infrastrukturen, wodurch die Betreiber Kritischer Infrastrukturen dazu verpflichtet werden, dem BSI eine Kontaktstelle (sog. Single Point of Contact (SPOC)) zu benennen. Hiernach müssen Betreiber Kritischer Infrastrukturen binnen sechs Monaten eine Kontaktstelle benennen, über die sie jederzeit (Funktions-Mail bzw. Funktionspostfach mit einer 24/7 Erreichbarkeit) erreichbar sind. Die Übermittlung von IT-Sicherheitsinformationen durch das BSI erfolgt ebenfalls an diese Kontaktstelle.