ドイツ 連邦情報セキュリティー局：重要インフラ事業者に対するITセキュリティ調査

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局が重要インフラ事業者のITセキュリティ対策の実施状況等の調査をし、その結果を報告していますね。。。興味深いです。。。

ちなみに、この報告書ででてくるEnWG/TKG事業者とは、

• エネルギー産業法（Energiewirtschaftsgesetz: EnWG）
• 電気通信法（Telekommunikationsgesetz: TKG）

により、規制される事業者のことですかね。。。

技術的な対策で実装レベルの対策がおくれている分野

• クライアントの分離（54％）
• DDoSの緩和（50％）
• 安全なソフトウェア開発（47％）

15～20％が「わからない」と回答していることから、この分野での情報不足がうかがえる。

組織的な対策での特徴的な点

文書作成については、手をつけるのが遅れているようですね。。。

IT予算に閉めるサイバーセキュリティの割合は、平均14％、、、

---

IT予算に占めるサイバーセキュリティの割合は平均14％で、大事業者（12％）より中小事業者（16％）の方が若干高い。大半の事業者（58％）は、10％未満の割合しか割り当てていない。IT予算の11～20パーセントをセキュリティ対策に充てているのは4分の1（28パーセント）で、それ以上の割合は14パーセントに過ぎない。

---

ということですね。。。

 

● Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2023.10.02 BSI veröffentlicht Ergebnisse der Befragung von Betreibern Kritischer Infrastrukturen zur Evaluierung des IT-Sicherheitsgesetzes 2.0

BSI veröffentlicht Ergebnisse der Befragung von Betreibern Kritischer Infrastrukturen zur Evaluierung des IT-Sicherheitsgesetzes 2.0	BSI、ITセキュリティ法2.0を評価するための重要インフラ事業者調査の結果を公表
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führte in Zusammenarbeit mit einem Dienstleister für Markt- und Meinungsforschung im Auftrag des Bundesministeriums des Innern und für Heimat (BMI) eine Erhebung bei KRITIS-Betreibern zur Wirksamkeit der gesetzlichen Maßnahmen des IT-Sicherheitsgesetzes durch.	連邦情報セキュリティー局（BSI）は、市場・世論調査のサービスプロバイダーと協力して、連邦内務省（BMI）の委託を受け、重要インフラ事業者を対象にITセキュリティー法の法的措置の有効性に関する調査を実施した。
Im Zeitraum vom 21. Februar 2023 bis zum 10. März 2023 hatten Betreiber Kritischer Infrastruktur die Möglichkeit, an der Online-Befragung zur Evaluierung des IT-Sicherheitsgesetzes 2.0 teilzunehmen. Insgesamt haben mehr als 45 Prozent der zur Teilnahme eingeladenen Betreiber die Fragen beantwortet. Diese hohe Beteiligungsquote zeigt, welchen Stellenwert das Thema IT-Sicherheit und die entsprechenden gesetzlichen Regelungen haben.	2023年2月21日から2023年3月10日までの期間、重要インフラ事業者はITセキュリティ法2.0を評価するためのオンライン調査に参加する機会を得た。全体として、参加を呼びかけた事業者の45％以上が質問に回答した。この高い参加率は、ITセキュリティとそれに対応する法的規制がいかに重要であるかを示している。
Ein zentrales Ergebnis der Befragung ist, dass die Vorgaben des BSI-Gesetzes eine hohe Akzeptanz bei den Betreibern Kritischer Infrastrukturen haben. So halten neun von zehn Betreibern die Maßnahmen für sinnvoll. Ebenfalls bestätigen drei Viertel der Betreiber einen positiven Einfluss auf die IT-Sicherheit in ihrem Unternehmen. Die Befragung hat außerdem gezeigt, dass das Thema Informationssicherheit im Zuge der Digitalisierung für beinahe alle Betreiber eine große Rolle spielt und mehrheitlich von Anfang an mitgedacht wird.	調査の主な結果は、BSI法の要求事項が重要インフラの事業者の間で高いレベルで受け入れられていることである。事業者の10人中9人が、その対策は賢明であると考えている。同様に、4分の3の事業者が、自社のITセキュリティに好影響を与えていることを確認している。この調査では、情報セキュリティのテーマは、デジタル化の過程でほぼすべての事業者にとって主要な役割を果たしており、大半の事業者が当初から検討していることも示された。

 

・[PDF] Untersuchung zur Wirksamkeit der IT-Sicherheitsgesetze unter Betreibern Kritischer Infrastrukturen

・[DOCX] 仮訳

 

 

エグゼクティブサマリー...

1. ZUSAMMENFASSUNG	1.概要
Die Umsetzung technischer Sicherheitsmaßnahmen ist bei den meisten Unternehmen weit vorangeschritten, insbesondere VPN und Zugangskontrollen, die nur in Einzelfällen noch nicht implementiert sind. Am geringsten ist der Umsetzungsstand bei der Client-Isolation, DDoS-Mitigation und der sicheren Software-Entwicklung. Großunternehmen liegen hier fast durchweg vor den kleinen und mittleren Unternehmen (KMU).	技術的なセキュリティ対策の導入は、ほとんどの事業者で進んでおり、特にVPNやアクセス制御は、個別のケースでまだ導入されていないだけである。最も実装レベルが低いのは、クライアントの分離、DDoSの緩和、安全なソフトウェア開発である。ここでは、大事業者が中小事業者をほぼ一貫してリードしている。
Bei der Umsetzung organisatorischer Sicherheitsmaßnahmen liegen die Unternehmen etwas weiter zurück. Weitgehend flächendeckend eingeführt sind jedoch die Aufrechterhaltung des aktuellen Informationsstandes und die Sensibilisierung/ Schulung der Mitarbeitenden. Die größten Defizite zeigen sich bei der Einführung von Security Operations und einer sicheren Dokumentenerstellung.	事業者は、組織的なセキュリティ対策の実施において、やや遅れをとっている。しかし、現状の情報レベルの維持と従業員への啓発・教育は、ほぼ全社的に導入されている。最も遅れているのは、セキュリティ運用と安全な文書作成の導入である。
EnWG-/ TKG-Betreiber haben bei der Implementierung der technischen Maßnahmen einen leichten, bei der Einführung der organisatorischen Maßnahmen einen deutlichen Vorsprung gegenüber den anderen KRITIS-Unternehmen.	EnWG/TKG事業者は、技術的措置の実施において他のCRITIS事業者より若干リードしており、組織的措置の導入においては明らかにリードしている。
Hauptgrund für die Einführung von Sicherheitsmaßnahmen ist die aktuelle IT-Bedrohungslage, aber auch die IT-Sicherheitsgesetzgebung spielt dafür eine wichtige Rolle – bei KMU ist sie sogar fast ebenso so groß.	セキュリティ対策を導入する主な理由は、現在のIT脅威の状況にあるが、ITセキュリティ法制も重要な役割を果たしている。
Das IT-Sicherheits-Budget wird von der Mehrheit als nicht angemessen beurteilt, auch wenn sechs von zehn Unternehmen es in den letzten zwei Jahre erhöhten: Den Anteil am gesamten IT-Budget - im Durchschnitt 14 Prozent - hält nur jedes dritte Unternehmen für ausreichend. KMU, die über einen etwas höheren prozentualen Anteil verfügen als Großunternehmen, äußern sich häufiger zufrieden.	IT セキュリティ予算は、10 社中 6 社が過去 2 年間に増額しているにもかかわらず、大多数が適切とは考えていない：IT 予算全体に占める割合（平均 14%）は、3 社に 1 社しか適切でないと考えていない。IT予算全体に占める割合は平均14％で、3社に1社しか適切でないと考えている。
Sieben von zehn Unternehmen, deutlich stärker jedoch Großunternehmen als KMU, nehmen gegenwärtig eine erhöhte IT-Bedrohungslage wahr. Als Hauptursachen werden der Ukraine-Krieg bzw. die geopolitische/ weltpolitische Lage sowie die zunehmenden und gezielten Angriffe auf KRITIS-Betreiber genannt. EnWG /TKG-Unternehmen beobachten häufiger eine erhöhte IT-Gefährdungslage als die Unternehmen anderer Sektoren.	10社中7社が、中小事業者よりも大事業者の方が、IT脅威が増大していると認識している。ウクライナ戦争、地政学的／世界的な政治情勢、CRITIS事業者に対する攻撃の増加や標的型攻撃が主な原因として挙げられている。EnWG /TKG事業者は、他のセクターの事業者よりも頻繁にIT脅威の増加を観察している。
Nicht alle, aber immerhin doch ein Großteil der besorgten Unternehmen erlebte in den vergangenen zwei Jahren eine stärkere Gefährdungslage speziell aufgrund häufigerer Cyber-Angriffe auf das eigene IT-System. Auch hier waren Großunternehmen stärker betroffen als KMU. Die mit Abstand häufigsten Cyber-Attacken erfolgten in Form von Phishing und Schadsoftware in Mailanhängen.	すべてではないが、少なくとも大半の関係事業者は、過去2年間に脅威の状況が強まり、特に自社のITシステムに対するサイバー攻撃が頻発するようになった。ここでも、中小事業者よりも大事業者の方が影響を受けている。最も頻繁なサイバー攻撃は、メールの添付ファイルによるフィッシングやマルウェアであった。
Zwei Drittel der von Cyber-Angriffen betroffenen Unternehmen erlitten einen materiellen Schaden, Großunternehmen beziffern ihn im Durchschnitt auf 157.000 Euro, KMU auf 71.000 Euro. Kosten ergaben sich vor allem durch die Beauftragung von Dienstleistern, die Wiederherstellung der Systeme und den Betriebsausfall. Der wirtschaftliche Schaden fiel bei den meisten Unternehmen jedoch nur wenig ins Gewicht, existenzbedrohend war er in keinem Fall.	サイバー攻撃を受けた事業者の3分の2が重大な損害を被り、大事業者では平均15万7000ユーロ、中小事業者では7万1000ユーロに上った。費用は主に、サービス・プロバイダーへの委託、システムの復旧、事業の損失によって発生した。しかし、ほとんどの事業者にとって、経済的な損害はほとんど重要ではなく、いずれにしても事業者の存続を脅かすものではなかった。
Der aktuelle Stand der IT-Entwicklung und Digitalisierung könnte höher sein: Zwar bezeichnet ihn kaum ein Unternehmen als schlecht, aber auch nur knapp unter der Hälfte der Befragten als sehr gut/ gut, darunter mehr KMU als Großunternehmen.	IT開発とデジタル化の現状は、もっと高い可能性がある：「悪い」と回答した事業者はほとんどなかったものの、「非常に良い／良い」と回答した事業者は半数弱にとどまり、その中には大事業者よりも中小事業者の方が多かった。
Der Aspekt der Informationssicherheit spielt im Zuge der Digitalisierung für so gut wie alle Unternehmen eine Rolle und wird mehrheitlich von Anfang an mitgedacht, spätestens aber im Laufe der Implementierung berücksichtigt. EnWG-/ TKG-Unternehmen denken diesen Aspekt etwas häufiger von Anfang an mit als die anderen KRITIS-Betreiber.	情報セキュリティの側面は、ほぼすべての事業者にとって、デジタル化の過程で重要な役割を果たし、ほとんどの場合、当初から、あるいは遅くとも導入の過程で検討されている。EnWG/TKG事業者は、他のCRITIS事業者よりも、この側面について当初から検討する頻度がやや高い。
Ebenso erfolgt in fast allen Unternehmen eine regelmäßige Dokumentation der IT-Sicherheitsvorfälle, meist in einem internen System.	同様に、ほとんどすべての事業者が、通常は社内システムにおいて、ITセキュリティ・インシデントを定期的に文書化している。
Das BSI ist der mit Abstand wichtigste Adressat für die Kommunikation von Sicherheitsvorfällen. Am häufigsten informiert werden daneben auch kooperierende Unternehmen, andere Behörden, Kunden, und Lieferanten.	BSIは、セキュリティ・インシデントの連絡先として最も重要な存在である。さらに、協力事業者、その他の当局、顧客、サプライヤーにも最も頻繁に情報が伝達される。
Für Unternehmen mit einem geringeren Umsetzungsstand der gesetzlichen Maßnahmen (bis 70 %) spielen die Informationssicherheit, die Dokumentation von IT-Sicherheitsvorfällen und deren Kommunikation nach außen eine etwas geringere Rolle.	法的措置の実施レベルが低い事業者（最大70%）では、情報セキュリ ティ、ITセキュリティ・インシデントの文書化、およびその対外的なコミュニケー ションの役割はやや低い。
Die Beseitigung von Sicherheitslücken verläuft in unterschiedlichem Tempo. Dabei agieren KMU etwas häufiger sofort, Großunternehmen häufiger entlang einer Priorisierung im Rahmen einer Risikobewertung. Auch Nicht-EnWG-/ TKG-Unternehmen führen am häufigsten zunächst eine Risikobewertung durch, während bei EnWG-/ TKG-Betreibern die umgehende Beseitigung und die Priorisierung/ Risikobewertung etwa gleichauf liegen.	セキュリティ脆弱性の解消は、それぞれ異なるスピードで進む。中小事業者では即座に対応する頻度がやや高く、大事業者ではリスク評価との関連で優先順位付けを行う頻度が高い。また、非EnWG/TKG事業者は、リスク評価を最初に実施することが最も多いが、EnWG/TKG事業者では、即時の排除と優先順位付け／リスク評価はほぼ同じである。
Die meisten KRITIS-Betreiber, die nicht (ausschließlich) unter die gesetzlichen Regelungen Energiewirtschaftsgesetz (EnWG) oder Telekommunikationsgesetz (TKG) fallen, sind mit den beiden IT-Sicherheitsgesetzen - überwiegend sogar sehr gut – vertraut. Großunternehmen geben dabei deutlich häufiger als KMU an, sich mit der IT-Gesetzgebung sehr gut auszukennen.	エネルギー産業法（EnWG）や電気通信法（TKG）の法的規制に（独占的に）該当しないCRITIS事業者の大半は、ITセキュリティに関する両法に精通しており、そのほとんどは非常によく理解している。大事業者は、中小事業者よりもはるかに頻繁に、IT法制に非常に精通していると述べている。
Die drei häufigsten Auswirkungen der Gesetze und ihrer Änderungen auf die Unternehmen sind ein erhöhter Dokumentations-/ Prüfaufwand, der Einführung/ der Aufbau von Sicherheitssystemen und die (schnellere) Einführung neuer Maßnahmen. Letzteres wird überdurchschnittlich häufig von Unternehmen mit geringerem Umsetzungsstand genannt.	法律やその改正が事業者に与える影響として最も多く挙げられているのは、文書化／テスト作業の増加、セキュリティ・システムの導入／確立、新たな措置の（より迅速な）導入の3つである。後者については、導入レベルが低い事業者ほど平均より多く言及している。
Acht von zehn Nicht-EnWG/ TKG-Betreibern haben aufgrund der geänderten IT-Sicherheitsgesetzgebung neue Projekte zur Erhöhung der IT-Sicherheit umgesetzt oder zeitlich vorgezogen.	EnWG/TKG以外の事業者10社のうち8社が、ITセキュリティ法制の変更に伴い、ITセキュリティ強化のための新規プロジェクトを実施、または前倒しで実施した。
Schulungen der Mitarbeitenden im Zusammenhang mit dem ersten IT-SiG und dem IT-SiG 2.0 führten sieben von zehn Unternehmen durch; meist erfolgten sie intern.	最初のITセキュリティ法およびITセキュリティ法2.0に関連した従業員研修は、10社中7社が実施した。
Fast alle Unternehmen überwachen die Einhaltung der gesetzlichen Anforderungen regelmäßig. Firmen mit geringer/ mittlerer Vertrautheit mit der IT-Gesetzgebung sowie Firmen mit einem geringen Umsetzungsstand kontrollieren deren Einhaltung vergleichsweise am häufigsten nur sporadisch.	ほぼすべての事業者が、法的要件への準拠を定期的に監視している。IT法制にあまり詳しくない／中程度の事業者や、導入レベルが低い事業者は、比較的多くの場合、散発的にしかコンプライアンスを監視していない。
Der Umsetzungsstand der gesetzlichen Maßnahmen ist in den Nicht-EnWG/ TKG-Unternehmen recht hoch. Bis auf eine Ausnahme (Maßnahmen zur Kontrolle von Lieferanten, Dienstleistern und Dritten) sind sie im Durchschnitt zu mindestens drei Vierteln realisiert. KMU sind dabei etwas weiter vorangeschritten als die Großunternehmen.	EnWG/TKG以外の事業者では、法的措置の実施状況はかなり高い。1つの例外（サプライヤー、サービス・プロバイダー、サードパーティを管理するための措置）を除き、平均して少なくとも4分の3が実施されている。中小事業者は、大事業者よりもやや進んでいる。
Nicht-EnWG/ TKG-Unternehmen mit geringerem Umsetzungsstand haben den größten Nachholbedarf bei den Maßnahmen zur Kontrolle von Dritten, Überprüfungsmaßnahmen im laufenden Betrieb und Maßnahmen zur Sicherstellung der Betriebskontinuität.	実施レベルが低い非EnWG/TKG事業者は、第三者管理対策、継続的業務中の検証対策、事業継続性確保対策の面で、キャッチアップの必要性が最も高い。
Als Hauptgründe für die noch unvollständige Umsetzung der gesetzlichen Anforderungen gelten vor allem Personalmangel und fehlende finanzielle Mittel. Vor allem KMU und Betriebe mit geringer/ mittlerer Vertrautheit mit der IT-Gesetzgebung beklagen zudem die Zeitknappheit/ zu kurzfristige Änderungen. Bei Unternehmen mit einem geringeren Umsetzungsstand spielt neben einem allgemeinen Ressourcenmangel auch fehlendes Knowhow eine vergleichsweise große Rolle.	法的要求事項の実施がまだ不完全である主な理由は、人員と財源の不足にあると言われている。特に、中小事業者やIT法制にあまり／中程度に精通していない事業者は、時間がない／変更が早すぎるという不満を抱いている。実施レベルが低い事業者では、一般的なリソース不足に加え、ノウハウ不足が比較的大きな役割を果たしている。
Etwa die Hälfte der befragten Nicht-EnWG/ TKG-Unternehmen will die erforderlichen Maßnahmen bis spätestens Ende des nächsten Geschäftsjahres vollständig umgesetzt haben. KMU planen eine schnellere Umsetzung als Großunternehmen. Unternehmen mit geringerem Umsetzungsstand gehen mehrheitlich von einem längeren Zeitraum aus.	調査対象となったEnWG/TKG以外の事業者の約半数が、遅くとも翌年度末までに必要な措置を完全に実施したいと考えている。中小事業者は大事業者よりも早い実施を計画している。実施状況が低い事業者の大半は、より長い期間を見込んでいる。
Die große Mehrheit der Nicht-EnWG/ TKG-Befragten hält eine vollständige Umsetzung der gesetzlichen IT-Sicherheitsvorgaben bei KRITIS-Betreibern für wichtig. Das trifft - wenn auch auf etwas geringerem Niveau – auch auf Unternehmen zu, die mit der Gesetzgebung nicht gut vertraut sind, ihr nur einen geringen/ keinen Einfluss zuschreiben oder deren Umsetzungsstand bisher gering ist.	EnWG/TKG以外の回答者の大多数は、CRITIS事業者が法定のITセキュリ ティ要件を完全に実施することを重要と考えている。このことは、やや低いレベルではあるが、法規制にあまり精通していない、法規制の影響力がほとんどない、あるいは今のところ実施状況が低い事業者にも当てはまる。
Die Kosten für die Anpassung von IT-Systemen/ -Prozessen sind die mit Abstand größte Herausforderung bei der Umsetzung der IT-Sicherheitsgesetze, gefolgt von Kosten für externe Dienstleister und fehlendem Knowhow.	ITセキュリティ法制を導入する際の最大の課題は、ITシステム／プロセスを適合させるためのコストである。
Nahezu alle Nicht-EnWG/ TKG-Betreiber stellen sicher, dass ihre IT-Sicherheitsmaßnahmen die gesetzlichen Anforderungen erfüllen, meist durch externe Audits und Zertifizierungen.	EnWG/TKG以外のほぼすべての事業者は、そのITセキュ リティ対策が法的要件を満たしていることを、主に外部監査や認 証を通じて確認している。
Die gesetzlichen Vorgaben haben bei den KRITIS-Unternehmen, die nicht (ausschließlich) unter das EnWG/ TKG fallen, eine hohe Akzeptanz und werden als wirksam erlebt: Neun von zehn Unternehmen halten sie für sinnvoll, über drei Viertel bestätigen ihren positiven Einfluss auf die IT-Sicherheit, knapp drei Viertel beobachten eine höhere Sensibilisierung von Mitarbeitenden und Geschäftsführung.	この法的要件は、EnWG/TKGに該当しない重要事業者の間でも高水準で受け入れられ、効果的であると評価されている。10社中9社が適切であると評価し、4分の3以上がITセキュリティにプラスの影響を与えることを確認している。
Die meisten BSI-Publikationen sind der Mehrheit aller KRITIS-Unternehmen (inkl. EnWG/ TKG-Betreiber) bekannt. Die größte Bekanntheit haben die Tageslageberichte, die Cyber-Sicherheitswarnungen und der Jahreslagebericht, am wenigsten bekannt sind die Management-Berichte, die auch allgemein am seltensten genutzt werden. Vorne in der Nutzung liegen die Tageslageberichte, die CyberSicherheitswarnungen und die Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung.	BSIの出版物のほとんどは、CRITISの全会社（EnWG/TKGのオペレーターを含む）の大多数に知られている。日次状況報告書、サイバーセキュリティ警告、年次状況報告書が最も広く知られているが、管理報告書は最も知られておらず、一般に最も利用されていない。日次状況報告書、サイバーセキュリティ警告、攻撃検知システムの利用に関するガイダンスが最も広く利用されている。
Großunternehmen rezipieren die BSI-Publikationen häufiger als KMU, die nur bei den CyberSicherheitsmaßnahmen nahezu gleichauf liegen.	大事業者はBSIの出版物を中小事業者よりも頻繁に受け取っているが、サイバーセキュリティ対策という点ではほぼ同レベルに過ぎない。
Die BSI-Veröffentlichungen stoßen allgemein auf Zufriedenheit. Fast alle haben schon einmal einen praktischen Nutzen aus ihnen abgeleitet. Zu den am häufigsten geäußerten Wünschen an das Informationsangebot des BSI gehören mehr zielgruppen-/ branchenspezifische Informationen und konkrete Lösungsansätze/ Umsetzungshinweise.	BSIの出版物は概して満足のいくものである。ほぼ全員が、すでに実用的な利益を得ている。BSIが提供する情報に対する希望として最も多く表明されているのは、ターゲット・グループやセクターに特化した情報や、具体的な解決策のアプローチや実施のヒントなどである。
KRITIS-Unternehmen, die nicht unter das EnWG/ TKG fallen, nutzen die BSI-Orientierungshilfen und Informationen zur Nachweiserbringung deutlich häufiger als die EnWG/ TKG-Betreiber. Diese wiederum äußern häufiger einen Mehrbedarf an detaillierteren Informationen, etwa zu ihrer Branche.	EnWG/TKGに該当しないKRITIS事業者は、EnWG/TKG事業者よりもBSIのオリエンテーション補助ツールやエビデンスの提供に関する情報を利用する頻度がかなり高い。後者では、例えば自社の業界についてのより詳細な情報の必要性を示す頻度が高い。
Bei den Nicht-EnWG/ TKG-Unternehmen ist die Bekanntheit der inhaltlichen Anforderungen an die Nachweise, die dem BSI alle zwei Jahre vorgelegt werden müssen, wesentlich höher als die vom BSIGesetz formulierte „Absicherung nach dem Stand der Technik“, die der Mehrheit nur ansatzweise oder in Teilen bekannt ist. Großunternehmen sind zu beiden Themen besser informiert als KMU.	EnWG/TKG以外の事業者では、2年ごとにBSIに提出しなければならない証明の内容要件の認知度が、BSI法で策定された「最新技術の保護」よりもはるかに高く、大多数が初歩的か部分的にしか認知していない。大事業者の方が中小事業者よりも、この2つのテーマについてよく知っている。
Die weitaus meisten Nicht-EnWG-/ TKG-Unternehmen, in deren Sektor es einen branchenspezifischen Sicherheitsstandard (B3S) gibt, wenden ihn an, über zwei Drittel sprechen ihm einen Mehrwert zu. Bei den Betrieben, die über keinen B3S verfügen, ist keine klare Mehrheit für den Wunsch nach Einführung eines Sicherheitsstandards zu erkennen.	EnWG/TKG以外の事業者のうち、業種別セキュリティ基準（B3S）が存在する事業者の大半は、B3Sを適用しており、3分の2以上がB3Sに付加価値を認めている。B3Sを導入していない事業者では、セキュリティ基準の導入を支持する明確な多数派は存在しない。
Nicht-EnWG-/ TKG-Unternehmen, die schon einmal einen Mängelbericht an das BSI geschickt haben, haben damit überwiegend positive Erfahrungen im Sinne einer Erhöhung der IT-Sicherheit nach der Mängelbeseitigung gemacht.	すでにBSIに不備報告書を送付した非EnWG/TKG事業者は、不備が是正された後、ITセキュリティが向上したという点で、主に肯定的な経験をしている。
Die Wirksamkeit der IT-Sicherheitsgesetze kann insgesamt als gut bewertet werden. Die Defizite in der Umsetzung der Anforderungen liegen weniger an fehlender Bekanntheit oder mangelndem Willen seitens der Unternehmen als an deren fehlenden finanziellen und personellen Ressourcen. Unternehmen mit geringem Umsetzungsstand haben häufig eine geringere Kenntnis der IT-Gesetze, die es zu verbessern gilt.	ITセキュリティ法の有効性は、全体として良好と評価できる。要求事項の実施における欠陥は、資金や人的資源の不足というよりも、事業者側の認識や意志の欠如によるものである。実施レベルの低い事業者は、IT法に関する知識が乏しいことが多く、改善が必要である。