IT-Sicherheitskatalog für Energienetzbetreiber

Die Ziele des IT-Sicherheitskatalogs der BNetzA sind die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme sowie die Gewährleistung der Vertraulichkeit der verarbeiteten Informationen. Der IT-Sicherheitskatalog verpflichtet Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Eine erste Analyse der neuen Richtlinie durch die GAI NetConsult hat neben einer Vielzahl kleinerer Änderungen/Korrekturen gegenüber der Entwurfsfassung vor allem folgende Punkte aufgezeigt, die für Energienetzbetreiber in der Strom- oder Gasversorgung relevant sind:

• Im Kern sind weiterhin der Aufbau und die Zertifizierung eines ISMS nach DIN ISO/IEC 27001 für alle Netzbetreiber im Bereich Strom und Gas unabhängig von ihrer Größe gefordert.

• Der Geltungsbereich ist gemäß der kürzlich durch das IT-Sicherheitsgesetz erfolgten Änderung des EnWG auf „Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind“ angepasst. Die konkrete Ermittlung des Geltungsbereichs und die Abgrenzung zwischen direkt, indirekt bzw. nicht für den sicheren Netzbetrieb erforderlicher Systeme obliegen weiterhin dem Netzbetreiber selbst. Die Vorgaben und Erläuterungen zur Abgrenzung sind weitgehend unverändert.

• In diesem Zusammenhang wird weiterhin die Erstellung eines Netzstrukturplans mit den Technologiekategorien „Leitsysteme und Systembetrieb“, „Übertragungstechnik / Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“ gefordert.

• Für die Risikoeinschätzung werden nunmehr weitergehende Vorgaben hinsichtlich der zu betrachtenden Schadenskategorien, der zu betrachtenden Einstufungskriterien und Gefährdungen gemacht. Unter anderem sollen bei den Schäden auch „betroffener Bevölkerungsanteil“ und „Auswirkungen auf weitere Infrastrukturen (z.B. vor- und nachgelagerter Netzbetreiber, Wasserversorgung)“ explizit betrachtet werden. Hier sind im Unternehmen ggf. bereits vorhandene Methoden zur Risikoanalyse in der Regel zu erweitern.

• Weiterhin ist die Benennung eines Ansprechpartners für IT-Sicherheit vorgesehen, der auch für die Kommunikation mit der BNetzA bei aufgetretenen Sicherheitsvorfällen zuständig ist. Der Ansprechpartner IT-Sicherheit ist bis zum 30.11.2015 zu benennen. Hier besteht also kurzfristig Handlungsbedarf.

• Weitere Festlegungen zu den gemäß IT-Sicherheitsgesetz und EnWG § 11 1c bei KRITIS-Relevanz vorgesehenen Meldungen bei Störungen an das BSI macht der IT-Sicherheitskatalog nicht. Hier bleibt die Ausgestaltung des Verfahrens durch das BSI abzuwarten.

• Für die Zertifizierung ist nunmehr ein eigenes Zertifizierungsschema vorgesehen, das von der BNetzA mit der Deutsche Akkreditierungsstelle GmbH (DAkkS) derzeit erarbeitet wird. „Generische“ ISO/IEC 27001-Zertifikate sind somit an dieser Stelle nicht ausreichend. Zudem kann die Zertifizierung dann nur durch einen bei der DAkkS für dieses Schema akkreditierten Dienstleister erfolgen.

• Die erfolgreiche Zertifizierung ist bis zum 31.01.2018 gegenüber der BNetzA nachzuweisen. (rhh)

Das Security Journal der GAI NetConsult kann kostenlos online im Abo bezogen werden.