IT-Sicherheitskatalog für Energienetzbetreiber veröffentlicht

foto energie kw db freeDie Bundesnetzagentur (BNetzA) hat den Katalog für IT-Sicherheit-Mindeststandards im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt. Er enthält Sicherheitsanforderungen, die dem Schutz gegen Bedrohungen der für einen sicheren Energienetzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme dienen. Der in Kurzform IT-Sicherheitskatalog genannte Anforderungskatalog ist für Energienetzbetreiber gemäß EnWG §11 Absatz 1a verbindlich und wurde nun veröffentlicht.

Die Ziele des IT-Sicherheitskatalogs der BNetzA sind die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme sowie die Gewährleistung der Vertraulichkeit der verarbeiteten Informationen. Der IT-Sicherheitskatalog verpflichtet Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards.

Ein Spezialist für Informationssicherheit insbesondere bei Prozessdatenverarbeitung in kritischen Infrastrukturen [1], hat eine erste Analyse des neuen IT-Sicherheitskatalogs für Betreiber von Strom- und Gasnetzen durchgeführt und hat neben einer Vielzahl kleinerer Änderungen/Korrekturen gegenüber der Entwurfsfassung vor allem folgende Punkte aufgezeigt, die für Energienetzbetreiber in der Strom- oder Gasversorgung relevant sind:

  • Im Kern sind weiterhin der Aufbau und die Zertifizierung eines ISMS nach DIN ISO/IEC 27001 für alle Netzbetreiber im Bereich Strom und Gas unabhängig von ihrer Größe gefordert.
  • Der Geltungsbereich ist gemäß der kürzlich durch das IT-Sicherheitsgesetz erfolgten Änderung des EnWG auf »Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind« angepasst. Die konkrete Ermittlung des Geltungsbereichs und die Abgrenzung zwischen direkt, indirekt beziehungsweise nicht für den sicheren Netzbetrieb erforderlicher Systeme obliegen weiterhin dem Netzbetreiber selbst. Die Vorgaben und Erläuterungen zur Abgrenzung sind weitgehend unverändert.
  • In diesem Zusammenhang wird weiterhin die Erstellung eines Netzstrukturplans mit den Technologiekategorien »Leitsysteme und Systembetrieb«, »Übertragungstechnik / Kommunikation« und »Sekundär-, Automatisierungs- und Fernwirktechnik« gefordert.
  • Für die Risikoeinschätzung werden nunmehr weitergehende Vorgaben hinsichtlich der zu betrachtenden Schadenskategorien, der zu betrachtenden Einstufungskriterien und Gefährdungen gemacht. Unter anderem sollen bei den Schäden auch »betroffener Bevölkerungsanteil« und »Auswirkungen auf weitere Infrastrukturen (beispielsweise vor- und nachgelagerter Netzbetreiber, Wasserversorgung)« explizit betrachtet werden. Hier sind im Unternehmen ggf. bereits vorhandene Methoden zur Risikoanalyse in der Regel zu erweitern.
  • Weiterhin ist die Benennung eines Ansprechpartners für IT-Sicherheit vorgesehen, der auch für die Kommunikation mit der BNetzA bei aufgetretenen Sicherheitsvorfällen zuständig ist. Der Ansprechpartner IT-Sicherheit ist bis zum 30.11.2015 zu benennen. Hier besteht also kurzfristig Handlungsbedarf.
  • Weitere Festlegungen zu den gemäß IT-Sicherheitsgesetz und EnWG § 11 1c bei KRITIS-Relevanz vorgesehenen Meldungen bei Störungen an das BSI macht der IT-Sicherheitskatalog nicht. Hier bleibt die Ausgestaltung des Verfahrens durch das BSI abzuwarten.
  • Für die Zertifizierung ist nunmehr ein eigenes Zertifizierungsschema vorgesehen, das von der BNetzA mit der Deutsche Akkreditierungsstelle GmbH (DAkkS) derzeit erarbeitet wird. »Generische« ISO/IEC 27001-Zertifikate sind somit an dieser Stelle nicht ausreichend. Zudem kann die Zertifizierung dann nur durch einen bei der DAkkS für dieses Schema akkreditierten Dienstleister erfolgen.
  • Die erfolgreiche Zertifizierung ist bis zum 31.01.2018 gegenüber der BNetzA nachzuweisen.

»Der neue IT-Sicherheitskatalog der BNetzA macht Mindeststandards im Bereich IT-Sicherheit für Energienetzbetreiber erstmals verpflichtend«, sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. »Verantwortungsvolle Netzbetreiber haben sich bereits in der Vergangenheit intensiv mit diesem Thema befasst und stehen jetzt nicht mit leeren Händen da. Wir begrüßen, dass durch den nunmehr verbindlichen IT-Sicherheitskatalog das Thema erneut ganz oben auf die Agenda gerückt ist. Die verbleibenden zweieinhalb Jahre bis zum zwingenden Nachweis der Zertifizierung wollen gut genutzt sein.«

[1] Eine ausführliche Analyse des IT-Sicherheitskatalogs und Empfehlungen für die weitere Vorgehensweise werden durch die GAI NetConsult im kommenden GAI NetConsult SecurityJournal veröffentlicht werden.
Das Security Journal der GAI NetConsult kann kostenlos online im Abo bezogen werden. Die Anmeldung erfolgt hier: https://www.gai-netconsult.de/journal
Die GAI NetConsult unterstützt Netzbetreiber bei der Umsetzung des IT-Sicherheitskatalogs durch Beratung, Sicherheitschecks sowie den Aufbau von Informationssicherheitsmanagementsystemen (ISMS) nach DIN ISO/IEC 27001.
Details zu den Beratungsangeboten der GAI NetConsult speziell zum IT-Sicherheitskatalog und generell zur Informationssicherheit im Bereich kritischer Infrastrukturen mit Dienstleistungen wie IT-Sicherheitsaudits, Umsetzung des BDEW Whitepaper oder der ISO 27001 sowie ISMS-Einführungen finden Sie hier: https://www.gai-netconsult.de

 

Weitere Artikel zu