Getreu dem Motto „Nach dem IT-Sicherheitskatalog ist vor dem IT-Sicherheitskatalog“ wird derzeit nach dem Katalog für Netzbetreiber nun ein zweiter IT-Sicherheitskatalog für Betreiber von Energieanlagen vorbereitet.
2016 wurden mit IT-Sicherheitskatalog 1 und IT-Sicherheitsgesetz zwei gesetzliche Vorgaben für Netzbetreiber und Kritische Infrastrukturen veröffentlicht.
Der IT-Sicherheitskatalog 1, bekannt als „IT-Sicherheitskatalog gem. § 11 Abs. 1a EnWG“, gilt für alle Netzbetreiber für die Sparten Strom und Gas. Die Schwellenwerte gem. KRITIS-VO gelten hier ausdrücklich nicht. Demgegenüber definiert genau dieses IT-Sicherheitsgesetz – als Artikelgesetz inzwischen im neuen BSI-Gesetz (BSIG) aufgegangen – Kritische Infrastrukturen; die zugehörige KRITIS-VO definiert die Schwellenwerte.
Betreiber von Energieanlagen fallen zunächst einmal unter die Regelungen des BSIG und sind als Kritische Infrastruktur einzustufen; für sie gelten damit die Schwellenwerte lt. KRITIS-VO. Damit muss ein Betreiber einer Energieanlage, die die Schwellenwerte überschreitet, die Anforderungen gem. BSIG erfüllen und ein Nachweis zu seiner Informationssicherheit bereitstellen. Wie dieser Nachweis aussieht, wird wiederum im IT-Sicherheitskatalog 2 – „IT-Sicherheitskatalog gem. § 11 Abs. 1b EnWG“ – beschrieben.
Der „IT-Sicherheitskatalog gem. § 11 Abs. 1b EnWG“ befindet sich derzeit in der Abstimmung; der aktuelle Stand ist auf den Seiten der BNetzA zu beziehen:
Worin unterscheiden sich die beiden IT-Sicherheitskataloge im Kontext der Energie? Wer den Katalog für Netzbetreiber schon kennt, wird sich rasch zurechtfinden, denn der zweite Katalog ist ähnlich aufgebaut. Auch die Anforderungen sind ähnlich, wenngleich es auch Unterschiede gibt. Dies hat übrigens auch Vorteile für große Gesellschaften, die beide Vorgaben erfüllen müssen.
Inhaltlicher Schwerpunkt ist wiederum ein Informationssicherheits-Management (ISMS) gem. ISO/IEC 27001. Wie auch beim ersten IT-Sicherheitskatalog macht die BNetzA hierzu Vorgaben zum Geltungsbereich (Scope) und zur Risikoanalyse. Darüber hinaus sind Anforderungen der ISO/IEC 27019 und des VGB-Standards „IT-Sicherheit für Erzeugungsanlagen“ bei der ISMS-Sicherheitskonzeption zu berücksichtigen.
Das Setting rund um das Thema Zertifizierung und Akkreditierung ist gleichfalls sehr ähnlich: Ein ISMS eines Betreibers für Energieanlagen muss auditiert und zertifiziert werden. Ferner wird ein eigenes Konformitätsbewertungsprogramm erstellt werden, auf dessen Grundlagen sich Zertifizierungsstellen bei der DAkkS akkreditieren lassen können; diese Zertifizierungsstellen werden dann die Zertifikate gem. §11 Abs. 1b EnWG erstellen dürfen.
Lt. Entwurf des IT-Sicherheitskatalogs 2 erwartet die BNetzA die Vorlage eines entsprechenden Zertifikates 1,5 Jahre nach Inkrafttreten.
Die datenschutz cert GmbH ist für den ersten IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG bei der DAkkS akkreditiert. Unseren Ansatz zur Auditierung und Zertifizierung finden Sie hier: Diesen Ansatz planen wir dann auch auf den Bereich der Energieanlagen-Betreiber auszuweiten.
Haben Sie Fragen? Sprechen Sie uns gerne an.
Autor: Dr. Sönke Maseberg