Der „neue“ IT-Sicherheitskatalog ist da. Am 18. Dezember 2018 veröffentlichte die Bundesnetzagentur den IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz (EnWG) für Betreiber von Energieanlagen, den sogenannten Sicherheitskatalog 2.
Zum Hintergrund: Bereits 2016 wurden mit dem IT-Sicherheitskatalog 1 (gem. §11 Abs. 1a EnWG) und dem IT-Sicherheitsgesetz zwei gesetzliche Vorgaben für Netzbetreiber und Kritische Infrastrukturen veröffentlicht, hier gelten die Schwellenwerte der BSI-KritisV nicht. Dieser Umstand ist im Vergleich zum Sicherheitskatalog 2 ein wesentlicher Unterschied, die Schwellenwerte der BSI-KritisV gelten im Zusammenhang mit der Anwendung des IT-Sicherheitskatalog 2 für die Betreiber von Energieanlagen.
Betreiber von Energieanlagen (der Sparten Strom und Gas), die die Schwellenwerte der BSI-KritisV erreichen bzw. überschreiten, sind verpflichtet, die Anforderungen des Sicherheitskatalogs 2 als Minimalanforderungen umzusetzen. Danach ist ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 aufzubauen und zu betreiben. Dieses ISMS muss auditiert und zertifiziert werden und die Zertifierung gegenüber der BNetzA nachgewiesen werden. Die aktuellen Schwellenwerte sind in der BSI-KritisV (Anhang 1 Teil 3) festgelegt.
Gleichwohl ist der Aufbau und Betrieb eines funktionierenden ISMS und dessen Zertifizierung auch für die Betreiber von Interesse, die die Schwellenwerte derzeit nicht überschreiten, denn es ist damit zu rechnen, dass die aktuell geltenden Schwellenwerte im Rahmen der Evaluierung der BSI-KritisV abgesenkt werden. Betreiber von Windkraftanlagen sollten berücksichtigen, dass die „installierte Netto-Nennleistung“ steigen wird. Neben der vorzeitigen Erfüllung von zukünftigen Anforderungen an den Betreiber von Energieanlagen seitens des Gesetzgebers ist ein Gewinn an zusätzlicher Sicherheit und von Wettbewerbsvorteilen wahrscheinlich.
Ein weiterer Unterschied zwischen den Sicherheitskatalogen ist in der Definition des Geltungsbereichs zu sehen. Hier will der Sicherheitskatalog 2 nicht nur eine Betrachtung der Netzsegmentierung, sondern darüber hinaus eine Klassifizierung von Anwendungen, Systemen und Komponenten einer Energieanlage hinsichtlich ihrer Bedeutung für einen sicheren Anlagenbetrieb. Dies wird die Risikoermittlung und -analyse erleichtern. Ansonsten liegen die beiden Kataloge nahe beieinander, dies bietet den Vorteil, dass Gesellschaften, die beide Anforderungen erfüllen müssen, bei der Umsetzung Synergieeffekte feststellen werden.
Wichtiger Hinweis zu Fristen: Die Meldung einer Ansprechpartnerin / eines Ansprechpartners beim Betreiber muss bis zum 28.02.2019 gegenüber der BNetzA erfolgen. Der Nachweis über die Umsetzung der Anforderungen aus dem Sicherheitskatalog 2 muss bis zum 31.03.2021 erfolgen.
Autor: Thomas Heinemann