info@siv.de +49 381 2524-4000
IT-Sicherheitsgesetz und wen es betrifft - Umsetzungsstrategien zur Informationssicherheit für Wasserversorger und Abwasserentsorger

IT-Sicherheitsgesetz und wen es betrifft

Umsetzungsstrategien zur Informationssicherheit für Wasserversorger und Abwasserentsorger

Mit der Verabschiedung des IT-Sicherheitsgesetzes und weiterer flankierender Maßnahmen geht der Gesetzgeber nun im Rahmen seiner „digitalen Agenda“ notwendige Schritte zur gesetzlich verbindlichen Etablierung eines „Mindestniveaus an IT-Sicherheit“. Das am 12. Juni 2015 vom Bundestag verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) bringt für die Wasserwirtschaft neue Pflichten zur Erhöhung von Abwehrmaßnahmen, Nachweis- und Meldepflichten mit.

Stärkung der Sicherheit in der Informationstechnik des Bundes (BSI-Gesetz)

Relevant für die kommunalen Trinkwasserversorger und Abwasserentsorger sind die Änderungen im Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BSI-Gesetz) als Teil des IT-Sicherheitsgesetzes. Die das IT-Sicherheitsgesetz konkretisierende Rechtsverordnung wird direkt nun unverzüglich von Branchenverbänden, wie z.B. dem Deutschen Verein des Gas- und Wasserfaches e.V. (DVGW) in Abstimmung mit dem Bundesamt für Informationssicherheit (BSI) als Aufsichtsbehörde erarbeitet. Experten aus dem Bereich Informationssicherheit rechnen fest damit, dass sich die Rechtsverordnung für die Wasserversorger und Abwasserentsorger an nationalen und internationalen Normen zur Informationssicherheit orientiert.

Entsprechend der Vorgaben anderer Branchen, wie beispielsweise dem IT-Sicherheitskatalog der BNetzA für die Energieversorger, ist somit davon auszugehen, dass neben den Normen ISO/IEC 27001 und 27002 auch die Branchenspezifische Anforderungen sowie Elemente des IT-Grundschutzes in die Ausprägung des einzuführenden Informations-Sicherheits-Management-Systems (ISMS) einzubeziehen sind.

Demnach sind die kommunalen Trinkwasserversorger und Abwasserentsorger verpflichtet, innerhalb von zwei Jahre nach Inkrafttreten der Verordnung angemessene organisatorische und technische Vorkehrungen zum Schutz ihrer IT-Systeme und Netzkomponenten zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Infrastrukturen zur Wassererzeugung, -versorgung und –entsorgung maßgeblich sind.

Wer trägt die Verantwortung zur Ermittlung der sicherheitsrelevanten Systeme?

Die Verantwortung für die Ermittlung der sicherheitsrelevanten Systeme liegt beim Betreiber der Netze– und Anlagen. Netz– und Anlagenbetreiber, die entsprechende Systeme und Komponenten an Dritte outgesourced haben, sind ebenfalls betroffen und für die Umsetzung und Einhaltung der regulatorischen Vorschriften beim Dienstleister verantwortlich. Die ISO/IEC 27001 definiert auch hierfür Anforderungen, was in solchen Fällen bspw. zwischen Auftraggeber und Auftragnehmer vertraglich zu regeln ist.

Die Angemessenheit und Wirksamkeit der Maßnahmen zur kontinuierlichen Verbesserung der Informationssicherheit muss alle zwei Jahre durch Sicherheitsaudits und Überprüfungen nachgewiesen und dem BSI eine Aufstellung der zu diesem Zweck durchgeführten Maßnahmen einschließlich der dabei aufgedeckten Sicherheitsmängel und der wiederum dafür ergriffenen Maßnahmen übermittelt werden.

Ferner muss nachgewiesen werden, dass kritische Assets bspw. im Rahmen der Erstellung eines Netzstrukturplans identifiziert und diese im Rahmen einer Schutzbedarfsanalyse bewertet wurden. Darüber hinaus nehmen auch Maßnahmen zur Angriffsprävention und –erkennung (z.B. SIEM), ein Business Continuity Management (BCM) sowie regelmäßige Notfallübungen eine zentrale Rolle ein.

Benennung eines IT-Sicherheitsbeauftragten

Weiterhin sieht das IT-Sicherheitsgesetz vor, dass dem BSI qualifizierte Warn– und Alarmierungskontakte zu benennen sind, über die der Betreiber kritischer Infrastrukturen jederzeit erreichbar ist (z.B. IT-Sicherheitsbeauftragter).

Das BSI kann die Nichteinhaltung der Vorschriften des Gesetzes Bußgelder verhängen. So können nicht abgestellte Sicherheitsmängel, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der kritischen Infrastruktur führen, mit bis zu 100.000 Euro sanktioniert werden.

Das ISMS nach ISO/IEC 27001 verwendet das Plan-Do-Check-Act-Modell

Das Bundesinnenministerium (BMI) erarbeitet parallel bereits die Rechtsverordnung, die das Gesetz und die kritischen Infrastrukturen konkretisiert (analog des IT-Sicherheitskatalogs der BNetzA für EVU). Entscheidend dafür, ob Wasserversorger und Abwasserentsorger in den Anwendungsbereich des IT-Sicherheitsgesetzes fallen, wird somit unter anderem die Anzahl der von Ihnen ver- bzw. entsorgten Einwohner und die im Einsatz befindlichen IT-Systeme und Netzkomponenten sein.

Aufgrund der engen zeitlichen Umsetzungsfristen, empfiehlt es sich bereits jetzt mit entsprechenden Vorbereitungen zu starten, um bei der Umsetzungsphase Zeit zu sparen.

Modulares Lösungsmodell für die Wasserwirtschaft und deren konkret kommenden Vorschriften

Die certigo GmbH hat auf Basis der langjährigen Erfahrungen ein auf die Wasserwirtschaft und die konkreten kommenden Vorschriften abgestimmtes modulares Lösungsmodell entwickelt. Die einzelnen vorformatierten Module bilden die Grundlage für die Verknüpfung zu einem ganzheitlichen Template unter Berücksichtigung sowohl der Individualität Ihres Unternehmens als auch der notwendigen Effizienz bei der Einführung und dem Betrieb eines ISMS. Dieses bietet durch Ihnen deutliche Kostenvorteile und somit die Basis eines betriebswirtschaftlichen Nutzens im Kontrast zur volkswirtschaftlichen Notwendigkeit der Umsetzung. Ergänzt um ein systematisiertes und erprobtes Vorgehensmodell zur Einführung eines ISMS erlaubt uns dies, trotz fehlender regulatorischer Vorgaben die Handlungsfelder zu identifizieren und Vorbereitende Maßnahmen zu treffen..

Zur Auswahl und Zusammenstellung des für Sie optimalen ISMS Templates starten Sie jetzt, bspw. mit unserem zwei tägigen Rapid Security Assessment, bei welchem wir mit Ihnen zusammen die relevanten Anlagen und Komponenten, Ihren bisherigen Informationssicherheit-Reifegrad (Gap-Analyse) ermitteln und Handlungsempfehlungen für die Umsetzung der Compliance-Anforderungen erarbeiten. Sie erhalten zudem eine detaillierte Aufwandsschätzung zur Herstellung der Konformität aller regulatorischen Vorgaben, gerne auch z.B. im Querverbund mit weiteren Sparten.

Rapid Security Assessment für Versorgungsunternehmen

Stellen Sie Ihre Informationssicherheit auf den Prüfstand

Was wir für Sie tun:

Leitfadengeführte Interviews und Prüfung von ausgewählten Dokumenten zu den Bereichen: Übergreifende Aspekte und Prozesse, Infrastruktur, IT-Systeme, Netzte & Anwendungen

Analyse relevanter Prozesse und Kontrollen

Vor-Ort Begehung relevanter Gebäude und Räume

Konformitätsabschätzung des Zustands zu Anforderungen nach ISO/IEC 27001 sowie BSI IT-Grundschutz und Compliance Anforderungen (IT-Sicherheitsgesetz, EnWG, IT-Sicherheitskatalog)

Erstellung eines Abschlussberichts; Aufzeigen von Handlungsfeldern und – empfehlungen

Ihr Mehrwert:

Fokussierung auf geschäftsprozessorientierte und bedarfsgerechte Investition als Beitrag zur Risikominimierung

Aufwandsabschätzung zur Herstellung der Konformität zu regulatorischen Anforderungen in Abhängigkeit der IT-Strategie

Ganzheitliche Analyse der Informationssicherheit als Grundlage für Ihren wirtschaftlichen Erfolg

IHR PARTNER FÜR UNABHÄNGIGE IT-COMPLIANCE UND IT-SECURITY

KONTAKT AUFNEHMEN

Ihnen gefällt der Artikel "IT-Sicherheitsgesetz und wen es betrifft - Umsetzungsstrategien zur Informationssicherheit für Wasserversorger und Abwasserentsorger"?

Dann laden Sie sich diesen Artikel gern kostenfrei als Whitepaper herunter und teilen Sie den Artikel mit Ihren Freunden und Bekannten.

Whitepaper IT-Sicherheitsgesetz und wen es betrifft Umsatzstrategien zur Informationssicherheit für Wasserversorger und Abwasserentsorger

AKTUELLE NEUIGKEITEN

Hier erhalten Sie aktuelle Informationen rund um die Themen IT-Sicherheit, Datenschutz, IT-Compliance und natürlich über die certigo GmbH. Nutzen Sie Ihren Informations-Vorsprung und abonnieren Sie auch unseren Newsletter ganz unten in unserer Website (Footer).

Online Self-Check für Cyber-Security

Verschaffen Sie sich einen Überblick über die aktuellen Risikosituationen in Ihrem Unternehmen.

  • Kostenfrei
  • Unverbindlich
  • Von IT-Experten entwickelt
JETZT KOSTENLOS TESTEN