info@siv.de +49 381 2524-4000
IT-Sicherheitskatalog (BNetzA) - Aktuelles zum IT-Sicherheitskatalog für Netzbetreiber

IT-Sicherheitskatalog (BNetzA)

Aktuelles zum IT-Sicherheitskatalog für Netzbetreiber

Am 25. Juli 2015 wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) veröffentlicht und damit in Kraft gesetzt. Mitte August wurde dann der IT-Sicherheitskatalog für Netzbetreiber von der Bundesnetzagentur veröffentlicht, der einen Teil der Anforderungen konkretisiert. Hierbei haben sich einige Anpassungen/Korrekturen ggü. der Entwurfsfassung ergeben, über welche wir Sie hiermit gerne informieren.

Welches Gesetz gilt?

Das IT-Sicherheitsgesetz, das zum 25. Juli 2015 in Kraft getreten ist, ist ein Artikelgesetz, in dem eine Reihe von Gesetzesänderungen an Einzelgesetzen angestoßen werden. Zentral sind dabei die Änderungen am BSI-Gesetz. Die einzuhalten-den Vorschriften finden sich neben dem BSI-Gesetz jeweils in den spezifischen Gesetzen der einzelnen Sektoren. Für die Energieversorgungsbranche finden sich diese im Energiewirtschaftsgesetz (EnWG) wieder.

Darüber hinaus gibt es je Sektor branchenspezifische Erweiterungen/Konkretisierungen. Die für die Energieversorgung zuständige Bundesnetzagentur hat vergangene Woche den IT-Sicherheitskatalog veröffentlicht, welcher für alle Strom– und Gas-Netzbetreiber verpflichtend ist.

Differenzierte Anforderungen für Betreiber von Energieversorgungsnetzen

Für die Betreiber von Energieversorgungsnetzen gibt es differenzierte Anforderungen an die Informationssicherheit, in Abhängigkeit davon, ob sie als kritische Infrastruktur eingestuft werden oder nicht.

Grundsätzlich gilt erst einmal der IT-Sicherheitskatalog der BNetzA für alle Betreiber von Energieversorgungsnetzen. Bis Ende 2015 soll dann eine weitere Verordnung vorliegen, die regelt, welche Netzbetreiber darüber hinaus als Kritische Infrastruktur eingestuft werden. Für diese kommen dann weitere Pflichten nach dem BSI-Gesetz hinzu, wie z.B. Meldepflichten von Sicherheitsvorfällen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die Anpassungen/Korrekturen im IT-SiK im Einzelnen

Nach wie vor fordert der IT-SiK den Aufbau und die Zer-tifizierung eines ISMS nach ISO/IEC 27001 für alle Netzbetreiber Strom und Gas, unabhängig von deren Größe.

Der Geltungsbereich (Scope) ist gemäß der Änderungen im Energiewirtschaftsgesetz auf „TK- und elektronische DV-Systeme, die für einen sicheren Netzbetrieb notwendig sind“ erweitert worden.

Für die konkrete Ermittlung und Abgrenzung zwischen direkt, indirekt bzw. nicht für den sicheren Netzbetrieb erforderlicher Systeme ist nach wie vor der Netzbetreiber selbst verantwortlich. D.h. eine outgesourcte Netzleitwar-te befreit nicht von der Umsetzung des IT-SiK. Der Auftraggeber ist in diesem Falle für die Durchführung der Risiko– und Schutzbedarfsanalyse verantwortlich.

Für die Risikobewertung werden nunmehr weitergehende Vorgaben hinsichtlich der zu betrachtenden Schadenskategorien, der zu betrachtenden Einstufungskriterien und Gefährdungen gemacht. Zu berücksichtigen sind bspw. auch „betroffener Bevölkerungsanteil“ und „Auswirkungen auf weitere Infrastrukturen“ explizit betrachtet werden.

Weiterhin ist die Benennung eines Ansprechpartners für Informationssicherheit vorgesehen, der auch für die Kommunikation mit der BNetzA bei aufgetretenen Sicherheitsvorfällen zuständig ist (bidirektional). Diese Kontaktstelle ist der BNetzA bis zum 30.11.2015 zu benennen.

Für die Zertifizierung wird es ein eigenes Zertifikat geben, welches die Konformität zum IT-Sicherheitskatalog belegt. Dies wird derzeit zwischen der BNetzA und der Deutschen Akkreditierungsstelle (DAkkS) abgestimmt. Reine ISO/IEC 27001-Zertifikate sind nicht ausreichend, da die ebenfalls zu berücksichtigende Norm ISO/IEC TR 27019 nicht einzeln zertifizierbar ist, jedoch innerhalb des ISMS zu berücksichtigen ist. Das zukünftige IT-SiK-Zertifikat belegt hierbei im Grunde die Umsetzung der Anforderungen aus den Normen ISO/IEC 27001, 27002 und 27019.

Bis zum 31.01.2018 müssen die Netzbetreiber der BNetzA eine Kopie des Zertifikats als Nachweis zusenden. Somit verbleiben rund 2 1/2 Jahre die Anforderungen nachweislich umzusetzen.

Unsere Empfehlungen

Setzen Sie sich frühzeitig mit den Anforderungen auseinander und eruieren mögliche Projektaufwände. Hierbei sind die Anreizregulatorischen Rahmenbedingungen zur berücksichtigen (Fotojahr Strom/Gas).

Mehrsparten-/Querverbundunternehmen empfehlen wir die Miteinbeziehung der Sparten Wasser/Wärme/TK. Die Mehraufwände sind überschaubar.

Sprechen Sie uns an. Wir beraten Sie gerne!

IHR PARTNER FÜR UNABHÄNGIGE IT-COMPLIANCE UND IT-SECURITY

KONTAKT AUFNEHMEN

Ihnen gefällt der Artikel "IT-Sicherheitskatalog (BNetzA) - Aktuelles zum IT-Sicherheitskatalog für Netzbetreiber"?

Dann laden Sie sich diesen Artikel gern kostenfrei als Whitepaper herunter und teilen Sie den Artikel mit Ihren Freunden und Bekannten.

Whitepaper IT-Sicherheitskatalog BNetzA – Aktuelles zum IT-Sicherheitskatalog für Netzbetreiber

AKTUELLE NEUIGKEITEN

Hier erhalten Sie aktuelle Informationen rund um die Themen IT-Sicherheit, Datenschutz, IT-Compliance und natürlich über die certigo GmbH. Nutzen Sie Ihren Informations-Vorsprung und abonnieren Sie auch unseren Newsletter ganz unten in unserer Website (Footer).

Online Self-Check für Cyber-Security

Verschaffen Sie sich einen Überblick über die aktuellen Risikosituationen in Ihrem Unternehmen.

  • Kostenfrei
  • Unverbindlich
  • Von IT-Experten entwickelt
JETZT KOSTENLOS TESTEN