info@siv.de +49 381 2524-4000
IT-Sicherheitsgesetz (IT-SiG), KRITIS-VO - Aktuelles zu IT-Sicherheitsanforderungen an die Wasserwirtschaft

IT-Sicherheitsgesetz (IT-SiG), KRITIS-VO

Aktuelles zu IT-Sicherheitsanforderungen an die Wasserwirtschaft

Am 25. Juli 2015 wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) veröffentlicht und damit in Kraft gesetzt. Aktuell erfolgt die Erarbeitung branchenspezifischer Standards für u.a. die Wasserwirtschaft. Über den aktuellen Stand und die voraussichtlichen Anforderungen möchten wir Sie hiermit gerne informieren.

Systemrelevanz als Indikator für verpflichtende IT-Sicherheitsmaßnahmen?

Die für das erste Quartal 2016 erwartete sog. KRITIS-Verordnung (KRITIS-VO) definiert, welche Unternehmen aus den Sektoren Energie, Ernährung, Telekommunikation und Wasserversorgung unter Berücksichtigung bestimmter Kriterien als so genannte kritische Infrastrukturen angesehen wer-den und aus diesem Grund die erhöhten Sicherheitsbestimmungen des BSI-Gesetzes umzusetzen haben.
Die Anforderungen lassen sich wie folgt zusammen fassen:

  • Schutz nach dem Stand der Technik aus Basis Bran-chenspezifischer Sicherheitsstandards
  • Auditierungspflicht (alle 2 Jahre), Nachweis ggü. BSI, bei Mängeln Einbindung des BSI
  • Erstellung/Verteilung von Lagebildern & Warnungen durch BSI
  • Meldepflicht von erheblichen Sicherheitsvorfällen durch KRITIS-Betreiber

 

Auf Basis des Entwurfs der KRITIS-VO vom Januar 2016 wurden folgende Kriterien in Bezug auf die Wasserwirtschaft (Abwasserbeseitigung und Trinkwasserversorgung) festgelegt:

Abwasserbeseitigung:
Kanalisation, Kläranlagen und Leiteinrichtungen von welcher 500.000 oder mehr angeschlossene Einwohner abhängig sind.

Wasserversorgung:
Gewinnungsanlagen, Wasserverteilsysteme, Wasserwerke, Aufbereitungsanlagen oder Leiteinrichtungen welche 21,9 Mio m³ Wasser im Jahr oder mehr gewinnen, verteilen, aufbereiten oder in Bezug auf Leiteinrichtungen gesteuert/überwacht, oder transportiert werden.

In Deutschland gibt es aktuell rund 6065 Wasserver- und -Entsorger. Unter Berücksichtigung der genannten Schwellen-werte geht man aktuell von rund 150-220 betroffenen Anlagenbetreibern/Unternehmen aus, welche verbindliche Maßnahmen zur Gewährleistung eines Mindestniveaus an IT-Sicherheit umsetzen müssen.

Keine Verpflichtung von Anlagenbetreibern unterhalb der genannten Schwellenwerte

Anlagenbetreiber die unter diesen Schwellwerten liegen müssen nach aktuellem Stand voraussichtlich keine Maßnahmen zur Gewährleistung eines Mindestniveaus an IT-Sicherheit gewährleisten bzw. umsetzen.

Die Verteilnetzbetreiber Strom und Gas wurden bereits seitens des Verordnungsgebers, der Bundesnetzagentur mit Veröffentlichung des sog. IT-Sicherheitskataloges zur Umsetzung eines branchenspezifischen Sicherheitsstandards verpflichtet. Dies bedeutet, dass sämtliche Verteilnetzbetreiber den IT-Sicherheitskatalog umsetzen müssen, während ein Teil dieser Netzbetreiber, die wiederum als Systemrelevant eingestuft werden, weitere Anforderungen, wie bspw. ein Meldewesen in Richtung BSI zu implementieren umsetzen müssen.

Diese Zweiteilung ist für den Sektor Wasser derzeit nicht vorgesehen! Vielmehr ist es dem Unternehmen und Anlagenbetreibern in der Wasserwirtschaft, die unterhalb der Schwellwerte liegen selbst überlassen, in welcher Form und Intensität sie die Umsetzung von Sicherheitsmaßnahmen nach dem aktuellen Stand der Technik sicherstellt.

Umsetzungspflichten, konkrete Anforderungen

Die aktuellen Entwürfe gehen davon aus, dass die Wasserwirtschaft im Rahmen von Arbeitsgruppen in Zusammenarbeit mit den Verbänden u.a. DVGW, DWA einen Branchenspezifischen Sicherheitsstandard definiert, welcher in der Folge mit dem BSI abgestimmt wird und welcher die konkreten Anforderungen aus dem BSI-Gesetz erfüllt.

Da viele Unternehmen in der Wasserwirtschaft über ein sog. Technisches Sicherheitsmanagement (TSM) verfügen, geht man davon aus, dass das TSM um ein weiteres Prüfmodul zum Thema IT-Sicherheit erweitert wird.
Ein Entwurf soll bis Mitte 2016 stehen, die konkreten Anforderungen werden voraussichtlich verbindlich für Mitte 2010 erwartet. Ab diesem Zeitpunkt haben die Anlagenbetreiber 2 Jahre Zeit, um die Mindestanforderungen umzusetzen.

Für Querverbund-Unternehmen, die bereits in Bezug auf die Medien Strom und Gas durch den IT-Sicherheitskatalog der Bundesnetzagentur ein ISMS auf Basis ISO/IEC 27001 einführen, kann die Erweiterung des Geltungsbereichs auf die Wassersparte sinnvoll sein. Die Branchenspezifischen Anforderungen für die Wasserwirtschaft sollen sich voraussichtlich unter anderem an der ISO/IEC 27001 sowie ISO/IEC 27019 orientieren bzw. mit diesen kompatibel sein. Somit kann auch ein ISO/IEC 27001-Zertifikat als Nachweis zur Umsetzung der Anforderungen gemäß BSI-Gesetz dienen.

Für eventuelle Fragen stehen wir Ihnen selbstverständlich zur Verfügung. Sprechen Sie uns an – wir beraten Sie gerne.

IHR PARTNER FÜR UNABHÄNGIGE IT-COMPLIANCE UND IT-SECURITY

KONTAKT AUFNEHMEN

Ihnen gefällt der Artikel "IT-Sicherheitsgesetz (IT-SiG), KRITIS-VO - Aktuelles zu IT-Sicherheitsanforderungen an die Wasserwirtschaft"?

Dann laden Sie sich diesen Artikel gern kostenfrei als Whitepaper herunter und teilen Sie den Artikel mit Ihren Freunden und Bekannten.

Whitepaper IT-Sicherheitsanforderungen an die Wasserwirtschaft

AKTUELLE NEUIGKEITEN

Hier erhalten Sie aktuelle Informationen rund um die Themen IT-Sicherheit, Datenschutz, IT-Compliance und natürlich über die certigo GmbH. Nutzen Sie Ihren Informations-Vorsprung und abonnieren Sie auch unseren Newsletter ganz unten in unserer Website (Footer).

Online Self-Check für Cyber-Security

Verschaffen Sie sich einen Überblick über die aktuellen Risikosituationen in Ihrem Unternehmen.

  • Kostenfrei
  • Unverbindlich
  • Von IT-Experten entwickelt
JETZT KOSTENLOS TESTEN