Erste Erwähnung fand der IT-Sicherheitskatalog für KRITIS-Betreiber von Energieanlagen bereits 2015. Damals wurde der §11 EnWG um Absatz 1b erweitert. Der IT-Sicherheitskatalog ist eine Rechtsverordnung und verpflichtet KRITIS-Betreiber von Energieanlagen zur Umsetzung von Mindeststandards der IT-Sicherheit.
Für Energienetzbetreiber gibt es bereits seit 2015 einen verbindlichen IT-Sicherheitskatalog. Der Entwurf des Kataloges für KRITIS-Energieanlagenbetreiber der Bundesnetzagentur liegt nun seit dem 11. Januar 2018 vor.
Verbindlich wird der Katalog für alle Energieanlagenbetreiber, die als Betreiber kritischer Infrastrukturen einzuordnen sind und an ein Energienetz angeschlossen sind.
Sicherheitsanforderungen
Kernforderung des Entwurfs ist die Einführung eines Informationssicherheitsmanagementsystems (ISMS) gemäß DIN ISO/IEC 27001. Dabei sollen Sicherheitsmaßnahmen der DIN ISO/IEC 27002, DIN ISO/IEC 27019 und gegebenenfalls des VGB-Standard „IT-Sicherheit für Erzeugungsanlagen“ (VGB-S-175) berücksichtigt werden.
Der Geltungsbereich des ISMS umfasst alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Anlagenbetrieb notwendig sind. Zur weiteren Differenzierung wurde eine sechsstufige Klassifizierung eingeführt. Die sechs Zonen entsprechen der Bedeutung der Anwendungen, Systeme und Komponenten einer Energieanlage für einen sicheren Anlagenbetrieb.
Schutzziele
Neben den allgemeinen Schutzzielen (Verfügbarkeit, Integrität und Vertraulichkeit) wurden weitere Schutzziele für Erzeugungsanlagen und Gasspeicher formuliert. Hierbei handelt es sich im Wesentlichen um die Verfügbarkeit der kritischen Dienstleistung.
Risikoeinschätzung und -behandlung
Bei der Einschätzung des Risikos bezüglich der Schutzziele ist der Gesamtkontext der Energieversorgung maßgeblich. Jede Anlage muss als Teil der gesamten Energieversorgung betrachtet und geschützt werden. Somit müssen Abhängigkeiten bei der Risikobeurteilung bedacht werden. Dadurch soll verhindert werden, dass Angreifer mit verhältnismäßig geringem Aufwand eine Anlage als Teilziel auf die Strom- oder Gasversorgung mißbrauchen können.
Risiken dürfen nur akzeptiert werden, wenn die entsprechenden Anwendungen, Systeme und Komponenten aus den Zonen 4 bis 6 stammen und keinerlei Verbindung zu Anwendungen, Systemen und Komponenten aus den Zonen 1 bis 3 aufweisen. Risiken von Energieanlagen aus den Zonen 1 bis 3 dürfen nicht akzeptiert werden. Hier müssen entsprechende Sicherheitsmaßnahmen eingeführt werden, die das Risiko ausreichend senken.
Umsetzungsvorgaben
Grundsätzlich müssen die Anforderungen des IT-Sicherheitskataloges durch ein Zertifikat belegt werden. Der Entwurf sieht hierfür eine Umsetzungsfrist von 1,5 Jahren nach Veröffentlichung vor. Für Anlagenbetreiber nach §7 Absatz 1 AtG gelten abweichende Regelungen.
Mitgestalten
Als Betreiber von Energieanlagen haben Sie die Möglichkeit eine Stellungnahme zum aktuellen Entwurf des IT-Sicherheitskataloges abzugeben. Die Frist hierfür endet am 28. Februar. Die Bundesnetzagentur stellt hierfür ein Formblatt bereit.
