Im Januar diesen Jahres wurde der Entwurf des IT-Sicherheitskatalog für Energieanlagen gemäß § 11 Absatz 1b Energiewirtschaftsgesetz bei der Bundesnetzagentur veröffentlicht. xmera hatte zeitnah darüber in Der Entwurf des IT-Sicherheitskataloges ist da berichtet.
Zwölf Monate später, am 19. Dezember 2018, ist der IT-Sicherheitskatalog verbindlich geworden. Somit sind Energieanlagenbetreiber, die als Betreiber Kritischer Infrastrukturen einzuordnen und an ein Energienetz angeschlossen sind, verpflichtet die Anforderungen des IT-Sicherheitskataloges umzusetzen und sich zertifizieren zu lassen.
Adressatenkreis
Gemäß § 11 Abs. 1b S. 1 EnWG richtet sich die Entscheidung an die Betreiber von Energieanlagen, die durch die BSI-Kritisverordnung in der jeweils geltenden Fassung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind.
Dazu gehören auch Betreiber Kritischer Infrastrukturen, die Anlagen nach § 7 Absatz 1 Atomgesetz betreiben. Jedoch gibt es für diesen Adressatenkreis abweichende Regelungen bezüglich des Regelwerkes, nach dem die Versorgungssicherheit sicherzustellen ist.
Ansprechpartner
Alle Adressaten sind zur Benennung eines Ansprechpartners verpflichtet.
Der Bundesnetzagentur ist ein Ansprechpartner/in für IT-Sicherheit einschließlich der zugehörigen Kontaktdaten
bis zum 28.02.2019
mitzuteilen. Dazu stellt die Behörde ein Formular zur Verfügung, das per Email an die Bundesnetzagentur (it-sicherheitskatalog@bnetza.de) gesendet werden soll.
Der Anprechpartner/in muss insbesondere in der Lage sein, Auskunft zum Umsetzungsstand der Anforderungen aus dem IT-Sicherheitskatalog sowie zu eingetretenen Sicherheitsvorfällen zu geben. Eine besondere berufliche Qualifikation ist nicht notwendig.1)Vgl. Allgemeinverfügung AZ. 8155_606/607 vom 18.12.2018.
Zertifizierung
Gewöhnliche Energieanlagen
Die Zertifizierung eines mit den Anforderungen des IT-Sicherheitskataloges konformen Informationssicherheitsmanagementsystems (ISMS) muss durch eine Kopie des Zertifikates
bis zum 31.03.2021
nachgewiesen werden. Damit wurde die im Entwurf vorgesehen Frist von eineinhalb Jahren auf etwas mehr als zwei Jahre verlängert.
Der IT-Sicherheitskatalog fordert die Umsetzung eines ISMS auf Grundlage der DIN EN ISO/IEC 27001. Ergänzend zur DIN EN ISO/IEC 27001 sollen die Normen DIN EN ISO/IEC 27002 und DIN EN ISO/IEC 27019 herangezogen werden. Nach diesen internationalen Standards wurden bereits zahlreiche Energieversorgungsnetzbetreiber in 2018 zertifiziert.
Je nach Anlagentyp können zusätzlich der VGB-Standard „IT-Sicherheit für Erzeugungsanlagen“ (VGB-S-175) und das BDEW-Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ herangezogen werden. Über die Neufassung des BDEW-Whitepaper hat xmera in einer Beitragsserie bereits umfassend berichtet.
Energieanlagen nach § 7 Absatz 1 Atomgesetz
Zur Gewährleistung der kerntechnischen Sicherheit besteht bereits die SWED-Richtlinie IT.2)Richtlinie für den Schutz von IT-Systemen in kerntechnischen Anlagen und Einrichtungen der Sicherungskategorien I und II gegen Störmaßnahmen oder sonstige Einwirkungen Dritter Die im IT-Sicherheitskatalog unter B./II./1. genannten besonderen Schutzziele für Erzeugungsanlagen sind nachrangig zum Schutzziel der atomaren Sicherheit zu behandeln.
Zum Nachweis der Erfüllung der Anforderungen müssen betroffene KRITIS-Betreiber erstmalig
bis zum 30.06.2019
eine Bestätigung der für die nuklearen Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden der Länder vorlegen.
Zusätzlich muss eine von der Geschäftsführung unterzeichnete Erklärung über die Einhaltung der Schutzziele aus dem IT-Sicherheitskatalog abgegeben werden. Der Nachweis darüber ist jeweils
bis zum 30.06. jeden Jahres
zu erbringen.
Dokumente
Nachfolgende Links führen Sie direkt zu den Dokumenten der Bundesnetzagentur:
- Allgemeinverfügung Az. 8155_606/607
- IT-Sicherheitskatalog gemäß § 11 Absatz 1b EnWG
- Anprechpartner für Bundesnetzagentur
Einen sehr kurzen Überblick bietet die Onlinepräsenz der Bundesnetzagentur unter dem Thema IT-Sicherheitskatalog für Energieanlagen. Dort sind zudem die während der Konsultationsphase eingereichten Stellungnahmen samt Änderungsvorschläge einsehbar.
Literaturhinweise
