Erleichterung für Netzbetreiber: BNetzA konkretisiert Zertifizierungsanforderungen für sicheren Netzbetrieb

6. November 2015

© BBH

Mitte August 2015 hat die Bundesnetzagentur (BNetzA) einen IT-Sicherheitskatalog veröffentlicht. Dieser verpflichtet alle Netzbetreiber gesetzlich, ein Informationssicherheitsmanagementsystem (ISMS) nach den Vorgaben der internationalen Norm ISO 27001 sowie des IT-Sicherheitskatalogs einzuführen und zertifizieren zu lassen.

Da manche, insbesondere kleinere Netzbetreiber selbst keine netzsteuernden sicherheitsrelevanten Systeme betreiben, sondern diese beispielsweise von einem Dienstleister betreiben lassen, konkretisiert die BNetzA nun die Pflicht zur Zertifizierung des Netzbetriebs.

Folgender Entscheidungsbaum stellt dar, was die Netzbetreiber tun müssen:

blog_it_sichWas sind sicherheitsrelevante Systeme?

Grundsätzlich ist jedes System zu schützen, das für einen sicheren Netzbetrieb notwendig ist. Als sicherheitsrelevant gelten alle zentralisierten Systeme, die der Netzsteuerung und -überwachung dienen, sowie die hierzu notwendigen unterstützenden IT-Systeme, Anwendungen, zentralen Infrastrukturen (z.B. Leitsystem, Server-Rechenzentrum etc.) und Schnittstellen dazu. Weiterhin sind auch die in der Netzsteuerung zur Kommunikation eingesetzte Übertragungs-, Telekommunikations- und Netzwerktechnik sowie prozessnahe Steuerungs- und Automatisierungstechnik und die zugehörigen Schutz- und Sicherheitssysteme sowie fernwirktechnische Komponenten als sicherheitskritisch eingestuft.

Nachweis, dass die Betriebsführung komplett an einen Dienstleister ausgelagert wurde bzw. keine sicherheitsrelevanten Systeme betrieben werden

Netzbetreiber müssen auf Grundlage eines Netzstrukturplans sowie einer Risikoanalyse gegenüber der BNetzA nachweisen, dass die eingesetzten Telekommunikations- und elektronischen Datenverarbeitungssysteme von einem Dienstleister betrieben werden bzw. diese nicht sicherheitsrelevant sind. Bei einer Auslagerung an einen Dienstleister müssen sie zudem sicherstellen, dass dieser bis zum 31.1.2018 entsprechend zertifiziert ist. Ein Duplikat des Zertifikats des Dienstleisters ist bei der BNetzA einzureichen.

Zertifizierungspflicht

Werden allerdings die im IT-Sicherheitskatalog benannten Systeme auch nur teilweise selbst betrieben, muss ein den Anforderungen des IT-Sicherheitskatalogs konformes ISMS eingeführt und zertifiziert werden.

Die Pflicht zur ISMS-Einführung und Zertifizierung ist somit recht digital. Allerdings kann der Einführungsaufwand durch vollständiges Outsourcing der Betriebsführung deutlich reduziert werden, was die Sache für die betroffenen Verteilernetzbetreiber deutlich erleichtert.

Ansprechpartner: Dr. Andreas Lied/Stefan Brühl

 

Share
Weiterlesen

02 Mai

Europäischer Emissionshandel: Weniger als 8 Wochen, um kostenlose Zuteilungen für 2026 bis 2030 zu sichern

Anlagenbetreiber aufgepasst: Am 21.6.2024 endet die Antragsfrist für kostenlose Zuteilungen von Emissionszertifikaten. Spätestens jetzt sollte die Vorbereitung der Antragsunterlagen mit voller Kraft laufen, da externe Prüfer diese vor Einreichung noch verifizieren müssen. Und wie berichtet ergeben sich gegenüber dem letzten...

Weiterlesen

30 April

Das Solarpaket I ist da: Wichtige Neuerungen im Überblick

Am vergangenen Freitag haben Bundestag und Bundesrat das Solarpaket I beschlossen. Nachdem das Gesetz eigentlich noch in 2023 verabschiedet werden und am 01.01.2024 in Kraft treten sollte, wird es nun voraussichtlich im Mai wirksam werden. Nur ein kleiner Teil des...

Weiterlesen