Bundestag beschließt IT-Sicherheitsgesetz
Der Bundestag hat am 12.6.2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) abschließend beraten und mit großer Mehrheit angenommen. Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Darüber hinaus werden zur Steigerung der IT-Sicherheit im Internet die Anforderungen an die Anbieter von Telekommunikations- und Telemediendiensten erhöht. Parallel dazu werden die Kompetenzen des BSI und der Bundesnetzagentur (BNetzA) sowie die Ermittlungszuständigkeiten des Bundeskriminalamtes (BKA) im Bereich der Computerdelikte ausgebaut.
Folgen für die Energiebranche –was müssen Betreiber von Energienetzen und Energieanlagen beachten?
Für die Versorgungswirtschaft sind in erster Linie die im IT-Sicherheitsgesetz vorgesehenen Änderungen des § 11 EnWG relevant. Betroffen davon sind alle Betreiber von Energieversorgungsnetzen (§ 11 Abs. 1a EnWG) sowie diejenigen Betreiber von Energieanlagen (insbesondere also Kunden- und Erzeugungsanlagen), die auf Grundlage einer noch zu verabschiedenden Rechtsverordnung als Kritische Infrastruktur im Sinne von § 10 BSIG bestimmt wurden (§ 11 Abs. 1b EnWG).
Betreiber von Energieversorgungsnetzen sind nach dem neu gefassten § 11 Abs. 1a EnWG verpflichtet, die Vorgaben des sog. IT-Sicherheitskataloges der BNetzA umzusetzen. Der ist zwar noch nicht ganz fertig (sondern bisher lediglich in einer Entwurfsfassung veröffentlicht), aber schon jetzt steht fest, dass er die Einführung und Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gemäß DIN ISO 27001 ff. sowie die Benennung eines IT-Sicherheitsbeauftragten verlangen wird. Vor allem die Implementierung des ISMS wird ein nicht unerheblicher, aber unvermeidlicher Kostenfaktor sein, denn ohne zertifiziertes ISMS ist der Netzbetrieb im Bereich Strom und Gas zukünftig nicht mehr zulässig. Mit dem neu eingeführten § 11 Abs. 1b EnWG werden zudem erstmals auch Betreiber von sonstigen Energieanlagen in die gesetzlichen Pflichten einbezogen.
Der Entwurf des IT-Sicherheitskataloges der BNetzA sieht bislang eine Umsetzungsfrist von lediglich einem Jahr vor. Es ist möglich, dass diese im Zuge der Anpassung noch einmal – parallel zur Umsetzungsfrist für die anderen Kritischen Branchen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) – verlängert wird. Unternehmen, die Energieversorgungsnetze betreiben, sollten jedoch die erforderlichen Schritte für eine Umsetzung der gesetzlichen Anforderungen – auch mit Blick auf eine Kostenanerkennung und die Basisjahre der Anreizregulierung (Gas: 2015/Strom: 2016) – jetzt anstoßen. Da es sich, unserer Erfahrung nach, bei der Unterstützungsdienstleistung für eine ISMS-Einführung zum großen Teil um sprungfixe Kosten handelt, können Kooperationen ein Lösungsansatz sein, um möglichst effizient ein zertifiziertes ISMS zu implementieren.
Auswirkungen auf die Telekommunikationsbranche und Betreiber sonstiger Kritischer Infrastrukuren
Für Betreiber öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste bestehen im Telekommunikationsgesetz (TKG) spezielle Vorschriften, die zur Umsetzung technischer Schutzmaßnahmen verpflichten. Wichtige Änderungen durch das BSIG finden sich in § 109 TKG. Neben der Präzisierung der Meldepflichten gegenüber der BNetzA (§ 109 Abs. 5 TKG) wird ausdrücklich gefordert, dass die Schutzmaßnahmen den „Stand der Technik berücksichtigen“ müssen.
Mit den Ergänzungen des BSIG werden darüber hinaus (sonstige) Betreiber Kritischer Infrastrukturen addressiert, Ausnahmen vom Anwendungsbereich bestehen lediglich für sog. Kleinstunternehmen. Kritische Infrastrukturen im Sinne des Gesetzes sind die durch eine künftige Rechtsverordnung nach § 10 BSIG noch näher zu bestimmenden Einrichtungen, Anlagen oder Teile davon in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr (hierzu gehört potentiell auch der Personennahverkehr – ÖPNV), Gesundheit, Wasser (hierzu gehört potentiell die öffentliche Wasserversorgung und Abwasserentsorgung), Ernährungs-, Finanz- und Versicherungswesen, die von Bedeutung für das Funktionieren des Gemeinwesens sind und durch deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten würden (§ 2 Abs. 10 BSIG). Eine hierzu noch zu erlassende Rechtsverordnung soll zukünftig quantitative („Schwellenwerte“) und qualitative Kriterien festlegen, auf deren Grundlage bestimmt werden kann, ob etwa ein Unternehmen im Bereich Wasser/Abwasser oder ÖPNV als „kritisch“ einzustufen und damit von den Rechtspflichten des IT-Sicherheitsgesetzes (also insbesondere der Pflicht zur Gewährleistung eines Mindeststandards an IT-Sicherheit) betroffen ist. Erst im Anschluss kann eine Festlegung und Umsetzung konkreter Sicherheitsstandards erfolgen.
Inhaltlich verlangt das IT-Sicherheitsgesetz nach § 8a BSIG „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit, der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“. Um dies zu konkretisieren, können die Betreiber und ihre Branchenverbände branchenspezifische Sicherheitsstandards vorschlagen. Das BSI stellt dann fest, ob sie sich eignen, die gesetzlichen Anforderungen zu gewährleisten (für die Energieversorgungsnetze ist dies in Form des IT-Sicherheitskatalogs der BNetzA erfolgt; seine Entwurfsfassung wurde „im Benehmen“ mit dem BSI erstellt). Alle zwei Jahre ist dann auf geeignetem Wege nachzuweisen, dass die gesetzlichen Anforderungen erfüllt werden (z. B. durch Sicherheitsaudits, Prüfungen und Zertifizierungen). § 8b BSIG enthält eine neue Meldepflicht für erhebliche Störungen der informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der betriebenen Kritischen Infrastruktur führen können, an das BSI.
Ansprechpartner BBH: Dr. Christian de Wyl/Dr. Jost Eder/Dr. Michael Weise
Ansprechpartner BBHC: Dr. Andreas Lied/Stefan Brühl
PS: Sie interessieren sich für dieses Thema, dann schauen Sie gern hier.