BNetzA veröffentlicht finale Version des IT-Sicherheitskatalogs
Strom- und Gasnetzbetreiber (dies umfasst Betreiber geschlossener Verteilernetze nach § 110 EnWG) sind rechtlich verpflichtet, die Sicherheit ihrer Netze zu gewährleisten. Das schließt gemäß § 11 Abs. 1 a EnWG die Pflicht ein, angemessene Schutzmaßnahmen gegen Bedrohungen für ihre Telekommunikations- und elektronischen Datenverarbeitungssysteme zu treffen. Um diesen gesetzlich geforderten angemessenen Schutz zu konkretisieren, hatte die BNetzA bereits Ende 2013 den Entwurf eines IT-Sicherheitskatalogs veröffentlicht. Das zum 25.7.2015 in Kraft getretene IT-Sicherheitsgesetz (wir berichteten) hat die Rechtspflichten insoweit verschärft, als der IT-Sicherheitskatalog nunmehr einen Mindeststandard darstellt, der verpflichtend von allen Strom- und Gasnetzbetreibern umzusetzen ist. Am 12.8.2015 hat die Bundesnetzagentur (BNetzA) die finale Version des IT-Sicherheitskatalogs veröffentlicht. Damit steht das „Pflichtprogramm“ für Netzbetreiber fest.
Dabei gilt: auch wenn die Anwendungen, Systeme und Komponenten, die dem Geltungsbereich des IT-Sicherheitskatalogs unterliegen, an Dritte outgesourct sind, müssen Netzbetreiber durch entsprechende Vereinbarungen mit den jeweiligen Dienstleistern sicherstellen, dass die Kriterien des Sicherheitskatalogs erfüllt werden. Nach außen bleibt die Verantwortung zur Einhaltung der Vorgaben des Katalogs – auch bei Dienstleistungsbezug – in jedem Falle beim Betreiber des Energieversorgungsnetzes.
Was ist bis wann zu tun?
Kernforderung des IT-Sicherheitskatalogs ist, ein Informations-Sicherheits-Management-System (ISMS) gemäß DIN ISO/IEC 27001 einzuführen und durch eine unabhängige hierfür zugelassene Stelle zertifizieren zu lassen. Neu ist, dass die Zertifizierung auch die Konformität des ISMS zu den Inhalten des IT-Sicherheitskatalogs belegen muss. Hierfür erarbeitet die BNetzA in Zusammenarbeit mit der Deutschen Akkreditierungsstelle (DAkkS) ein entsprechendes Zertifikat auf der Basis von DIN ISO/IEC 27001. Darüber hinaus muss der Netzbetreiber einen „Ansprechpartner IT-Sicherheit“ für die BNetzA benennen. Dieser muss unter anderem in der Lage sein, der Behörde auf Anfrage unverzüglich Auskunft zu geben über den Umsetzungsstand des IT-Sicherheitskatalogs und aufgetretene Sicherheitsvorfälle.
Netzbetreiber haben der BNetzA bis zum 31.1.2018 den Abschluss des Zertifizierungsverfahrens für das ISMS durch Vorlage einer Kopie des Zertifikats mitzuteilen. Der Ansprechpartner IT-Sicherheit und dessen Kontaktdaten sind der BNetzA bis zum 30.11.2015 über ein auf der Internetseite der BNetzA bereitgestelltes Formular per E-Mail (IT-Sicherheitskatalog@bnetza.de) mitzuteilen.
Netzbetreiber, auch Betreiber geschlossener Verteilernetze, sollten sich spätestens jetzt mit den Inhalten des IT-Sicherheitskatalogs vertraut machen. Vor allem die Initialphase eines ISMS ist nach unserer Erfahrung aufwendig sowie zeitintensiv und stellt gerade für kleine und mittlere Stadtwerke eine Herausforderung dar. Es bestehen jedoch zahlreiche „Bausteine“ auf dem Weg zur Zertifizierung, die kooperativ abgearbeitet oder für die Skaleneffekte gehoben werden können und die Kosten für das einzelne EVU damit (deutlich) reduzieren. Hierfür haben wir die Stadtwerkskooperation IT-Sicherheit als regionale Plattform konzeptioniert, welche Netzbetreiber bei einer effizienten und wirtschaftlichen Umsetzung des IT-Sicherheitskatalogs unterstützt.
Ansprechpartner BBH: Dr. Jost Eder/Thies Hartmann/Michael Weise/Alexander Bartsch
Ansprechpartner BBHC: Dr. Andreas Lied/Stefan Brühl
