FNN-/DVGW-Hinweis unterstützt Netzbetreiber bei der Einführung eines ISMS nach IT-Sicherheitskatalog
20.12.2018 Publikation 1968 1

Informationssicherheit in Energienetzen

Hohe Anforderungen für einen sicheren Netzbetrieb erfolgreich umsetzen

Der zunehmende Einsatz von  Informations- und Kommunikationstechnologien im Netzbetrieb stellt die Frage der Sicherheit dieser Systeme verstärkt in den Fokus. Um die Vorteile dieser Technologien sicher nutzen zu können, ist ein angemessener Schutz gegen Bedrohungen notwendig. Beeinträchtigen Angreifer etwa wichtige Funktionen der IT, so können erhebliche netzbetriebliche Probleme mit systemrelevanten Auswirkungen entstehen. Netzbetreiber sind daher verpflichtet, zum Schutz der relevanten Anwendungen, Systeme und Komponenten für einen sicheren Netzbetrieb ein Informationssicherheits-Managementsystem (ISMS) einzuführen und zu zertifizieren. 

VDE|FNN ordnet in dem Hinweis "Informationssicherheit in der Energieversorgung" relevante gesetzliche Regelungen ein und gibt Umsetzungshinweise für die Einführung eines ISMS sowie zur Durchführung von Meldungen sicherheitsrelevanter Vorfälle.

Das Wichtigste in Kürze

  • Hilfestellung bei der Umsetzung von Maßnahmen zur Erhöhung der Informationssicherheit (Implementierung eines ISMS)
  • Erläuterung von Sicherheits- und Meldepflichten für Netzbetreiber
  • Einordnung gesetzlicher Regelungen
  • Hinweis gilt spartenübergreifend

Der Hinweis ist in seiner aktuell dritten Auflage in Zusammenarbeit mit dem DVGW entstanden und gilt daher spartenübergreifend. Entsprechend der aktuellen Entwicklungen des Rechtsrahmens sowie der wachsenden Erfahrungswerte beim ISMS wird die Unterlage regelmäßig aktualisiert und erweitert.

Informationssicherheit im Überblick

IT-Sicherheitsgesetz

Mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) soll neben der IT-Sicherheit insbesondere bei Unternehmen und in der Bundesverwaltung auch der Schutz der Bürger im Internet verbessert werden.

  • Ist in Kraft seit 25. Juli 2015
  • Ändert und ergänzt als Artikelgesetz u. a. das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz), Energiewirtschaftsgesetz (EnWG), das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG)
  • Betrifft die Sektoren: Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen
  • Betroffene Unternehmen müssen ein Mindestmaß an IT-Sicherheit einhalten und Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden
  • Das BSI stellt allen KRITIS-Betreibern aktuelle Erkenntnisse und Sicherheitsinformationen zur Verfügung
  • Über eine Rechtsverordnung (BSI-Kritisverordnung) wird definiert, welche Einrichtungen, Anlagen oder Bestandteile als Kritische Infrastruktur gelten

BSI-Kritisverordnung

Die BSI-Kritisverordnung (BSI-KritisV) konkretisiert das BSI-Gesetz und legt über definierte Schwellenwerte fest, welche Unternehmen und Anlagen zu den Kritischen Infrastrukturen im Sinne des Gesetzes zählen.

  • Ist für die KRITIS-Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung in Kraft seit 03. Mai 2016
  • 1. Verordnung zur Änderung der BSI-Kritisverordnung vom 30. Juni 2017 ergänzt die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr
  • Betreiber können anhand definierter Schwellenwerte feststellen, ob  sie unter die Bestimmungen des BSI-Gesetzes fallen
  • Sektor Energie: Für Erzeugungsanlagen gelten Schwellenwerte von 420 MW installierter Netto-Nennleistung, bei Verteil-/Übertragungsnetzen liegt die Schwelle bei 3700 GWh/a durch Letztverbraucher und Weiterverteiler entnommener Jahresarbeit
  • Verordnung wird zwei Jahre nach Inkrafttreten und danach alle zwei Jahre evaluiert

IT-Sicherheitskataloge

IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG für Strom- und Gasnetze

Der IT-Sicherheitskatalog wurde von der Bundesnetzagentur (BNetzA) im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und im August 2015 veröffentlicht. Der Katalog enthält mit der Beschreibung der Anforderungen eines Informationssicherheits-Managementsystems (ISMS) Regelungen zur regelmäßigen Überprüfung und Sicherstellung organisatorischer und technischer Vorkehrungen zur Störungsvermeidung.

  • Gilt für alle Netzbetreiber
  • Implementierung eines ISMS und Vorweisen eines Zertifikats bei der BNetzA
  • Sicherstellung eines angemessenen Schutzes gegen Bedrohungen für alle Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für den sicheren Netzbetrieb notwendig sind
  • Verantwortung für Erfüllung der Schutzziele: Verfügbarkeit, Integrität, Vertraulichkeit

IT-Sicherheitskatalog nach § 11 Abs. 1b EnWG für Energieanlagen

Der IT-Sicherheitskatalog wurde von der BNetzA im Benehmen mit dem BSI erstellt und im Dezember 2018 veröffentlicht.

Der Katalog dient zum Schutz gegen Bedrohungen der Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Betrieb von Energieanlagen notwendig sind.

  • Gilt für Betreiber von Energieanlagen, die durch die BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind
  • Implementierung eines ISMS und Vorweisen eines Zertifikats bei der BNetzA (31.03.2021)
  • Benennung eines Ansprechpartners IT-Sicherheit gegenüber der BNetzA (28.02.2019)

Branchenspezifische Sicherheitsstandards (B3S)

  • Können auf Basis des BSI-Gesetzes erarbeitet werden, um den laut § 8a Abs. 1 BSI-Gesetz geforderten "Stand der Technik" der entsprechenden Branche zu definieren, z. B. in Branchenarbeitskreisen des UP KRITIS, durch KRITIS-Betreiber oder Verbände
  • Eine Orientierungshilfe für die Erstellung wird durch das BSI zur Verfügung gestellt
  • Nach Eignungsprüfung durch das BSI kann der B3S als Grundlage für den Nachweis der Umsetzung der Anforderungen des § 8a BSI-Gesetz verwendet werden
  • Weitere Informationen: BSI


Branchenstandard IT-Sicherheit Wasser/Abwasser (B3S WA)

Der Branchenstandard IT-Sicherheit Wasser/Abwasser ist der erste B3S, dessen Eignung durch das BSI festgestellt wurde. Er wurde von den zwei regelsetzenden Verbänden Deutscher Verein des Gas- und Wasserfaches e.V. (DVGW) und Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall e.V. (DWA) erarbeitet.

Der B3S WA hilft sowohl KRITIS-Unternehmen als auch kleineren und mittleren Wasserver- und Abwasserentsorgungsunternehmen, um das notwendige Schutzniveau entsprechend des Stands der Technik zu implementieren.

  • Eignung festgestellt
  • Gültig bis Juni 2019
  • Bezug über DVGW/DWA

Für den Sektor Energie befinden sich darüber hinaus noch B3S zu den Bereichen Fernwärme und Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung in der Erstellung bzw. im Verfahren der Vorabeignungsprüfung.

Meldepflichten

Mit Inkrafttreten des NIS-Richtlinien-Umsetzungsgesetzes im Juni 2017 hat sich die Meldepflicht von IT-Störungen an das BSI auf alle Betreiber von Energieversorgungsnetzen ausgeweitet. Um den gegenseitigen Informationsaustausch sicherzustellen, Meldungen durchzuführen und von den Informationen zu Lagebildern des BSI zu profitieren, ist es notwendig, beim BSI eine Kontaktstelle zu registrieren. Geeignet hierfür ist ein Funktionspostfach, um die jederzeitige Erreichbarkeit an 24 Stunden sieben Tage die Woche zu ermöglichen.

Sofern eine IT-Störung auftritt, sind grundsätzlich folgende Fälle zu unterscheiden.

  • Keine Meldung erforderlich: Ein Ausfall oder eine Beeinträchtigung der kritischen Dienstleistung ist nicht möglich
  • Meldung nur erforderlich, wenn außergewöhnliche Störung (nicht automatisch mit Maßnahmen des Stands der Technik abwehrbar): Ein Ausfall oder eine Beeinträchtigung der kritischen Dienstleistung ist möglich
  • Namentliche Meldung zwingend erforderlich: Ein Ausfall oder eine Beeinträchtigung der kritischen Dienstleistung ist eingetreten

Meldungen müssen unverzüglich nach Feststellen der IT-Störung durchgeführt werden. Dabei müssen alle Erkenntnisse, die zum Zeitpunkt der Meldung vorliegen, an das BSI gemeldet werden. Für die Erstmeldung gilt jedoch grundsätzlich Schnelligkeit vor Vollständigkeit.

UP KRITIS

  • Öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und zuständigen staatlichen Stellen
  • Ziel: Versorgung mit Dienstleistungen Kritischer Infrastrukturen in Deutschland aufrechtzuerhalten
  • VDE|FNN ist Partner im UP KRITIS und arbeitet u. a. aktiv im Branchenarbeitskreis Strom mit.

Hinweis "Informationssicherheit in der Energieversorgung" kaufen

Hinweis Titel
28.09.2016

Die aktuell 3. Auflage des FNN-/DVGW-Hinweises steht Interessierten als Kaufexemplar im VDE-Shop (für FNN-Mitglieder kostenfrei) als Download zur Verfügung.

Hinweis kaufen...

Verwandte Themen