Aufgrund von Änderungen im EnWG in Verbindung mit dem IT-Sicherheitskatalog der BNetzA (Bundesnetzagentur) wird die Informationssicherheit zur Pflicht für alle Gas- und Stromnetzbetreiber. Diese Netzbetreiber müssen sich bis zum 31. Januar 2018 nach der internationalen Norm ISO 27001 zertifizieren lassen. Grundlage hierfür ist der § 11 Abs. 1a des Energiewirtschaftsgesetztes (EnWG). Dieser Paragraph schreibt vor, dass die Energieversorger für einen angemessenen Schutz gegen Bedrohungen bei den von ihnen eingesetzten Telekommunikations- und elektronischen Datenverarbeitungssysteme zu sorgen haben.
Hierzu wurde der IT-Sicherheitskatalog der BNetzA, der gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt wurde, mit konkreten Hinweisen zu Sicherheitsanforderungen veröffentlicht. Gemäß diesem IT-Sicherheitskatalog der BNetzA muss zukünftig die Erfüllung der Sicherheitsanforderungen regelmäßig überprüft werden. Der Schutz des Betriebs eines Energieversorgungsnetzes gilt nur dann als erfüllt, wenn der Katalog der IT-Sicherheitsanforderungen der BNetzA eingehalten und darüber hinaus vom Netzbetreiber in Form einer ISO 27001 Zertifizierung nachgewiesen worden ist. Durch die ISO 27001 Zertifizierung wird die angemessene und sachgerechte Einführung eines Managementsystems für Informationssysteme bzw. eines Informations-Sicherheits-Management-Systems – kurz ISMS – nachgewiesen. Zusammen mit dem branchenspezifischen Leitfaden ISO/IEC TR 27019 für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung soll die Informationssicherheit der Netzbetreiber verbessert werden.
Die Einhaltung der Bestimmungen des IT-Sicherheitskatalogs kann von der Bundesnetzagentur in regelmäßigen Abständen überprüft werden.
Alle Netzbetreiber sind von dem IT-Sicherheitskatalog der BNetzA betroffen
Von diesen Regelungen sind grundsätzlich alle Netzbetreiber, unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden betroffen, soweit diese über Systeme verfügen, die in den Anwendungsbereich des Sicherheitskataloges fallen. Grundsätzlich gilt, dass die eingesetzten Systeme dem aktuellen Stand der Technik genügen und die getroffenen Maßnahmen sowohl die Sicherheit der Anlagen, als auch die Sicherheit der Versorgung, gewährleisten müssen.
Aufgrund des kürzlich veröffentlichten Entwurfs der “Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz” wurde die Pflicht zur Meldung von Sicherheitsvorfällen auf ein hohes Maß angehoben, so dass von dieser Meldepflicht kleine bis mittlere Netzbetreiber, unabhängig von ihrer Verpflichtung zur Einführung eines ISMS gemäß ISO 27001, verschont bleiben.
ISMS Einführung verursacht hohen personellen Aufwand
Gerade den kleinen und mittleren Energieversorgern fällt es schwer, die mit dem IT-Sicherheitskatalog der Bundesnetzagentur verbundenen Anforderungen an die Informationssicherheit zu erfüllen. Die IT-Systeme der Netzbetreiber waren in der Vergangenheit selten von Änderungen betroffen und wurden häufig von externen Dienstleistern betreut, so dass die Kenntnisse über die inzwischen eingezogenen IP-basierten Netzwerke in den Unternehmen häufig nicht vorhanden sind. Insbesondere aufgrund der Umstellung auf IP-basierte Netzwerke sind die Netzbetreiber, wie inzwischen so viele andere Unternehmen auch, verstärkt Cyber-Angriffen ausgesetzt, so dass es zu Störungen im Betrieb sowie in der Versorgung kommen kann. Beispiele hierfür sind fast täglich in der Presse sowie im Internet zu lesen.
Externe Unterstützung erforderlich
Zur Umsetzung der Anforderungen aus dem Sicherheitskatalog der Bundesnetzagentur unterstützen wir Sie bei dem Aufbau und Einführung eines Informations-Sicherheits-Management-Systems (ISMS). In diesem Zusammenhang nehmen wir gemeinsam mit den Mitarbeitern aus dem Netzbetrieb die bereits vorhandenen Regelungen auf und ergänzen diese bezüglich der ISO 27001 Anforderungen und führen Sie zur Zertifizierung. Insgesamt sollte durch die Einführung eines ISMS die Informationssicherheit in Ihrem Unternehmen kontinuierlich verbessert werden.