Viele kleine und mittelständische Gas- und Netzbetreiber stehen vor dem Problem, den im August 2015 erlassenen Sicherheitskatalog der BNetzA (Bundesnetzagentur) gemäß § 11 Absatz 1a Energiewirtschaftsgesetz angemessen und sachgerecht umzusetzen. Einerseits fehlt bei den entsprechenden Netzbetreibern die Erfahrung im Bereich der IT-Sicherheit im Netzbetrieb, andererseits wird noch auf weitere Informationen bezüglich der detaillierten Zertifizierungsanforderungen gewartet.
Hierzu hat bereits die Bundesnetzagentur in ihrer FAQ mitgeteilt, dass sie gemeinsam mit der Deutschen Akkreditierungsstelle (DAkks) ein eigenes Zertifikat erarbeiten wird, in dem im Wesentlichen auf dem bereits existierenden Zertifikat bzw. Zertifizierungsschema zur ISO 27001 aufgebaut und dieses um zusätzliche Anforderungen aus dem Sicherheitskatalog der BNetzA ergänzen wird. In diesem Zusammenhang soll der Anwendungsbereich (Scope) konkretisiert werden um sicherzustellen, dass die für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme von der Zertifizierung erfasst werden. Hierbei wird auch deutlich gemacht, dass bereits bestehende ISO/IEC 27001 Zertifizierungen auf Basis von IT-Grundschutz des BSI für nicht ausreichend erachtet werden, um die Anforderungen aus dem BNetzA Sicherheitskatalog zu erfüllen.
Dies ist verständlich, da neben der ISO/IEC 27001 mit den Anforderungen sowie der ISO/IEC 27002 mit den Maßnahmen auch noch die ISO/IEC 27019 mit den spezifischen Anforderungen an das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung berücksichtigt werden müssen.
Auf jeden Fall steht bereits fest, dass auch kleine und mittlere Gas- und Netzbetreiber von der Umsetzung der Anforderungen aus dem BNetzA Sicherheitskatalog nicht befreit werden und somit bis zum 31. Januar 2018 eine ISO/IEC 27001 Zertifizierung erfolgreich abgeschlossen haben müssen.
Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz
(BSI-Kritisverordnung – BSI-KritisV) vom 13.01.2016 18:45 Uhr
Daran hat auch der kürzlich veröffentlichte Entwurf der Rechtsverordnung des Bundesministeriums des Innern (BMI) keinen Zweifel gelassen. Abwohl in dieser Rechtsverordnung sehr hohe Schwellwerte angegeben wurden, die von kleinen und mittleren Netzbetreibern kaum erreicht bzw. überschritten werden, gilt jedoch nach wie vor der § 11 Abs. 1a EnWG mit dem Verweis auf den IT Sicherheitskatalog der Bundesnetzagentur und somit der Pflicht zur Zertifizierung bis zum 31. Januar 2018.
Vorbereitende Aktivitäten zur Umsetzung des Sicherheitskatalogs der BNetzA
Vor diesem Hintergrund sollten sich alle kleine und mittlere Netzbetreiber bereits heute mit der Thematik befassen und ein entsprechendes Projekt initiieren. Um mögliche zeitliche Engpässe zu vermeiden, sollte zeitnah mit den folgenden Aktivitäten begonnen werden:
- ISO 27001, Anhang A, sichten und eine vorläufige Anwendbarkeitserklärung gemäß Muster erstellen. Hierbei kann insbesondere der Ist-Zustand in einem frühen Stadium erhoben und der Aufwand für die Erstellung fehlender Dokumentationen erkannt werden. Wir rechnen damit, das sich in diesem Bereich ein Bedarf an schriftlichen Regelungen im Umfang von ca. 50 Dokumenten ergibt.
- Spezielle Anforderungen aus der ISO 27019 sollten den bereits vorhandenen Regelungen gegenübergestellt werden um somit den diesbezüglichen Handlungsbedarf erkennen zu können.
- Die ISO 27001 erfordern in den Bereichen A.5 bis A.10 einen erheblichen Regelungsbedarf. Diesbezüglich sollte auch im Vorfeld untersucht werden, welche Regelungen diesbezüglich bereits vorhanden sind bzw. auf denen aufgebaut werden kann. Wir schätzen den Regelungsbedarf in diesem Bereich auf ca. 20 Dokumente.
- Darüber hinaus sollte frühzeitig mit der Erstellung eines Netzstrukturplans begonnen werden und eine sinnvolle Abgrenzung zu den anderen Bereichen getroffen werden.
- Für die betroffenen IT-Systeme und Prozesse des Netzbetreibers ist anschließend eine Risikoklassifizierung und Risikobehandlung unter besonderer Berücksichtigung der Anforderungen an die Vertraulichkeit, die Integrität und die Verfügbarkeit zu erstellen.
Umsetzungsaufwand für den Sicherheitskatalog der BNetzA
Wir schätzen den Aufwand für einen Netzbetreiber mit einer mittleren Größe auf ca. 200 Personentage (PT). Daher sollte die Umsetzung des IT-Sicherheitskatalogs – auch wenn noch nicht alle Fakten bekannt sind – nicht auf die lange Bank geschoben werden. Insbesondere auch deshalb nicht, da im Rahmen einer ISO 27001 Zertifizierung ein bereits gelebtes Informationssicherheitsmanagementsystem nachgewiesen werden muss.
Die grundlegenden Anforderungen an ISO 27001 Auditoren von Zertifizierungsstellen sind im Abschnitt 7.1 der ISO/IEC 27006:2015 geregelt. Zusätzlich zu diesen Anforderungen müssen die Auditoren im Bereich Energieversorgung bzw. Netzbetreiber eine von der Bundesnetzagentur anerkannte Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas erfolgreich absolvieren. Die erfolgreiche Teilnahme an der Schulung ist am Schulungsende im Rahmen einer Prüfung nachzuweisen.
Betroffen von der Rechtsverordnung kritische Infrastrukturen sind die folgenden Branchen bzw. Sektoren: