IT-Sicherheit im Energiesektor
Unsere moderne Gesellschaft ist in hohem Maße von einer funktionierenden Energieversorgung abhängig. Fehlen Strom und Gas, kommt das öffentliche Leben innerhalb kürzester Zeit zum Erliegen und lebensnotwendige Dienstleistungen können nicht mehr erbracht werden. Gleichzeitig ist die Funktionsfähigkeit der Energieversorgung von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig.
- IT-Sicherheitskataloge
- Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog im Fall einer Betriebsführung durch Dritte
- Mapping zwischen ISO/IEC 27019:2020 und ISO/IEC 27002:2022
Die Unterstützung durch IKT-Systeme bringt viele Vorteile. Mit der wachsenden Abhängigkeit von diesen Systemen gehen jedoch auch Risiken für die Versorgungssicherheit einher. Die Bundesnetzagentur hat daher den Auftrag, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Mindeststandards für die IT-Sicherheit im Energiesektor zu erstellen und zu veröffentlichen.
IT-Sicherheitskataloge
Zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, sind diese Mindeststandards in den sogenannten „IT-Sicherheitskatalogen“ enthalten:
- IT-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen (veröffentlicht im August 2015)
- IT-Sicherheitskatalog für Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind (veröffentlicht im Dezember 2018)
Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog im Fall einer Betriebsführung durch Dritte
Die vorliegende Mitteilung passt die am 19. Januar 2021 im Rahmen der „Mitteilung bezüglich der Zertifizierung nach dem IT-Sicherheitskatalog § 11 Abs. 1a EnWG im Falle der Betriebsführung durch Dritte“ aufgezeigten Lösungsoptionen an. Die Mitteilung vom 19. Januar 2021 ist damit obsolet. Mit der aktuellen Mitteilung werden bestehende Widersprüche im Zertifizierungsverfahren aufgelöst.
Das wesentliche Resultat der Anpassung ist, dass sich die Netzbetreiber und die Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen in der Konstellation „Betriebsführung durch Dritte“ selbst zu zertifizieren haben. Hierüber ist ein Nachweis zu erbringen. Für die Nachweiserbringung wird eine angemessene Frist bis zum 31. März 2024 gewährt.
Mapping zwischen ISO/IEC 27019:2020 und ISO/IEC 27002:2022
Basis der IT-Sicherheitskataloge bilden die ISO Normen 27001, 27002 und 27019, die inhaltlich aufeinander aufbauen und untereinander referenzieren. Die internationale Norm ISO/IEC 27001 stellt die Grundlage für ein Informationssicherheitsmanagementsystem (ISMS) dar und definiert deren Anforderungen. Die Norm ISO/IEC 27002 ist eine dazu korrespondierende Orientierungshilfe, die Hinweise gibt, wie diese Maßnahmenziele erreicht bzw. Kontrollen umgesetzt werden können.
Seit Herbst 2024 liegt die aktualisierte Fassung der ISO/IEC 27019 vor, sodass die Verweise zur ISO/IEC 27001 wieder konsistent sind. Die Mappingtabelle der Bundesnetzagentur wird mit dem Umstieg auf die neue Fassung obsolet. Bis zur verpflichtenden Nutzung im Rahmen des IT-Sicherheitskataloge im Oktober 2026 stellt die Bundesnetzagentur die folgende Mappingtabelle zwischen ISO/IEC27002:2022 ISO/IEC 27019:2020 weiterhin zur Verfügung.
Kontakt
Referat 627
Bundesnetzagentur, Tulpenfeld 4, 53113 Bonn
E-Mail: it-sicherheitskatalog@bnetza.de
Gesetzliche Grundlagen
§ 11 Abs. 1a EnWG (Strom- und Gasnetze)
§ 11 Abs. 1b EnWG (Energieanlagen nach der BSI-Kritisverordnung)