IT-Si­cher­heit im Ener­gie­sek­tor

• Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog im Fall einer Betriebsführung durch Dritte
• Mapping zwischen ISO/IEC 27019:2020 und ISO/IEC 27002:2022

Die Unterstützung durch IKT-Systeme bringt viele Vorteile, mit der wachsenden Abhängigkeit von diesen Systemen gehen jedoch auch Risiken für die Versorgungssicherheit einher. Die Bundesnetzagentur hat daher den Auftrag, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Mindeststandards für die IT-Sicherheit im Energiesektor zu erstellen und zu veröffentlichen.

Zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, sind diese Mindeststandards in den sogenannten „IT-Sicherheitskatalogen“ enthalten:

• IT-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen (veröffentlicht im August 2015)
• IT-Sicherheitskatalog für Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind (veröffentlicht im Dezember 2018)

Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog im Fall einer Betriebsführung durch Dritte

(§ 11 Abs. 1a und 1b EnWG)

Die vorliegende Mitteilung passt die am 19. Januar 2021 im Rahmen der „Mitteilung bezüglich der Zertifizierung nach dem IT-Sicherheitskatalog § 11 Abs. 1a EnWG im Falle der Betriebsführung durch Dritte“ aufgezeigten Lösungsoptionen an. Die Mitteilung vom 19. Januar 2021 ist damit obsolet. Mit der aktuellen Mitteilung werden bestehende Widersprüche im Zertifizierungsverfahren aufgelöst.

Das wesentliche Resultat der Anpassung ist, dass sich die Netzbetreiber und die Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen in der Konstellation „Betriebsführung durch Dritte“ selbst zu zertifizieren haben. Hierüber ist ein Nachweis zu erbringen. Für die Nachweiserbringung wird eine angemessene Frist bis zum 31. März 2024 gewährt.

Mapping zwischen ISO/IEC 27019:2020 und ISO/IEC 27002:2022

Basis der IT-Sicherheitskataloge bilden die ISO Normen 27001, 27002 und 27019, die inhaltlich aufeinander aufbauen und untereinander referenzieren. Die internationale Norm ISO/IEC 27001 stellt die Grundlage für ein Informationssicherheitsmanagementsystem (ISMS) dar und definiert deren Anforderungen. Die Norm ISO/IEC 27002 ist eine dazu korrespondierende Orientierungshilfe, die Hinweise gibt, wie diese Maßnahmenziele erreicht bzw. Kontrollen umgesetzt werden können.

In den vergangenen Jahren wurde die ISO/IEC 27002 umfassend überarbeitet und liegt seit Februar 2022 in der dritten Edition vor. Der Struktur der ISO/IEC 27002 folgend, wird der Anhang A der ISO/IEC 27001 angepasst. Eine Aktualisierung der ISO/IEC 27019 erfolgt voraussichtlich erst im Jahr 2024. Dies führt dazu, dass die Norm ISO/IEC 27019 bis zu ihrer Aktualisierung ungültige Verweise und Referenzen zu den anderen Normen beinhalten wird.

Um die Fortführung der Zertifizierungen nach IT-Sicherheitskatalog sicherzustellen, hat die Bundesnetzagentur eine Mapping-Tabelle anfertigen lassen. Sie dient als Hilfestellung bei der Verwendung der aktualisierten Normen.

Im Rahmen der Zertifizierung nach IT-Sicherheitskatalog auf Basis der aktualisierten Normen ist eine Übergangsfrist zur Umsetzung der neuen Regelungen in den Konformitätsbewertungsprogrammen geregelt. So haben Audits spätestens nach Ablauf von zwei Jahren seit Veröffentlichung der aktualisierten Fassungen verpflichtend auf Basis dieser zu erfolgen. Die Übergangsregelung beginnt hierbei zwingend ab dem Zeitpunkt der Veröffentlichung der ursprünglichen Aktualisierungsversion und richtet sich nicht nach dem Zeitpunkt der Veröffentlichung von Übersetzungen ins Deutsche.