Navigation und Service

IT-Si­cher­heit im Ener­gie­sek­tor

Konsultation des Entwurfs eines IT-Sicherheitskatalogs für Energieanlagen

nach § 11 Abs. 1b EnWG

Die Bedeutung der Informationssicherheit ist für den Energiesektor von hoher und weiterhin zunehmender Bedeutung. Vor diesem Hintergrund hat die Bundesnetzagentur nach § 11 Abs. 1b EnWG den Auftrag, einen Katalog von Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Betrieb von Energieanlagen notwendig sind, zu erstellen (sog. „IT-Sicherheitskatalog“).

Adressaten des IT-Sicherheitskatalogs sind die Betreiber von Energieanlagen, die

  • durch die BSI-Kritisverordnung anhand von Schwellenwerten als kritische Infrastrukturen bestimmt wurden

    und

  • an ein Energieversorgungsnetz angeschlossen sind.

Kernforderung des IT-Sicherheitskatalogs ist die Verpflichtung der Betreiber der betroffenen Energieanlagen, ein Informationssicherheits-Managementsystem zu implementieren.

Die Bundesnetzagentur stellt den Entwurf des IT-Sicherheitskatalogs zur Konsultation.
Entwurf IT-Sicherheitskatalog nach § 11 Abs. 1b EnWG (Konsultationsfassung) (pdf / 620 KB)

Es wurde Gelegenheit zur schriftlichen Stellungnahme bis 28. Februar 2018 gegeben.

Es ist beabsichtigt, die Stellungnahmen gegebenenfalls im Internet zu veröffentlichen. Daher bitten wir darum, dass Konsultationsteilnehmer in ihren Stellungnahmen enthaltene etwaige Betriebs- und Geschäftsgeheimnisse sowie personenbezogene Daten kenntlich machen. Enthalten die vorgelegten Unterlagen eine der o. g. schutzbedürftigen Informationen, sollten die Konsultationsteilnehmer auch eine geschwärzte Fassung ihrer Stellungnahme vorlegen, die aus ihrer Sicht ohne Preisgabe von Betriebs- oder Geschäftsgeheimnissen oder personenbezogenen Daten veröffentlicht werden kann.

IT-Sicherheitskatalog für Strom- und Gasnetze

nach § 11 Absatz 1a EnWG

Die Bundesnetzagentur hat im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Katalog von Sicherheitsanforderungen erstellt und veröffentlicht, der dem Schutz gegen Bedrohungen der für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme dient.

Die Ziele des IT-Sicherheitskatalogs sind die

  • Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten,
  • Sicherstellung der Integrität der verarbeiteten Informationen und Systeme und
  • Gewährleistung der Vertraulichkeit der verarbeiteten Informationen.

Der IT-Sicherheitskatalog verpflichtet Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung bis zum 31. Januar 2018.

Überarbeitetes Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen

Das Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog nach § 11 Absatz 1a EnWG wurde überarbeitet und an drei Stellen geändert:

  1. Die im Oktober 2017 veröffentlichte neue ISO/IEC 27019:2017 macht eine Übergangsregelung zu deren Anwendung im Rahmen der anstehenden Zertifizierungsprozesse notwendig (siehe neues Kapitel 6).
  2. Die gemäß Kapitel 4 vorgesehene Beratung des Auditteams durch den Fachexperten wurde konkretisiert.
  3. Ein Muster mit den Anforderungen an Inhalt und Format der auszustellenden Zertifizierungsurkunde wurde als Anlage zum Konformitätsbewertungsprogramm aufgenommen.

Akkreditierte Zertifizierungsstellen für die Zertifizierung der Umsetzung des IT-Sicherheitskatalogs nach § 11 Absatz 1a EnWG finden Sie in der Datenbank der Deutschen Akkreditierungsstelle (DAkkS):

Geben Sie im Suchfeld das Stichwort „IT-Sicherheitskatalog“ ein.
http://www.dakks.de/content/akkreditierte-stellen-dakks

Bis zum 30. November 2015 mussten Netzbetreiber der Bundesnetzagentur per E-Mail einen Ansprechpartner IT-Sicherheit und dessen Kontaktdaten über das hier verfügbare Formular benennen:
Formular IT-Sicherheit Ansprechpartner und Kontaktdaten (xls / 42 KB)

FAQ zum IT-Sicherheitskatalog

Verantwortlichkeit für die Umsetzung des IT-Sicherheitskatalogs

Wer ist für die Umsetzung des IT-Sicherheitskatalogs verantwortlich?

Die Verantwortung für die Umsetzung der Vorgaben des IT-Sicherheitskatalogs obliegt ausschließlich den (bei der Bundesnetzagentur unter einer entsprechenden Betriebsnummer gelisteten) Betreibern eines Strom- oder Gasnetzes. Dies gilt unabhängig davon, ob ein Netzbetreiber ein Strom- oder Gasnetz als Eigentümer oder im Rahmen eines Pachtmodells betreibt. Ausnahmen von der Umsetzungspflicht, etwa in Abhängigkeit von der Größe eines Netzbetreibers, bestehen nicht.

Was ist, wenn ich die vom IT-Sicherheitskatalog betroffenen Systeme nicht selbst betreibe, sondern durch Dritte betreiben lasse (Outsourcing, Betriebsführung durch Dienstleister)?

Betreibt ein Netzbetreiber die Anwendungen, Systeme und Komponenten, auf die sich die Sicherheitsanforderungen des IT-Sicherheitskatalogs beziehen, nicht selbst, sondern durch einen externen Dienstleister, entbindet ihn das nicht von seiner eigenen Verantwortung zur Umsetzung des IT-Sicherheitskatalogs. Er muss in diesem Falle durch entsprechende vertragliche Vereinbarungen sicherstellen, dass der beauftragte Dienstleister die Sicherheitsanforderungen einhält (zur Frage, welche Auswirkungen dies auf die erforderliche Zertifizierung hat, s.u.).

Ansprechpartner IT-Sicherheit

Was bedeutet die Aussage „Bei der Bestimmung des Ansprechpartners sind – soweit einschlägig – die Vorschriften des Sicherheitsüberprüfungsgesetzes (SÜG) und der Sicherheitsüberprüfungsfeststellungsverordnung (SÜFV) zu beachten“?

Das SÜG sieht im Bereich des vorbeugenden personellen Sabotageschutzes für Personen, die an einer sicherheitsempfindlichen Stelle innerhalb einer lebenswichtigen Einrichtung beschäftigt sind, nach § 1 Absätze 1 und 4 eine Sicherheitsüberprüfung vor. Zu den lebenswichtigen Einrichtungen gehören im Zuständigkeitsbereich des BMWi u.a. „die Teile von Unternehmen, die Leitstellen für das Elektrizitätsübertragungsnetz betreiben, deren Ausfall die überregionale Elektrizitätsversorgung erheblich beeinträchtigen kann“, § 10 Absatz 1 Nr. 4 SÜFV. Einer Sicherheitsüberprüfung müssen sich daher nur die an einer sicherheitsempfindlichen Stelle der Elektrizitätsübertragungsnetzbetreiber tätigen Personen unterziehen. Zuständig für die Durchführung der Sicherheitsüberprüfung ist nach § 12 SÜFV das BMWi.

Zertifizierung

Ist für die Sparten Strom und Gas eine gesonderte Zertifizierung durchzuführen?

Soweit die Tätigkeiten der Elektrizitätsübertragung, Elektrizitätsverteilung, Gasfernleitung oder Gasverteilung durch ein Mehrspartenunternehmen wahrgenommen werden, ist keine gesonderte Zertifizierung für die Sparten Strom und Gas erforderlich. Es ist jedoch in jedem Fall sicherzustellen, dass alle Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Strom- und Gasnetzbetrieb notwendig sind, vom Anwendungsbereich (Scope) des Zertifikats erfasst sind. Systeme, die ausschließlich für den Betrieb sonstiger Sparten eines EVU (z. B. Fernwärme) benötigt werden und keine Relevanz für den sicheren Betrieb des Strom- oder Gasnetzes entfalten, sind nicht vom Anwendungsbereich des IT-Sicherheitskataloges erfasst.

Ich bin bereits zertifiziert nach DIN ISO 27001, BSI Grundschutz oder TSM. Wird dieses Zertifikat anerkannt?

Zum Nachweis, dass die Anforderungen des IT-Sicherheitskatalogs erfüllt werden, erarbeitet die Bundesnetzagentur gemeinsam mit der Deutschen Akkreditierungsstelle (DAkkS) ein eigenes Zertifikat. Das Zertifikat wird dabei im Wesentlichen auf dem bereits existierenden Zertifikat bzw. Zertifizierungsschema zur ISO/IEC 27001 basieren und dieses um die zusätzlichen Anforderungen des IT-Sicherheitskatalogs ergänzen. Des Weiteren soll der Anwendungsbereich (Scope) spezifiziert werden, um sicherzustellen, dass zumindest die für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme von der Zertifizierung erfasst sind.

Bereits bestehende Zertifizierungen nach ISO/IEC 27001, BSI Grundschutz usw. sind daher nicht ausreichend, um die Erfüllung der Anforderungen des IT-Sicherheitskatalogs nachzuweisen.

Ich betreibe nur Anlagen ohne Gefährdungspotential, ohne Anschluss an das Internet oder habe kein Leitsystem. Benötige ich dennoch eine Zertifizierung?

Betreibt ein Strom- oder Gasnetzbetreiber keine vom IT-Sicherheitskatalog erfassten Systeme in seinem Netz und lässt diese auch nicht von einem externen Dienstleister betreiben bzw. handelt es sich nur um Systeme ohne Gefährdungspotential, besteht auch keine Umsetzungspflicht für die diesbezüglichen Sicherheitsanforderungen des IT-Sicherheitskatalogs. Es bedarf dann auch keiner Zertifizierung. Dies ist jedoch zu begründen und durch geeignete Nachweise zu belegen. Die Telekommunikations- und elektronischen Datenverarbeitungssysteme eines Netzbetreibers, die für einen sicheren Netzbetrieb notwendig sind, sind im Rahmen der geforderten Risikoeinschätzung zu ermitteln. Insofern kann ein geeigneter Nachweis durch Vorlage der Dokumentation zur dieser Risikoanalyse oder durch sonstige Pläne zur Struktur des Netzes erfolgen.

Die vom IT-Sicherheitskatalog erfassten TK- und EDV-Systeme, die für einen sicheren Netzbetrieb notwendig sind, lasse ich über einen Betriebsführungsvertrag von einem Dritten betreiben. Muss sich der Netzbetreiber trotzdem selbst zertifizieren lassen?

Bei dieser Frage sind zwei Konstellationen zu unterscheiden:

  1. Ein Teil der vom IT-Sicherheitskatalog erfassten Systeme wird von einem Dienstleister betrieben, ein Teil vom Netzbetreiber selbst

    Da der Netzbetreiber selbst auch Systeme betreibt, die vom Anwendungsbereich des IT-Sicherheitskatalogs erfasst sind, muss er zum Nachweis der Umsetzung des IT-Sicherheitskatalogs eine Zertifizierung vornehmen lassen. Im Rahmen der Zertifizierung sind sowohl die selbst betriebenen Systeme als auch die vom Dienstleister betreuten Systeme zu berücksichtigen.


  2. Alle vom IT-Sicherheitskatalog erfassten Systeme werden vollständig von einem Dienstleister betrieben

    In diesem Fall muss der Netzbetreiber Umsetzung und Einhaltung des IT-Sicherheitskatalogs durch den Dienstleister sicherstellen. Zum Nachweis darüber reicht es im Rahmen der Zertifizierung aus, dass ein Duplikat des Zertifikates, das auf den mit der Betriebsführung beauftragten Dienstleister ausgestellt ist, vorgelegt wird. Eine darüber hinausgehende Zertifizierung des Netzbetreibers ist in diesem Fall nicht erforderlich. Im Regelfall wird die Betriebsführung nämlich durch einen Dienstleister erfolgen, der selbst Netzbetreiber und somit zur Einhaltung des IT-Sicherheitskatalogs und zur Zertifizierung verpflichtet ist. Darüber hinaus ist ein Nachweis darüber zu erbringen, dass der Netzbetreiber selbst keine weiteren Systeme betreibt, die vom IT-Sicherheitskatalog erfasst sind.

Kontakt

Referat 606 (Strom)
Referat 607 (Gas)
Bundesnetzagentur, Tulpenfeld 4, 53113 Bonn

E-Mail: it-sicherheitskatalog@bnetza.de