Nur noch 1 Jahr Umsetzungsfrist: IT-Sicherheitskatalog für Energieanlagen

Der Countdown läuft – das letzte Jahr bis zur Umsetzungsfrist hat begonnen

Für Betreiber von Energieanlagen, die als kritische Infrastrukturen gelten, hat das letzte Jahr für die Umsetzung aller Anforderungen des IT-Sicherheitskataloges begonnen. Konkret bedeutet dies, dass die durch die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) als kritische Infrastruktur festgelegten und einem Energieversorgungsnetz angeschlossenen Betreiber die Anforderungen des IT-Sicherheitskataloges gemäß §11 (1b) EnWG umzusetzen haben.

Hierbei gilt es zwei Fristen gemäß Punkt E (II) des Kataloges zu beachten. Die Frist zur Meldung eines Ansprechpartners für die IT-Sicherheit ist bereits zum 28.02.2019 ausgelaufen. Die zweite und durchaus mit deutlich mehr Arbeit verbundene Frist endet zum 31.03.2021. Bis dahin müssen die betroffenen Betreiber den Nachweis gegenüber der Bundesnetzagentur erbringen, dass die Anforderungen des IT-Sicherheitskataloges umgesetzt wurden. Wichtig hierbei ist, dass der Nachweis der Bundesnetzagentur bis zu diesem Tag vorliegen muss.

Unter die Pflichten des IT-Sicherheitskataloges gemäß BSI-Kritisverordnung fallen die Betreiber von zum Beispiel Erzeugungsanlagen mit Wärmeauskopplung (KWK-Anlagen), zentralen und dezentralen Erzeugungsanlagen sowie Speicheranlagen, wenn diese die Schwelle von 420 MW installierter Netto-Nennleistung im Jahr überschreiten.

 

Implementierung eines Managementsystems: Was fordert der IT-Sicherheitskatalog für Energieanlagen?

Der von der Bundesnetzagentur verabschiedete IT-Sicherheitskatalog dient zum Schutz vor Bedrohungen der Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Betrieb von Energieanlagen notwendig sind. Der IT-Sicherheitskatalog beinhaltet also konkrete Anforderungen und Maßnahmen, die erforderlich sind, um einen sicheren Anlagenbetrieb zu etablieren.

Die wichtigste und vermutlich auch anspruchsvollste Anforderung ist die Einführung eines Informationssicherheitsmanagementsystems (ISMS) gemäß der DIN EN ISO/IEC 27001. Da die ISO 27001 nur sehr allgemeine Anforderungen enthält, wird weiter die Berücksichtigung der Normen DIN EN ISO/IEC 27002 und DIN EN ISO/IEC 27019 bei der Implementierung gefordert.

Betreiber von Energieanlagen müssen – und das ist ein wesentlicher Unterschied zum bisherigen IT-Sicherheitskatalog für Energieversorger – die eingesetzten TK- und EDV-Systeme in sechs Zonen einteilen. Hierbei sind sowohl Systeme, die für die Prozessführung und im Leitstand eingesetzt werden, als auch Büro- und Verwaltungssysteme zu berücksichtigen.

Darüber hinaus werden Maßnahmen zum ordnungsgemäßen Betrieb der betroffenen Systeme gefordert. Dies bedeutet, dass die eingesetzten IKT-Systeme und die IKT-gestützten Verfahren und Prozesse zu jedem Zeitpunkt beherrscht und technische Störungen erkannt und behoben werden müssen.

 

Der risikobasierte Ansatz

Zentraler Bestandteil beim Betrieb eines ISMS ist der kontinuierliche Verbesserungsprozess, der auch konkret bei der Umsetzung des IT-Sicherheitskataloges gefordert ist. Hierzu zählt unter anderem auch der Prozess zur Einschätzung der Risiken der Informationssicherheit. Ziel des Risikomanagementprozesses ist es festzustellen, welche Risiken im Hinblick auf die Schutzziele für die vom IT-Sicherheitskatalog erfassten Anwendungen, Systeme und Komponenten bestehen.

Die geforderten Schutzziele sind gemäß IT-Sicherheitskatalog:

  • Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten
  • Sicherstellung der Integrität der verarbeitenden Informationen und Systeme
  • Gewährleistung der Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen

Der Unterschied zu einer „klassischen Umsetzung“ eines ISMS gemäß ISO 27001 sind die konkreten Anforderungen in Bezug zum Risikomanagement. Zu folgenden Themen gibt es klare Vorgaben, welche zu beachten sind. Diese sind:

  • Festlegung der Schadenskategorien
  • Festlegung der Kriterien für die Einstufung der Schadenskategorien
  • Vorgabe der zu betrachtenden Gefährdungen

Darüber hinaus gibt es auch bei der Risikobehandlung Einschränkungen, die bei einer nativen Implementierung eines ISMS nach ISO 27001 eigentlich nicht vorhanden sind. Vor allem bezüglich der Risikoakzeptanz gibt es klare Vorgaben, zum Beispiel, dass für Risiken, die die Anwendungen, Systeme und Komponenten der Zone 1 betreffen, eine Risikoakzeptanz nicht möglich ist. Hier muss geprüft werden, welche Maßnahmen zur Risikominimierung umgesetzt werden können.

 

Tipp: Nicht auf den letzten Drücker aktiv werden

Bereits bei den früheren Umsetzungsfristen anderer Branchen, aber auch im Bereich der Netzbetreiber, hat sich gezeigt, dass die Fristen zur Umsetzung nicht immer eingehalten wurden. Dies lag zum einen daran, dass einige Betreiber zu spät mit der Umsetzung der Maßnahmen begonnen haben oder die Anforderungen und den Aufwand unterschätzt haben. Zum anderen kam hinzu, dass die Prüfer der Zertifizierungsgesellschaften gegen Ende der Frist überlastet waren.

Daher ist es wichtig, das letzte Jahr bis zur Umsetzungsfrist nicht bis zum Ende auszureizen. Die Implementierung eines Informationssicherheitsmanagementsystems muss jetzt beginnen, sonst wird es knapp mit der Frist! Mit fachkundiger Unterstützung ist eine Umsetzung in sechs bis 12 Monaten gut möglich.

Die Experten der migosens management GmbH bieten hierzu das entsprechende Fachwissen und die langjährige Erfahrung zur Umsetzung der Anforderungen. Sprechen Sie uns an!

 

Zum Autor:

Stephan Auge ist Berater für Managementsysteme. Bei der migosens GmbH liegt sein Schwerpunkt auf der Implementierung von Managementsystemen, vorrangig von Informationssicherheitsmanagementsystemen nach ISO27001. Auch die Prozessoptimierung und Beratungen zum Risikomanagement zählen zu seinen Aufgaben. Darüber hinaus ist Stephan Auge als Lead Auditor für die ISO27001, den IT-Sicherheitskatalog und Kritis-Prüfungen beim TÜV Rheinland bestellt.