IT-Sicherheitskataloge Energie
KRITIS-Betreiber im Sektor Energie, die bestimmte Anlagentypen betreiben, fallen generell unter die Regulierung durch das Energiewirtschaftsgesetz (EnWG).
Dies betrifft Betreiber, die ein Energieversorgungsnetz betreiben
oder Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind
.
Für diese Anlagen ist das BSIG dann nicht einschlägig (§8d Abs. 2 Nr. 1 BSIG), sondern das EnWG. Dieses fordert in §11 Abs. 1a und 1b den Betrieb eines sicheren Energieversorungsnetzes (Abs. 1a) bzw. einen sicheren Anlagenbetrieb (Abs. 1b).
Energie und KRITIS
Entstehung und Abgrenzung
Die Bundesnetzagentur (BNetzA) hat dazu zwei Kataloge mit Sicherheitsanforderungen und Regelungen zur regelmäßigen Überprüfung erstellt. Betreiber müssen die für sie relevanten Kataloge einhalten und die Umsetzung dokumentieren.
Die Sicherheitskataloge konkretisieren die Anforderungen des EnWG an einen sicheren Anlagenbetrieb.
Zurzeit gibt es zwei Kataloge:
- IT-Sicherheitskatalog gemäß §11 Abs. 1a: Dieser Katalog gilt seit August 2015 für Betreiber von Energieversorgungsnetzen. Konkret betrifft dies:
- Stromübertragungs- und -verteilnetze über eine oder mehrere Spannungsebenen
- Gasübertragungs- und -verteilnetze über eine oder mehrere Druckstufen
- IT-Sicherheitskatalog gemäß §11 Abs. 1b: Dieser Katalog gilt seit Dezember 2018 für Betreiber von Energieanlagen, die nach der BSI-KritisV als KRITIS bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind. Konkret betrifft dies:
- Erzeugungsanlagen (nach Anhang 1, Teil 3, Nr. 1.1.1 BSI-KritisV), z. B. Photovoltaikanlagen, Gaskraftwerke, Windkraftanlagen. Diese Kategorie umfasst auch Anlagen zur Speicherung von elektrischer Energie sowie dezentrale Energieerzeuungsanlagen.
- Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (nach Anhang 1, Teil 3, Nr. 1.1.2 BSI-KritisV)
- Gasförderanlagen (nach Anhang 1, Teil 3, Nr. 2.1.1 BSI-KritisV)
- Anlagen zur zentralen standortübergreifenden steuerung in der Gasversorgung (nach Anhang 1, Teil 3, Nr. 2.1.2 BSI-KritisV)
up
IT-Sicherheitskatalog §11 Abs. 1a
Die folgende Tabelle gibt einen Überblick über die Inhalte des IT-Sicherheitskatalogs 1a und fasst die wichtigsten Kernforderungen zusammen.
aus BNetzA IT-Sicherheitskatalog 1a Stand 2015
Abschnitt |
Inhalt |
Einleitung Abschnitt A. |
- Einleitende Informationen
- Erläuterungen zum Aufbau des Katalogs
- Hervorhebung der Kernforderung: Einführung eines ISMS nach ISO/IEC 27001 und Zertifizierung
|
Rechtliche Grundlagen Abschnitt B. |
- Herleitung aus §11 Abs. 1a EnWG
- Zusammenhang mit IT-Sicherheitsgesetz bzw. BSIG
- Zusammenarbeit zwischen BNetzA und BSI
im Benehmen
Angemessener Schutz liegt gemäß §11 Abs. 1a S. 4 EnWG vor, wenn der IT-Sicherheitskatalog eingehalten wird
|
Schutzziele Abschnitt C. |
- Definition der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität
- Forderung nach Angemessenheit über individuellen Schutzbedarf
- Verantwortung für die Erfüllung der Schutzziele durch Netzbetreiber, auch wenn hierzu Dritte bedient werden
|
Geltungsbereich Abschnitt D. |
- Generischer Geltungsbereich des IT-Sicherheitskatalogs
- Vorgehensweise zur Identifizierung der konkret betroffenen TK- und EDV-Systeme durch den Betreiber
- Mindestanforderungen an Geltungsbereich für die anzuwendenden Maßnahmen: muss mindestens alle TK- und EDV-Systeme des Netzbetreibers enthalten,
welche direkt Teil der Netzsteuerung sind, d. h. unmittelbar Einfluss nehmen auf die Netzfahrweise , sowie alle TK- und EDV-Systeme, die nicht direkt Teil der Netzsteuerung sind, deren Ausfall jedoch die Sicherheit des Netzbetriebs gefährden könnte.
- Ausnahmen für Messsysteme nach §21d EnWG, wenn diese nicht zu netzbetrieblichen Zwecken eingesetzt werden.
- Vorgaben aus dem IT-Sicherheitskatalog müssen an Dritte (bzw. bei Outsourcing) über entsprechende Vereinbarungen weitergegeben werden.
|
Sicherheitsanforderungen Abschnitt E. |
- ISMS: Netzbetreiber müssen ein ISMS nach den Anforderungen der ISO/IEC 27001 implementieren. Das ISMS muss als regelmäßiger Prozess in die Organisationsstrukturen eingebunden werden.
- Bei der Implementierung des ISMS sind die Normen ISO/IEC 27002 und ISO/IEC 27019 zu berücksichtigen.
- Der Betrieb der relevanten TK- und EDV-Systeme muss ordnungsgemäß erfolgen.
- Netzstrukturplan: Der Betreiber muss für alle vom Geltungsbereich des IT-Sicherheitskatalogs betroffenen Anwendungen, Systeme und Komponenten eine Übersicht erstellen. Die Übersicht muss vorgegebene Technologiekategorien berücksichtigen. Eine Gruppierung von Systemen oder getrennte Teilpläne sind erlaubt.
- Risikoeinschätzung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Vorgaben für die Schadenskategorien (kritisch, hoch, mäßig) und bei der Einstufung zu betrachtende Kriterien.
- Risikobehandlung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Maßnahmen sind angemessen und nach dem allgemein anerkannten "Stand der Technik" zu wählen.
- Ansprechpartner IT-Sicherheit: Für die Koordination und Kommunikation der IT-Sicherheit gegenüber der Bundesnetzagentur muss der Netzbetreiber einen Ansprechpartner benennen.
|
Umsetzungsvorgaben Abschnitt F. |
- Zertifizierung: Das ISMS muss durch eine DAkkS-akkreditierte Zertifizierungsstelle auf der Basis von DIN ISO/IEC 27001 zertifiziert werden. Das Zertifikat hat eine Gültigkeit von 3 Jahren (bei jährlichen Überwachungsaudits).
|
up
IT-Sicherheitskatalog §11 Abs. 1b
Die folgende Tabelle gibt einen Überblick über die Inhalte des IT-Sicherheitskatalogs 1b und fasst die wichtigsten Kernforderungen zusammen.
aus BNetzA IT-Sicherheitskatalog 1b Stand 2018
Abschnitt |
Inhalt |
Einleitung Abschnitt A. |
- Einleitende Informationen
- Zusammenwirken und Abgrenzung zum IT-Sicherheitskatalog nach §11 Abs. 1a EnWG
|
Schutzziele Abschnitt B. |
- Definition der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität
- Besondere Schutzziele nach Anlagenkategorien
|
Geltungsbereich Abschnitt C. |
- Generischer Geltungsbereich des IT-Sicherheitskatalogs
- Vorgehensweise zur Identifizierung der konkret betroffenen TK- und EDV-Systeme durch den Betreiber
- Mindestanforderungen an Geltungsbereich für die anzuwendenden Maßnahmen: muss mindestens alle TK- und EDV-Systeme des Netzbetreibers enthalten,
die für einen sicheren Anlagenbetrieb notwendig sind.
- Vorgaben aus dem IT-Sicherheitskatalog müssen an Dritte (bzw. bei Outsourcing) über entsprechende Vereinbarungen weitergegeben werden.
- Betreiber müssen alle in der Energieanlage eingesetzten TK- und EDV-Systeme in ein vorgegebenes 6-Zonen-Schema einteilen. Dies betrifft sowohl Systeme für die Prozessführung und im Leitstand als auch Büro- und Verwaltungsinformationssysteme.
- Definition der 6 verschiedenen Zonen mit Beispielen
|
Sicherheitsanforderungen Abschnitt D. |
- ISMS: Anlagenbetreiber müssen ein ISMS nach den Anforderungen der ISO/IEC 27001 implementieren. Das ISMS muss als regelmäßiger Prozess in die Organisationsstrukturen eingebunden werden und
mindestens die Anwendungen, Systeme und Komponenten der Zonen 1 bis 3 umfassen.
- Bei der Implementierung des ISMS sind die Normen ISO/IEC 27002 und ISO/IEC 27019 zu berücksichtigen.
- Der Betrieb der relevanten TK- und EDV-Systeme muss ordnungsgemäß erfolgen.
- Risikoeinschätzung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Vorgaben für die Schadenskategorien (kritisch, hoch, mäßig, gering) und bei der Einstufung zu betrachtende Kriterien.
- Risikobehandlung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Maßnahmen sind mindestens für die Anwendungen, Systeme und Komponenten der Zonen 1 bis 3 sowie angemessen, geeignet und nach dem allgemein anerkannten Stand der Technik zu wählen. Risiken für Anwendungen, Systeme und KOmponenten in Zone 1 dürfen nicht akzeptiert werden.
- Ansprechpartner IT-Sicherheit: Für die Koordination und Kommunikation der IT-Sicherheit gegenüber der Bundesnetzagentur muss der Anlagenbetreiber einen Ansprechpartner benennen. Zusätzlich besteht die Pflicht zur Registrierung einer Kontaktstelle gemäß §8b Abs. 3 BSIG.
|
Umsetzungsvorgaben Abschnitt E. |
- Zertifizierung: Das ISMS muss durch eine DAkkS-akkreditierte Zertifizierungsstelle auf der Basis von ISO/IEC 27001 zertifiziert werden. Das Zertifikat hat eine Gültigkeit von 3 Jahren (bei jährlichen Überwachungsaudits).
|
Abweichende Regelungen für Anlagen nach § 7 Abs. 1 ATG Abschnitt F. |
|
up
Weitere Informationen