IT-Sicherheits­kataloge im Energie­sektor

KRITIS-Betreiber im Sektor Energie, die bestimmte Anlagentypen betreiben, fallen generell unter die Regulierung durch das Energiewirtschaftsgesetz (EnWG). Dies betrifft Betreiber, die ein Energieversorgungsnetz betreiben oder Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind.

Für diese Anlagen ist das BSIG dann nicht einschlägig (§8d Abs. 2 Nr. 1 BSIG), sondern das EnWG. Dieses fordert in §11 Abs. 1a und 1b den Betrieb eines sicheren Energieversorungsnetzes (Abs. 1a) bzw. einen sicheren Anlagenbetrieb (Abs. 1b).

Mapping

Mapping von ISO 27001:2022 und KRITIS

Abgleich von BSI KRITIS und Maßnahmen der ISO 27001:2022 (verpflichtend für Energie-Betreiber)
PDF ∙ OpenKRITIS-Analyse von KRITIS-Standards ∙ 2023

Energie und KRITIS

Entstehung und Abgrenzung

Die Bundesnetzagentur (BNetzA) hat dazu zwei Kataloge mit Sicherheits­anforderungen und Regelungen zur regelmäßigen Überprüfung erstellt. Betreiber müssen die für sie relevanten Kataloge einhalten und die Umsetzung dokumentieren.

Die Sicherheitskataloge konkretisieren die Anforderungen des EnWG an einen sicheren Anlagenbetrieb. Zurzeit gibt es zwei Kataloge:

  1. IT-Sicherheits­katalog gemäß §11 Abs. 1a: Dieser Katalog gilt seit August 2015 für Betreiber von Energieversorgungsnetzen. Konkret betrifft dies:
    • Stromübertragungs- und -verteilnetze über eine oder mehrere Spannungsebenen
    • Gasübertragungs- und -verteilnetze über eine oder mehrere Druckstufen
  2. IT-Sicherheits­katalog gemäß §11 Abs. 1b: Dieser Katalog gilt seit Dezember 2018 für Betreiber von Energieanlagen, die nach der BSI-KritisV als KRITIS bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind. Konkret im Katalog genannt werden:
    • Erzeugungsanlagen (nach Anhang 1, Teil 3, Nr. 1.1.1 BSI-KritisV), z. B. Photovoltaikanlagen, Gaskraftwerke, Windkraftanlagen. Diese Kategorie umfasst auch Anlagen zur Speicherung von elektrischer Energie sowie dezentrale Energieerzeuungsanlagen.
    • Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (nach Anhang 1, Teil 3, Nr. 1.1.2 BSI-KritisV)
    • Gasförderanlagen (nach Anhang 1, Teil 3, Nr. 2.1.1 BSI-KritisV)
    • Anlagen zur zentralen standortübergreifenden Steuerung in der Gasversorgung (nach Anhang 1, Teil 3, Nr. 2.1.2 BSI-KritisV)
  3. Die zugrundeliegende Formulierung im EnWG schließt aber alle entsprechenden Anlagen ein (Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 8 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind).

up

IT-Sicherheits­katalog §11 Abs. 1a

Die folgende Tabelle gibt einen Überblick über die Inhalte des IT-Sicherheitskatalogs 1a und fasst die wichtigsten Kernforderungen zusammen.

aus BNetzA IT-Sicherheitskatalog 1a Stand 2015
Abschnitt Inhalt
Einleitung
Abschnitt A.
  • Einleitende Informationen
  • Erläuterungen zum Aufbau des Katalogs
  • Hervorhebung der Kernforderung: Einführung eines ISMS nach ISO/IEC 27001 und Zertifizierung
Rechtliche Grundlagen
Abschnitt B.
  • Herleitung aus §11 Abs. 1a EnWG
  • Zusammenhang mit IT-Sicherheitsgesetz bzw. BSIG
  • Zusammenarbeit zwischen BNetzA und BSI im Benehmen
  • Angemessener Schutz liegt gemäß §11 Abs. 1a S. 4 EnWG vor, wenn der IT-Sicherheitskatalog eingehalten wird
Schutzziele
Abschnitt C.
  • Definition der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität
  • Forderung nach Angemessenheit über individuellen Schutzbedarf
  • Verantwortung für die Erfüllung der Schutzziele durch Netzbetreiber, auch wenn hierzu Dritte bedient werden
Geltungsbereich
Abschnitt D.
  • Generischer Geltungsbereich des IT-Sicherheitskatalogs
  • Vorgehensweise zur Identifizierung der konkret betroffenen TK- und EDV-Systeme durch den Betreiber
  • Mindestanforderungen an Geltungsbereich für die anzuwendenden Maßnahmen: muss mindestens alle TK- und EDV-Systeme des Netzbetreibers enthalten, welche direkt Teil der Netzsteuerung sind, d. h. unmittelbar Einfluss nehmen auf die Netzfahrweise, sowie alle TK- und EDV-Systeme, die nicht direkt Teil der Netzsteuerung sind, deren Ausfall jedoch die Sicherheit des Netzbetriebs gefährden könnte.
  • Ausnahmen für Messsysteme nach §21d EnWG, wenn diese nicht zu netzbetrieblichen Zwecken eingesetzt werden.
  • Vorgaben aus dem IT-Sicherheitskatalog müssen an Dritte (bzw. bei Outsourcing) über entsprechende Vereinbarungen weitergegeben werden.
Sicherheitsanforderungen
Abschnitt E.
  • ISMS: Netzbetreiber müssen ein ISMS nach den Anforderungen der ISO/IEC 27001 implementieren. Das ISMS muss als regelmäßiger Prozess in die Organisationsstrukturen eingebunden werden.
  • Bei der Implementierung des ISMS sind die Normen ISO/IEC 27002 und ISO/IEC 27019 zu berücksichtigen.
  • Der Betrieb der relevanten TK- und EDV-Systeme muss ordnungsgemäß erfolgen.
  • Netzstrukturplan: Der Betreiber muss für alle vom Geltungsbereich des IT-Sicherheitskatalogs betroffenen Anwendungen, Systeme und Komponenten eine Übersicht erstellen. Die Übersicht muss vorgegebene Technologiekategorien berücksichtigen. Eine Gruppierung von Systemen oder getrennte Teilpläne sind erlaubt.
  • Risikoeinschätzung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Vorgaben für die Schadenskategorien (kritisch, hoch, mäßig) und bei der Einstufung zu betrachtende Kriterien.
  • Risikobehandlung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Maßnahmen sind angemessen und nach dem allgemein anerkannten "Stand der Technik" zu wählen.
  • Ansprechpartner IT-Sicherheit: Für die Koordination und Kommunikation der IT-Sicherheit gegenüber der Bundesnetzagentur muss der Netzbetreiber einen Ansprechpartner benennen.
Umsetzungsvorgaben
Abschnitt F.
  • Zertifizierung: Das ISMS muss durch eine DAkkS-akkreditierte Zertifizierungsstelle auf der Basis von DIN ISO/IEC 27001 zertifiziert werden. Das Zertifikat hat eine Gültigkeit von 3 Jahren (bei jährlichen Überwachungsaudits).

up

IT-Sicherheits­katalog §11 Abs. 1b

Die folgende Tabelle gibt einen Überblick über die Inhalte des IT-Sicherheitskatalogs 1b und fasst die wichtigsten Kernforderungen zusammen.

aus BNetzA IT-Sicherheitskatalog 1b Stand 2018
Abschnitt Inhalt
Einleitung
Abschnitt A.
  • Einleitende Informationen
  • Zusammenwirken und Abgrenzung zum IT-Sicherheitskatalog nach §11 Abs. 1a EnWG
Schutzziele
Abschnitt B.
  • Definition der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität
  • Besondere Schutzziele nach Anlagenkategorien
Geltungsbereich
Abschnitt C.
  • Generischer Geltungsbereich des IT-Sicherheitskatalogs
  • Vorgehensweise zur Identifizierung der konkret betroffenen TK- und EDV-Systeme durch den Betreiber
  • Mindestanforderungen an Geltungsbereich für die anzuwendenden Maßnahmen: muss mindestens alle TK- und EDV-Systeme des Netzbetreibers enthalten, die für einen sicheren Anlagenbetrieb notwendig sind.
  • Vorgaben aus dem IT-Sicherheitskatalog müssen an Dritte (bzw. bei Outsourcing) über entsprechende Vereinbarungen weitergegeben werden.
  • Betreiber müssen alle in der Energieanlage eingesetzten TK- und EDV-Systeme in ein vorgegebenes 6-Zonen-Schema einteilen. Dies betrifft sowohl Systeme für die Prozessführung und im Leitstand als auch Büro- und Verwaltungsinformationssysteme.
  • Definition der 6 verschiedenen Zonen mit Beispielen
Sicherheitsanforderungen
Abschnitt D.
  • ISMS: Anlagenbetreiber müssen ein ISMS nach den Anforderungen der ISO/IEC 27001 implementieren. Das ISMS muss als regelmäßiger Prozess in die Organisationsstrukturen eingebunden werden und mindestens die Anwendungen, Systeme und Komponenten der Zonen 1 bis 3 umfassen.
  • Bei der Implementierung des ISMS sind die Normen ISO/IEC 27002 und ISO/IEC 27019 zu berücksichtigen.
  • Der Betrieb der relevanten TK- und EDV-Systeme muss ordnungsgemäß erfolgen.
  • Risikoeinschätzung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Vorgaben für die Schadenskategorien (kritisch, hoch, mäßig, gering) und bei der Einstufung zu betrachtende Kriterien.
  • Risikobehandlung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Maßnahmen sind mindestens für die Anwendungen, Systeme und Komponenten der Zonen 1 bis 3 sowie angemessen, geeignet und nach dem allgemein anerkannten Stand der Technik zu wählen. Risiken für Anwendungen, Systeme und Komponenten in Zone 1 dürfen nicht akzeptiert werden.
  • Ansprechpartner IT-Sicherheit: Für die Koordination und Kommunikation der IT-Sicherheit gegenüber der Bundesnetzagentur muss der Anlagenbetreiber einen Ansprechpartner benennen. Zusätzlich besteht die Pflicht zur Registrierung einer Kontaktstelle gemäß §8b Abs. 3 BSIG.
Umsetzungsvorgaben
Abschnitt E.
  • Zertifizierung: Das ISMS muss durch eine DAkkS-akkreditierte Zertifizierungsstelle auf der Basis von ISO/IEC 27001 zertifiziert werden. Das Zertifikat hat eine Gültigkeit von 3 Jahren (bei jährlichen Überwachungsaudits).
Abweichende Regelungen für Anlagen nach § 7 Abs. 1 ATG
Abschnitt F.
  • tbd

up

Weitere Informationen

Literatur

  1. KRITIS-Sektor Energie, OpenKRITIS

Quellen

  1. Übersichtsseite zum IT-Sicherheitskatalog für Strom- und Gasnetze gemäß §11 Abs. 1a EnWG, Bundesnetzagentur (BNetzA), Stand August 2015
  2. Übersichtsseite zum IT-Sicherheitskatalog für Energieanlagen gemäß §11 Abs. 1b EnWG, Bundesnetzagentur (BNetzA), Stand Dezember 2018