In den beiden Artikeln „IT-Schutz von Kraftwerken vor Cyberbedrohungen“ und „Das neue IT-Sicherheitsgesetz“ wurde auf dieser Internetseite die Erstellung von sogenannten IT-Sicherheitskatalogen speziell für Netz- und Kraftwerksbetreiber in der Energieversorgung durch die Bundesnetzagentur (BNetzA) im Jahr 2015 angesprochen. Vor Kurzem hat die Behörde nun umfangreiche Entwürfe für eine zeitgemäße Aktualisierung dieser einschlägigen Kataloge für Strom- und Gasnetze sowie für Energieanlagen in Deutschland veröffentlicht.

Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen mit Sitz in Bonn ist eine Bundesoberbehörde im Geschäftsbereich des Bundeswirtschaftsministeriums. Als oberste deutsche Regulierungsbehörde bestehen ihre Aufgaben in der Aufrechterhaltung und der Förderung des Wettbewerbs in den fünf vorgenannten Netzmärkten. Die Umsetzung von Klimaschutz, Energiewende und Digitalisierung ist für eine erfolgreiche Zukunft des Standorts Deutschland entscheidend. Der Ausbau der Netze ist dabei Dreh- und Angelpunkt. Die BNetzA begleitet diesen Ausbau. Eine weitere Aufgabe der Bundesnetzagentur ist die Festlegung von Mindeststandards für die IT-Sicherheit im Energiesektor in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Der IT-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen wurde im August 2015 veröffentlicht; der IT-Sicherheitskatalog für Betreiber von Energieanlagen, die nach der sogenannten BSI-Kritisverordnung (KritisV) als Kritische Infrastruktur (KRITIS) bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, wurde im Dezember 2018 veröffentlicht. Gesetzliche Grundlage bilden die Absätze 1a und 1b des § 11 des grundlegenden Energiewirtschaftsgesetzes (EnWG).

Die einschlägigen Kataloge fordern den angemessenen Schutz gegen potenzielle und reelle Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme. Die Festlegung verfolgt für den Energiebereich das generelle Ziel, den angemessenen Schutz der Verfügbarkeit, der Integrität und der Vertraulichkeit der Systeme kritischer Infrastrukturen im Strom- und Gassektor zu gewährleisten und dadurch eine Gefährdung der öffentlichen Sicherheit zu verhindern. Betreiber, die den IT-Sicherheitskatalog umsetzen, betreiben ein sogenanntes Informationssicherheitsmanagementsystem und sollen durch kontinuierliche Risikoanalysen, Audits und Zertifizierungen die zur Verfügung stehenden Maßnahmen zum höchstmöglichen Schutz ihrer sensiblen Systeme verbessern.

Die zunehmende Digitalisierung im Energiesektor, insbesondere im Strom- und Gasbereich, sowie die jüngsten Veränderungen der geopolitischen Bedrohungslage erfordern eine zeitgemäße Anpassung bzw. Aktualisierung der gestiegenen und / oder geänderten Anforderungen. Die geplante Festlegung der BNetzA ist eine Überarbeitung des IT-Sicherheitskataloges für Betreiber von Strom- und Gasnetzen sowie des IT-Sicherheitskataloges für Betreiber von Energieanlagen. Dabei werden die Inhalte konsolidiert und in einer gemeinsamen Festlegung neu veröffentlicht. Ziel ist es, die Kataloge weitgehend zu vereinheitlichen und sie noch enger an den prozessorientierten Ansatz der ISO/IEC 27001 anzulehnen. Auf diesem Weg soll eine gut abgesicherte Energieversorgung in Deutschland gewährleistet werden.

Der neue IT-Sicherheitskatalog schafft einheitliche Begriffsdefinitionen für alle Betreiber von Versorgungsnetzen und Energieerzeugungsanlagen und differenziert allgemeine Maßnahmen zu den Bereichen Cybersicherheit und Aufrechterhaltung der Betriebsfähigkeit (Betriebskontinuitätsmanagement [BKM], engl.: Business Continuity Management [BCM]) von spezifischen, durch Zertifizierung nachzuweisenden Sicherheitsanforderungen für Netze und Anlagen. Durch die neue Prozessorientierung werden effektivere und effizientere Risikoanalysen sowie eine noch stärkere Verzahnung von Informationssicherheit und BCM ermöglicht. Die neuen Festlegungsentwürfe der Bundesnetzagentur sind unter dem Link https://www.bundesnetzagentur.de/1056850 veröffentlicht (Bildquelle: quirion AG).