Paragraph 11 1b EnWG
IT-SICHERHEITSKATALOG GEM. §11 ABS. 1B ENWG DER BUNDESNETZAGENTUR (BNETZA)
Die Energieversorgung wird durch Energieanlagen gesichert. Leittechnik, gestützt auf IT und den klassischen Methoden der Mess-, Steuer- und Regeltechnik. Zwar sind die Energieanlagen dezentral verteilt, aber der Gesetzgeber geht davon aus, dass sich mögliche Physische- und Cyberangriffe gegen mehrere von ihnen gleichzeitig richten könnten. Bei einer solchen Attacke wäre es kaum möglich, ausgefallene Energieanlagen durch andere zu ersetzen. Deshalb hat der Gesetzgeber mit Absatz 1b eine Vorschrift in § 11 EnWG ergänzt, die sich an alle Betreiber von Energieanlagen richtet, die zur Kritischen Infrastruktur (KRITIS) zählen und die an ein Energieversorgungsnetz angeschlossen sind. Sie sind verpflichtet, Schutzstandards zu etablieren und Sicherheitsmaßnahmen zu ergreifen, die den Netzbetrieb sicherstellen. Gleichzeitig sollen sie auch künftig in der Lage sein, die Vorteile moderner IKT sicher nutzen können.
IT-SICHERHEITSKATALOG FÜR ENERGIEANLAGENBETREIBER
Die konkreten Anforderungen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im IT-Sicherheitskatalog für Energieanlagen erarbeitet und im Dezember 2018 veröffentlicht. Ziel ist es, die Telekommunikations- und elektronischen Datenverarbeitungssysteme der Energieanlagenbetreiber zu schützen sowie die Vertraulichkeit der verarbeiteten Informationen zu gewährleisten. Der IT-Sicherheitskatalog verpflichtet Energieanlagenbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards und fordert nicht zuletzt ein Informationssicherheits-Managementsystems (ISMS) gemäß DIN EN ISO/IEC 27001.
Der Auditumfang laut IT-Sicherheitskatalog
Die meisten Netzbetreiber verfügen über zahlreiche Betriebsstätten, die nicht dauerhaft mit Personal besetzt sind. Solche Betriebsstätten lassen sich gemäß IT-Sicherheitskatalog in Gruppen einteilen. Wie diese Gruppen aussehen, richtet sich nach dem Standort und danach, wie sich die Anlage aus der Ferne steuern lässt. Im Audit werden diese stichprobenweise überprüft. Weitere Informationen rund um die zur Einstufung von Betriebsstätten finden Sie in unserem Fact Sheet „Zertifizierung gemäß IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG“.