Zum IT-Sicherheitskatalog „Betrieb eines sicheren Energieversorgungsnetzes“


Im August 2015 hat die Bundesnetzagentur in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik einen IT-Sicherheitskatalog gemäß §11 Absatz 1a des Energiewirtschaftsgesetzes aufgestellt: zum „Betrieb eines sicheren Energieversorgungsnetzes„. Eine intakte Informations- und Kommunikationstechnik sei vor allem im Netzbetrieb die Voraussetzung für die Funktionsfähigkeit unserer Energieversorgung.

Als Kernforderung des Sicherheitskatalogs gilt die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC 27001 sowie die Etablierung unabhängiger Zertifizierungsstellen. Die Netzbetreiber müssen bis zum 30.11.2015 einen offiziellen Ansprechpartner für IT-Sicherheit an die Bundesnetzagentur melden (siehe unteres Formular) und unabhängig ihrer Größe und Kundenanzahl die aufgestellten Anforderungen umsetzen.

Unter die beschriebene IT-Sicherheit fallen Aspekte wie technische Anlagensicherheit, allgemeine Versorgungssicherheit und der Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme für den sicheren Netzbetrieb. Es soll eine „Auswahl geeigneter, angemessener und dem allgemein anerkannten Stand der Technik entsprechender Maßnahmen“ zu den folgenden Punkten etabliert werden:

  • Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten“ (diese sind auf Verlangen einer berechtigten Einheit zugänglich und nutzbar)
  • Sicherstellung der Integrität der verarbeitenden Informationen und Systeme“ (die Richtigkeit und Vollständigkeit der verarbeitenden Daten und korrekte Funktionsweise der Systeme)
  • Gewährleistung (Anmerkung: nicht Sicherstellung!?) der Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen“ (Schutz vor unberechtigtem Zugriff durch Personen oder Prozesse)

Detailliertere Ausführungen finden sich im Dokument (siehe pdf-Link) unter „E. Sicherheitsanforderungen“. Die Netzbetreiber haben einen Nachweis über den Abschluss des Zertifizierungsverfahrens bis zum 31.01.2018 an die Bundesnetzagentur zu melden.