Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Energienutzung

Siehe auch IT-Sicherheitskatalog gemäß § 11 Abs 1b EnWG

A. Einleitung

Unsere moderne Gesellschaft ist in hohem Maße von einer funktionierenden Energieversorgung abhängig. Fehlen Strom und Gas, kommt das öffentliche Leben innerhalb kürzester Zeit zum Erliegen und lebensnotwendige Dienstleistungen können nicht mehr erbracht werden. Gleichzeitig ist die Funktionsfähigkeit der Energieversorgung von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig. Dies gilt im Besonderen für einen sicheren Netzbetrieb.

Die Unterstützung durch IKT-Systeme bringt viele Vorteile, mit der wachsenden Abhängigkeit von diesen Systemen gehen jedoch auch Risiken für die Versorgungssicherheit einher. Um die Vorteile moderner IKT auch in Zukunft sicher nutzen zu können, ist es daher wichtig, einen angemessenen Schutz gegen Bedrohungen für IKT-Systeme, die für einen sicheren Netzbetrieb notwendig sind, zu etablieren. Dies soll u. a. durch die Umsetzung der Anforderungen des vorliegenden IT-Sicherheitskatalogs erreicht werden.

In Abschnitt B wird der Auftrag an die Bundesnetzagentur zur Erstellung des vorliegenden IT-Sicherheitskatalogs auf Basis des § 11 Abs. 1a EnWG dargestellt. Abschnitt C formuliert die Schutzziele für die unter Abschnitt D als Geltungsbereich definierten Systeme. Abschnitt E enthält konkrete Anforderungen an Netzbetreiber, die unter Berücksichtigung der zuvor genannten Schutzziele umzusetzen sind. Dabei wird auf anerkannte, internationale Standards aus dem Bereich der IT-Sicherheit verwiesen, die bei der Umsetzung der Anforderungen des IT-Sicherheitskatalogs zu beachten sind. Abschnitt F enthält sonstige Forderungen und Fristen für die Umsetzung des IT-Sicherheitskatalogs.

Kernforderung des vorliegenden Sicherheitskatalogs ist die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC 27001 sowie die Zertifizierung durch eine unabhängige hierfür zugelassene Stelle. Des Weiteren soll durch den Netzbetreiber ein Ansprechpartner IT-Sicherheit für die Bundesnetzagentur benannt werden. Die Anforderungen des Sicherheitskatalogs sind unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden von allen Netzbetreibern zu erfüllen, soweit diese über Systeme verfügen, die in den Anwendungsbereich des Sicherheitskatalogs fallen (vgl. Abschnitt D - Geltungsbereich).

B. Rechtliche Grundlagen

§ 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) enthält den Auftrag an die Bundesnetzagentur, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen zu erstellen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind.

Mit dieser im Rahmen der EnWG-Novelle 2011 neu eingefügten und durch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 novellierten Vorschrift wird die Pflicht zum Betrieb eines sicheren Energieversorgungsnetzes nach § 11 Abs. 1 EnWG konkretisiert. Unter Sicherheit wird in Anlehnung an den in § 1 Absatz 1 EnWG definierten Gesetzeszweck einerseits die technische Anlagensicherheit verstanden, andererseits und vor allem aber auch die allgemeine Versorgungssicherheit. Vor dem Hintergrund einer immer stärkeren Durchdringung des Betriebs von Energieversorgungsnetzen mit Informations- und Kommunikationstechnologie und der damit zunehmenden Bedeutung von IT-Sicherheit umfasst das Ziel der Sicherheit nach dem Willen des Gesetzgebers daher nun auch den angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind.

Ein angemessener Schutz liegt gemäß § 11 Absatz 1a S. 4 EnWG vor, wenn der Katalog der Sicherheitsanforderungen vom Betreiber eines Energieversorgungsnetzes eingehalten wird. Der IT-Sicherheitskatalog stellt insofern einen Mindeststandard dar. Dabei hat der Netzbetreiber insbesondere auch den allgemein anerkannten "Stand der Technik" in Bezug auf die Absicherung der jeweils eingesetzten Systeme zu beachten sowie die allgemeine IKT-Bedrohungslage und die spezifische Bedrohungslage für die eingesetzten Systeme zu berücksichtigen. Dazu sind geeignete, für den jeweiligen Anwendungsbereich formulierte, ggf. branchen- oder sektorspezifische Sicherheitsstandards sowie relevante Empfehlungen, Anwendungsregeln etc. nach jeweils aktuellem Stand heranzuziehen. An der notwendigen Konkretisierung und Ausgestaltung des "Stands der Technik" kann die Branche in den dafür zuständigen Gremien mitwirken.

Das gemäß § 11 Abs. 1a S. 2 EnWG erforderliche Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik wurde bei der Erstellung des IT-Sicherheitskatalogs hergestellt.

C. Schutzziele

Der vorliegende IT-Sicherheitskatalog enthält Anforderungen zur Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind.

Dieses Ziel ist insbesondere durch die Auswahl geeigneter, angemessener und dem allgemein anerkannten Stand der Technik entsprechender Maßnahmen zur Realisierung der folgenden Schutzziele aus dem Bereich der Informationssicherheit zu erreichen:

• die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten,
• die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme,
• die Gewährleistung der Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen.