Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Energienutzung

Siehe auch IT-Sicherheitskatalog gemäß § 11 Abs 1a EnWG

A. Einleitung

Unsere moderne Gesellschaft ist in hohem Maße von einer funktionierenden Energieversorgung abhängig. Fehlen Strom und Gas, kommt das öffentliche Leben innerhalb kürzester Zeit zum Erliegen und lebensnotwendige Dienstleistungen können nicht mehr erbracht werden. Gleichzeitig ist die Funktionsfähigkeit der Energieversorgung von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig.

Die Unterstützung durch IKT-Systeme bringt viele Vorteile, mit der wachsenden Abhängigkeit von diesen Systemen gehen jedoch auch Risiken für die Versorgungssicherheit einher. Dies gilt im Besonderen für einen sicheren Netzbetrieb, für den die Bundesnetzagentur mit dem IT-Sicherheitskatalog nach § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) bereits im August 2015 die Anforderungen zum Schutz gegen Bedrohungen der für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme veröffentlicht hat.

Mit Absatz 1b hat der Gesetzgeber eine neue Vorschrift in § 11 EnWG eingefügt, die sich an die Betreiber von Energieanlagen, die als Kritische Infrastruktur nach der BSI-Kritisverordnung bestimmt wurden, richtet. ¹ Die Aufnahme von Schutzstandards für diese Energieanlagen ist notwendig, um einen umfassenden Schutz für den Netzbetrieb sicherstellen zu können. Betreiber von Energieanlagen, die mit dem öffentlichen Versorgungsnetz verbunden sind, werden verpflichtet, dort, wo eine Gefährdung für den Netzbetrieb möglich ist, ebenfalls Sicherheitsmaßnahmen zu ergreifen, um die Vorteile moderner IKT auch in Zukunft sicher nutzen zu können.

Ein Schutz ist auch vor dem Hintergrund notwendig, dass sich substanzielle informationstechnische Angriffe auf Anlagenebene i. d. R. gegen mehrere Anlagen gleichzeitig richten werden. Für einen solchen Fall kann daher nicht davon ausgegangen werden, dass angegriffene Energieanlagen einfach durch andere Energieanlagen substituiert werden können. Es ist daher wichtig, dass jede einzelne Anlage über ein entsprechend hohes Schutzniveau verfügt, um nicht Teilziel oder gar Werkzeug von Angriffen auf die Strom- oder Gasversorgung zu werden.

Der vorliegende IT-Sicherheitskatalog für Energieanlagen nach § 11 Absatz 1b EnWG beinhaltet die Anforderungen an die Betreiber, um einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und EDV-Systeme, die für einen sicheren Anlagenbetrieb notwendig sind, zu etablieren.

B. Schutzziele

Der vorliegende IT-Sicherheitskatalog enthält Anforderungen zur Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Anlagenbetrieb notwendig sind.

I. Allgemeine Schutzziele

Ein angemessener Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Anlagenbetrieb notwendig sind, ist insbesondere durch die Auswahl geeigneter, angemessener und dem allgemein anerkannten Stand der Technik entsprechender Maßnahmen zur Realisierung der folgenden Schutzziele ² aus dem Bereich der Informationssicherheit zu erreichen:

• die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten,
• die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme,
• die Gewährleistung der Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen.

Verfügbarkeit bedeutet, dass die zu schützenden Systeme und Daten auf Verlangen einer berechtigten Einheit zugänglich und nutzbar sind. Es muss sichergestellt werden, dass Daten, Systeme und (informationstechnische) Netzwerke, die für die Erbringung der zugesicherten Leistung oder die Einhaltung anderer Anforderungen an die Energieanlagen in Bezug auf den sicheren Netzbetrieb notwendig sind, im für die Gewährleistung der Energieversorgung benötigten Umfang zur Verfügung stehen.

Integrität bedeutet zum einen die Richtigkeit und Vollständigkeit der verarbeiteten Daten und zum anderen die korrekte Funktionsweise der Systeme. Das bedeutet, dass die Erbringung der zugesicherten Leistung oder die Einhaltung anderer Anforderungen an die Energieanlagen in Bezug auf den sicheren Netzbetrieb durch eine korrekte und vollständige Übertragung, Speicherung sowie Verarbeitung von Daten sichergestellt werden muss.

Unter Vertraulichkeit wird der Schutz der Systeme und Daten vor unberechtigtem Zugriff durch Personen oder Prozesse verstanden. Es muss sichergestellt werden, dass Daten, deren Offenlegung die Erbringung der zugesicherten Leistung oder die Einhaltung anderer Anforderungen an die Energieanlagen in Bezug auf den sicheren Netzbetrieb gefährden würde, unberechtigten Personen oder Institutionen nicht bekannt werden.

Die Angemessenheit der durchzuführenden Maßnahmen ist vom individuellen Schutzbedarf der zu schützenden TK- und EDV-Systeme der jeweiligen Anlage unter Berücksichtigung der allgemeinen und besonderen Schutzziele abhängig. In die Ermittlung des individuellen Schutzbedarfs sind sowohl Risiken für den Anlagenbetrieb als auch Risiken hinsichtlich der Schnittstellen zu verbundenen Energieversorgungsnetzen einzubeziehen.

Die Verantwortung für die Erfüllung der Schutzziele trägt der Anlagenbetreiber, auch wenn er sich hierzu Dritter bedient. Er stellt die Erarbeitung, Kommunikation, Durchführung und Dokumentation der zur Umsetzung der Schutzziele getroffenen Maßnahmen innerhalb der Organisation sicher.

II. Besondere Schutzziele nach Anlagenkategorien