Nachdem Ende Juli das IT-Sicherheitsgesetz im Bundesgesetzblatt veröffentlicht wurde und damit in Kraft getreten ist, hat die Bundesnetzagentur nun einen IT-Sicherheitskatalog herausgegeben.
Hierbei handelt es sich gem. § 11 Abs. 1a EnWG um einen Katalog von Sicherheitsanforderungen, der Betreiber von Strom- und Gasnetzen verpflichtet, Mindeststandards hinsichtlich der IT-Sicherheit einzuhalten. Im Kern geht es um die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 und dessen Zertifizierung bis zum 31. Januar 2018.
Ziel ist es, einen angemessenen Schutz gegen Bedrohungen der für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme herzustellen im Hinblick auf die Schutzziele
- Verfügbarkeit der zu schützenden Systeme und Daten,
- Integrität der verarbeiteten Informationen und Systeme und
- Vertraulichkeit der verarbeiteten Informationen.
Die Forderung der Implementierung eines ISMS ist darauf zurückzuführen, dass es nicht ausreicht, Einzelmaßnahmen zu ergreifen, sondern dass es erforderlich ist, in einem ganzheitlichen Ansatz die gesamte Organisation mit ihren Systemen und Prozessen zu erfassen und einen kontinuierlichen Verbesserungsprozess zu etablieren („Plan-Do-Check-Act“).
Die Konkretisierung des IT-Sicherheitskataloges für die Netzbetreiber beinhaltet die Vorgabe, einen Netzstrukturplan zu erstellen, der nach den Technologie-Kategorien „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“ zu unterscheiden ist.
Darüber hinaus sind eine Risikoeinschätzung vorzunehmen und Maßnahmen zur Risikobehandlung zu definieren – und Netzbetreiber müssen der Bundesnetzagentur bis zum 30.11.2015 per E-Mail einen Ansprechpartner IT-Sicherheit benennen.
Während der genannte Katalog der BNetzA nur einen Teil der Unternehmen betrifft, ist der Kreis der vom IT-Sicherheitsgesetz betroffenen Unternehmen deutlich größer: die Betreiber „kritischer Infrastrukturen“. Aber auch nicht direkt vom Gesetz betroffenen Unternehmen ist zu empfehlen, sich aus eigenem Interesse mit dem Thema IT-Sicherheit angemessen auseinanderzusetzen.