Die Bundesnetzagentur hat die Konsultationsfassung für den IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz für Energieanlagen und Gasspeicher veröffentlicht Dieser Sicherheitskatalog muss gemäß der BSI-KRITIS-Verordnung für alle Energieanlagen mit einer installierten Netto-Nennleistung von 420 MW und für Gasspeicheranlagen mit 5190 GWh/Jahr umgesetzt werden.

Wie bereits für die Energienetzbetreiber ist auch in diesem IT-Sicherheitskatalog die Einführung eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO 27001 vorgesehen. Bei Energieanlagen ist bei der Maßnahmenumsetzung auch der VGB-Standard „IT-Sicherheit für Erzeugungsanlagen“ (VGB-S-175) zu berücksichtigen. Sollten die Vorgaben der VGB-S-175 nicht ausreichen, sind auch die ISO 27002 und die ISO 27019 zu berücksichtigen. Für Gasspeicher sind nur die ISO 27002 und die ISO 27019 zu berücksichtigen.

Der Sektor Energie ist zwar Bestandteil des ersten Korb der KRITIS -Verordnung, für Energieanlagen gilt die Umsetzungsfrist bis zum 03.05.2018 aber nicht. Hier gilt abweichend das EnWG § 11 (1b), wonach die zuständige Regulierungsbehörde eine Umsetzungsfrist festlegen wird. Hier ist in der Konsultationsfassung eine Umsetzungsfrist von 1,5 Jahren nach Veröffentlichung des IT-Sicherheitskataloges vorgesehen. Für die Benennung eines Ansprechpartners für IT-Sicherheit gegenüber der Bundesnetzagentur sind 2 Monate vorgesehen.

Die Fassung könne Sie bei der Bundesnetzagentur hier erhalten und Stellungnahmen können bis zum 28.02.2018 eingereicht werden.

Mit der endgültigen Veröffentlichung des Sicherheitskatalogs ist daher wahrscheinlich frühestens im Frühjahr zu rechnen.

Update 26.01.2018

Die ursprünglich angegebene Umsetzungsfrist zum 03.05.2018 wurde entfernt, da sie nicht für Energieanlagenbetreiber gilt.

| | , | , , ,