Getreu dem Motto „Nach dem IT-Sicherheitskatalog ist vor dem IT-Sicherheitskatalog“ wird derzeit nach dem Katalog für Netzbetreiber nun ein zweiter IT-Sicherheitskatalog für Betreiber von Energieanlagen vorbereitet.

Doch der Reihe nach: 2016 wurden mit dem IT-Sicherheitskatalog 1 und dem IT-Sicherheitsgesetz zwei gesetzliche Vorgaben für Netzbetreiber und Kritische Infrastrukturen veröffentlicht.

Der IT-Sicherheitskatalog 1 heißt eigentlich „IT-Sicherheitskatalog gem. § 11 Abs. 1a EnWG“ und gilt für alle Netzbetreiber in den Sparten Strom und Gas. Die Schwellenwerte gem. KRITIS-VO gelten hier ausdrücklich nicht. Demgegenüber definiert das IT-Sicherheitsgesetz – als Artikelgesetz, inzwischen im neuen BSI-Gesetz (BSIG) aufgegangen, Kritische Infrastrukturen. Die zugehörige KRITIS-VO definiert die Schwellenwerte.

Betreiber von Energieanlagen fallen zunächst einmal unter die Regelungen des BSIG und sind als Kritische Infrastruktur einzustufen; für sie gelten damit die Schwellenwerte lt. KRITIS-VO. Und damit muss ein Betreiber einer Energieanlage, die die Schwellenwerte überschreitet, die Anforderungen gem. BSIG erfüllen und einen Nachweis zu seiner Informationssicherheit bereitstellen. Wie dieser Nachweis aussieht, wird wiederum im IT-Sicherheitskatalog 2 – der heißt genauer: „IT-Sicherheitskatalog gem. § 11 Abs. 1b EnWG“ – beschrieben.

Der IT-Sicherheitskatalog 2 befindet sich derzeit in der Abstimmung; der aktuelle Stand ist auf den Seiten der BNetzA zu beziehen:

Worin unterscheiden sich die beiden IT-Sicherheitskataloge im Kontext der Energie? Wer den Katalog für Netzbetreiber schon kennt, wird sich rasch zurechtfinden, denn der zweite Katalog ist ähnlich aufgebaut. Und auch die Anforderungen sind ähnlich, wenngleich es auch Unterschiede gibt. Dies hat übrigens auch Vorteile für große Gesellschaften, die beide Vorgaben erfüllen müssen.

Inhaltlicher Schwerpunkt ist wiederum ein Informationssicherheits-Management (ISMS) gem. ISO/IEC 27001. Wie auch beim ersten IT-Sicherheitskatalog macht die BNetzA hierbei Vorgaben zum Geltungsbereich (Scope) und zur Risikoanalyse. Darüber hinaus sind Anforderungen der ISO/IEC 27019 und des VGB-Standards „IT-Sicherheit für Erzeugungsanlagen“ bei der ISMS-Sicherheitskonzeption zu berücksichtigen.

Das Setting rund um das Thema Zertifizierung und Akkreditierung ist gleichfalls sehr ähnlich: Ein ISMS eines Betreibers für Energieanlagen muss auditiert und zertifiziert werden. Ferner wird ein eigenes Konformitätsbewertungsprogramm erstellt werden, auf dessen Grundlagen sich Zertifizierungsstellen bei der DAkkS akkreditieren lassen können; diese Zertifizierungsstellen werden dann die Zertifikate gem. §11 Abs. 1b EnWG erstellen dürfen.

Laut Entwurf des IT-Sicherheitskatalogs 2 erwartet die BNetzA die Vorlage eines entsprechenden Zertifikates 1,5 Jahre nach Inkrafttreten.