Der „neue“ IT-Sicherheitskatalog ist da. Am 18. Dezember 2018 veröffentlichte die Bundesnetzagentur den IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz (EnWG‘) für Betreiber von Energieanlagen, den sogenannten Sicherheitskatalog 2. Zum Hintergrund: Bereits 2016 wurden mit dem IT-Sicherheitskatalog 1 (gem. §11 Abs. 1a EnWG) und dem IT-Sicherheitsgesetz zwei gesetzliche Vorgaben für Netzbetreiber und Kritische Infrastrukturen veröffentlicht, […]
KRITIS
IT-Sicherheitskatalog 2 – Betreiber von Energieanlagen
Getreu dem Motto „Nach dem IT-Sicherheitskatalog ist vor dem IT-Sicherheitskatalog“ wird derzeit nach dem Katalog für Netzbetreiber nun ein zweiter IT-Sicherheitskatalog für Betreiber von Energieanlagen vorbereitet. Doch der Reihe nach: 2016 wurden mit dem IT-Sicherheitskatalog 1 und dem IT-Sicherheitsgesetz zwei gesetzliche Vorgaben für Netzbetreiber und Kritische Infrastrukturen veröffentlicht. Der IT-Sicherheitskatalog 1 heißt eigentlich „IT-Sicherheitskatalog gem. […]
Der IT-Sicherheitskatalog für Energieanlagen kommt … bald
Die Bundesnetzagentur hat die Konsultationsfassung für den IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz für Energieanlagen und Gasspeicher veröffentlicht Dieser Sicherheitskatalog muss gemäß der BSI-KRITIS-Verordnung für alle Energieanlagen mit einer installierten Netto-Nennleistung von 420 MW und für Gasspeicheranlagen mit 5190 GWh/Jahr umgesetzt werden. Wie bereits für die Energienetzbetreiber ist auch in diesem IT-Sicherheitskatalog die Einführung […]
IT-Sicherheit macht fit
Wer sich kurz nach der letzten Jahrtausendwende mit der Einführung der sogenannten DRGs (Diagnostic Related Groups) im Gesundheitswesen und insbesondere in Krankenhäusern beschäftigte, konnte beobachten, wie sich die Einführung von Fallkostenpauschalen negativ auf die gesundheitliche Versorgung auswirkte. Nahezu buchstäblich „um´s Verrecken“ taten Krankenhäuser alles, um die durchschnittliche Verweildauer von Patienten zu reduzieren. Umso kürzer der […]
Umsetzungsgesetz zur europäischen NIS-Richtlinie tritt in Kraft
Am 29.06.2016 wurde die europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) verabschiedet. Bei der Richtlinie handelt es sich im Wesentlichen um ein europäisches Pendant zum deutschen IT-Sicherheitsgesetz. Da es sich um eine EU-Richtlinie handelt, muss diese Richtlinie noch in nationales Recht umgesetzt werden. Das Umsetzungsgesetz zur EU-NIS-Richtlinie wurde am 23.06.2017 vom Bundestag […]
IT-Sicherheitsgesetz ist nun vollständig
Am 31.05.2017 gab das Bundesministerium des Inneren (BMI) bekannt , dass das Kabinett die „Erste Verordnung zur Änderung der BSI-Kritisverordnung“ zur Vervollständigung des IT-Sicherheitsgesetzes (IT-SiG) beschlossen hat. Diese enthält neben einigen „Ergänzungen und Klarstellungen zu den bereits getroffenen Festlegungen“ diejenigen Kriterien, anhand derer Unternehmen, die den Sektoren aus dem „2. Korb“ der KRITIS-Unternehmen angehören, feststellen […]
Die Prüfer
In den beiden letzten Beiträgen (hier und hier) über Kritische Infrastrukturen haben wir beleuchtet, dass die Betreiber Kritischer Infrastrukturen verpflichtet sind, bis zum 03.05.2018 „[…] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen […] ihrer informationstechnischen Systeme, Komponenten und Prozesse“[1] zu treffen und diese Vorkehrungen gegenüber dem Bundesamt für Sicherheit (BSI) in der Informationstechnik nachzuweisen. […]
Die Standards des IT-Sicherheitsgesetzes
Im letzten Beitrag über Kritische Infrastrukturen haben wir thematisiert, dass die Betreiber Kritischer Infrastrukturen verpflichtet sind, bis 03.05.2018 die „[…] angemessene[n] organisatorische[n] und technische[n] Vorkehrungen zur Vermeidung von Störungen […] ihrer informationstechnischen Systeme, Komponenten und Prozesse“[1] zu treffen und diese Vorkehrungen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nachzuweisen. In diesem Beitrag gehen wir der […]
Aktuelles zum IT-Sicherheitsgesetz
Nachdem das IT-Sicherheitsgesetzes am 25.07.2015 in Kraft gesetzt wurde, waren wichtige Punkte noch nicht geklärt. Beispielsweise war noch nicht eindeutig, wer als Betreiber einer Kritischen Infrastruktur gilt und welche Form die nach §8a geforderte Nachweise haben werden. Rechtsverordnungen Da sich die kritischen Infrastrukturen über verschiedene Branchen verteilen, wurde diese zur besseren Strukturierung in Sektoren unterteilt. […]
KRITIS-Verordnung – Unterschiede zwischen Referentenentwurf und Verordnung näher betrachtet
Wie am 04.05.2016 berichtet ist die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ am 03.05.2016 im Bundesanzeiger veröffentlicht worden und damit Kraft getreten. Wie auch schon der Referentenentwurf enthält die Verordnung zunächst nur Angaben zu den KRITIS-Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung. Gesetztes Ziel ist es, bis Anfang 2017 […]
KRITIS-Verordnung vom Kabinett verabschiedet und in Kraft
Der am 05.02.16 vom Bundesministerium des Inneren (BMI) veröffentlichte Referentenwurf für die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ wurde zwischenzeitlich am 13.04.2016 vom Kabinett beschlossen und ist am 02.05.2016 in Kraft getreten. Der am 05.02.16 veröffentlichte Entwurf wurde anschließend im Kreise der Länder und Verbände diskutiert und liegt nun in finaler Form vor. […]
Referentenentwurf der Verordnung zum IT-Sicherheitsgesetz liegt vor
Mit Spannung wurde die im Rahmen des IT-Sicherheitsgesetzes (IT-SiG) bzw. der in § 10 Absatz 1 des BSI-Gesetzes angekündigte Rechtsverordnung erwartet. In dieser sollen die Kriterien festgelegt werden, anhand derer die Betreiber der kritischen Infrastrukturen (KRITIS) aus dem ersten „Korb“ – d.h. aus den Sektoren Informationstechnik und Telekommunikation (IKT), Wasser, Energie und Ernährung – erkennen […]
Zum Scoping bei ISO 27001 für Energieversorger
Zertifikat ist nicht gleich Zertifikat! Nicht nur der angewendete Standard ist entscheidend, sondern auch der Scope eines Zertifikates – also der Geltungsbereich oder Untersuchungsgegenstand, der angibt, worauf sich die Übereinstimmung mit einer Norm bezieht. Was beim Scoping bei ISO 27001 zu beachten ist, erfahren Sie in diesem Beitrag – illustriert am Beispiel der Energieversorgung. Weshalb […]
Von drauß‘ vom Walde, kommt ein Sicherheitsgesetz
Das IT-Sicherheitsgesetz kommt, soviel ist wohl sicher. Aber was wird es bringen? Am 17.12.2014 hat die Bundesregierung über den Entwurf des IT-Sicherheitsgesetzes verhandelt. Ein Entwurf ist bei Netzpolitik.org zu finden. KRITIS – Kritische Infrastruktur in Deutschland Wesentliche Regelungen des neuen Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) betreffen die so genannten KRITIS-Unternehmen. Als „Kritische Infrastruktur“ […]