Die Bundesnetzagentur hat Ende 2018 den neuen IT-Sicherheitskatalog nach Paragraf 11 Absatz 1b EnWG für Energieanlagen veröffentlicht.
Als Energieanlagen nach Paragraf 3 Nr. 15 EnWG gelten in diesem Kontext insbesondere Anlagen zur Stromerzeugung sowie Gasspeicher. Anlagen zur Stromerzeugung mit einer installierten Netto-Nennleistung von 420 MW oder mehr sowie Gasspeicher mit einer entnommenen Arbeit von 5.190 GWh pro Jahr gelten gemäß BSI-KritisV als Kritische Infrastruktur.
Der IT-Sicherheitskatalog für Energieanlagen sieht die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC 27001 sowie unter Berücksichtigung der DIN EN ISO/IEC 27002 und DIN EN ISO/IEC 27019 und dessen Zertifizierung gemäß eines eigenen Zertifizierungsschemas vor. Für bestimmte Anlagentypen können darüber hinaus der VGB Standard S-175 sowie das BDEW Whitepaper berücksichtigt werden. Darüber hinaus ist der BNetzA ein Ansprechpartner IT-Sicherheit zu benennen.
Die Umsetzungsfrist für die Zertifizierung des ISMS beträgt zwei Jahre und drei Monate (Frist: 31. März 2021), der Ansprechpartner ist bis zum 28. Februar 2019 zu benennen. Betreiber von kerntechnischen Anlagen haben der BNetzA bis zum 30. Juni 2019 eine Bestätigung der für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden der Länder vorzulegen, aus der hervorgeht, dass die Schutzziele der SEWD-Richtlinie IT vom Betreiber eingehalten werden.
Der ursprüngliche Konsultationsentwurf des Katalogs hatte noch eine Umsetzungsfrist von 1,5 Jahren vorgesehen. Daneben war im Entwurf der VGB S-175 in Teilen verbindlich vorgeschrieben. Der BDEW hatte in seiner gemeinsamen Stellungnahme mit dem VGB neben zahlreichen Klarstellungen unter anderem eine Verlängerung der Umsetzungsfrist sowie eine optionale Berücksichtigung des VGB Standards gefordert.
Der Katalog ist auf der Webseite der Bundesnetzagentur zum Download verfügbar.
07.01.2019
Bundesnetzagentur hat neuen IT-Sicherheitskatalog für Energieanlagen veröffentlicht
Der Katalog ist für alle Betreiber von Energieanlagen verbindlich, die gemäß BSI-KritisV als Betreiber Kritischer Infrastrukturen gelten. Es sind verschiedene Fristen einzuhalten und Ansprechpartner zu benennen.