Artikel

Neuerungen durch den IT Sicherheitskatalog gemäß §11.1b Energiewirtschaftsgesetz (EnWG)

05.03.2018

Aus dem derzeitigen Konsultationspapier, welches die Bundesnetzagentur im Januar 2018 veröffentlicht hat, ergeben sich für Energieanlagenbetreiber neue Herausforderungen.

Zitat aus dem Konsultationspapier der Bundesnetzagentur:

Dementsprechend haben Betreiber von Energieanlagen, die durch die BSI Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, alle in der Energieanlage eingesetzten TK- und EDV-Systeme in eine der im Folgenden genannten Zonen 1 bis 6 einzuteilen. Dabei sind sowohl Systeme, die für die Prozessführung und im Leitstand eingesetzt werden, als auch Büro- und Verwaltungsinformationssysteme zu berücksichtigen.

Das gilt gleichermaßen für Betreiber von Energieanlagen (über 420 MW Erzeugungsleistung) als auch für Betreiber von Gasspeichern gemäß Anhang 1, Teil 3, Nr. 2.1.2 BSI-KritisV.

Den Nachweis über die Erfüllung der gesetzlichen Anforderungen kann durch den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO/IEC 27001 erbracht werden. Das beinhaltet den Aufbau der dafür notwendigen Organisation und entsprechender Ressourcen, die Etablierung notwendiger Prozesse und Abläufe, die Umsetzung technischer Maßnahmen und insbesondere die Nutzung eines Risikomanagements aller für den Anlagenbetrieb notwendigen Informationswerte. Die Herausforderung für Anlagenbetreiber, die sich bereits in der Aufbauphase eines ISMS befinden, besteht nun in der Etablierung eines Zonenmodells.

Das nachfolgende Bild (Quelle: Bundesnetzagentur) veranschaulicht eine mögliche Gruppierung von Systemen. Eine Zone wird durch einen definierten Sicherheitslevel klassifiziert. Die benannten Systeme sind entsprechend ihrer Kritikalität zu gruppieren. Die Übergänge zwischen den Zonen sind zu definieren und entsprechende Regeln festzulegen.

Es ist weiterhin zu berücksichtigen, dass in der Zone 1 und 2 nur Risiken zugelassen sind, die die Risikoeinstufung „gering“ aufweisen. Das hat Auswirkungen auf das etablierte Risikomanagement, auf die daraus abzuleitenden Maßnahmen und deren Umsetzung. Eine weitere Herausforderung ist der knapp bemessene Zeitraum für die Umsetzung der Maßnahmen von nur 1,5 Jahren nach Inkraftsetzung des IT Sicherheitskatalog nach §11 Abs.1b.

plenum unterstützt Sie hierbei bei allen Fragen zur Umsetzung der Anforderungen nach dem IT-Sicherheitskatalog gemäß §11 Abs.1b, insbesondere bei notwendigen Anpassungen im ISMS nach ISO/IEC 27001 und in der Konzepterstellung und Implementierung eines Zonenmodells. plenum hat darüber hinaus langjährige Erfahrungen in der Konzeption und Implementierung von Zonenmodellen, insbesondere bei Kraftwerksbetreibern, bei Betreibern von Windparks, bei Energieerzeugern aus Wasserkraft und dem Energiehandel.

  • Energie
  • Regulatorik

Ihr Ansprechpartner

Ralf Hopf, Senior Manager

Ralf Hopf
Senior Manager

+49 (0)175 2237729
Ralf.Hopf@plenum.de

Volker Elders, Vorstand

Volker Elders
Vorstand

+49 (0)69 6435524-32
Volker.Elders@plenum.de