Diese Seite verwendet Cookies. Cookies werden zur Benutzerführung und Webanalyse verwendet und helfen dabei, diese Seite besser zu machen.     Ja, ich stimme zu.  Nein, ich wünsche mehr Informationen.
KRITIS - IT-Sicherheitsanforderungen für Energieversorger

KRITIS - IT-Sicherheitsanforderungen für Energieversorger

 

 

Kritische Dienstleistungen und Anlagen im Energie-Sektor

Die Energieversorgung gliedert sich in die Branchen Elektrizität, Gas, Mineralöl und Fernwärme. Aufgrund ihrer Schlüsselstellung im Gemeinwesen umfasst die Energiewirtschaft die zentralen Kritischen Infrastrukturen, weil sie jedem anderen KRITS-Sektor vorgeschaltet sind. Folglich hätte der großflächige IT-Ausfall in einer Energiebranche unmittelbar schwerwiegende Auswirkungen auf eng vernetzte KRITIS-Sektoren wie IT und TK, Gesundheit, Transport und Logistik etc.

Die BSI-Kritisverordnung benennt innerhalb der Energieversorgung folgende Sektoren mit Kritischen Dienstleistungen im Sinne des § 10 Absatz 1 Satz 1 des BSI-Gesetzes. Sie müssen dem Bundesamt für Sicherheit und Information (BSI) bis 3. Mai 2018 nachweisen, dass ein Mindestschutz an IT-Sicherheit etabliert ist:

  • Versorgung der Allgemeinheit mit Elektrizität/Stromversorgung
    Hierzu zählen Anlagen für die Stromerzeugung mit einer installierten Nettoleistung ab 420 MW, die Stromübertragungsnetze sowie die Stromverteilung z. B. mit Verteilnetzen, die über eine entnommene Jahresarbeit ab 3.700 GWh/Jahr verfügen.
  • Versorgung der Allgemeinheit mit Gas
    Hierzu zählen u. a. Gasförderanlagen, Gasspeicher und Gasverteilernetze mit einer Jahresarbeit ab 5.190 GWh/Jahr.
  • Versorgung der Allgemeinheit mit Kraftstoff und Heizöl
    Hierzu zählen u. a.: Ölförderanlagen ab 4,4 Mio. Tonnen gefördertem Rohöl pro Jahr, z. B. Raffinerien ab 420 Mio. Liter erzeugtem Kraftstoff pro Jahr oder z. B. Tankstellennetze ab einer verteilten Menge Kraftstoff von jährlich 420 Mio. Litern.
  • Versorgung der Allgemeinheit mit Fernwärme
    Hier sind z. B. Heizkraftwerke mit einer ausgeleiteten Wärmeenergie von 2.300 GWh/Jahr als Kritische Infrastruktur erfasst sowie Fernwärmenetze mit über 250.000 angeschlossenen Haushalten.

 

Der 2. IT-Sicherheitskatalog für Betreiber von Erzeugungsanlagen

Um die Mindeststandards an die IT-Sicherheit in dem Energie-Sektor weiter zu konkretisieren, hat die Bundesnetzagentur (BNetzA) Ende Dezember 2018 den 2. IT-Sicherheitskatalog nach § 11 Absatz 1b Energiewirtschaftsgesetz (EnWG) – für Betreiber von Erzeugungsanlagen – veröffentlicht (vgl. 1.Sicherheitskatalog für Netzbetreiber).

Der 2. Sicherheitskatalog richtet sich zusammen mit der BSI-KRITIS-Verordnung an Anlagenbetreiber zur Stromerzeugung mit einer Netto-Nennleistung ab 420 MW sowie an größere Gasspeicher mit einer entnommenen Arbeit ab 5.190 GWh pro Jahr.
Die wesentliche Anforderung des 1. und 2. IT-Sicherheitskatalogs im Energiesektor ist der Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001. Während für die KRITIS-Netzbetreiber die Umsetzungs- und Meldefristen abgelaufen sind, müssen die Betreiber von kritischen Energieanlagen der BNetzA bis zum 31.03.2021 Zertifikate über die Informationssicherheit der betroffenen Anlagen vorlegen.
Anforderungen an eine sichere IT müssen definiert, dokumentiert und durch eine akkreditierte Stelle zertifiziert sein. Zudem mussten die Energieerzeuger bis Ende Februar 2019 Ansprechpartner für IT-Sicherheit gemeldet haben.

 

Ihre Vorteile mit DEKRA Certification

Wir begleiten Sie bei der Risikoanalyse und Umsetzung geeigneter Maßnahme für ein belastbares IT-Sicherheitskonzept Ihrer Anlagen. Als Grundlage dient die Entwicklung eines individuellen Information Sicherheit Management Systems (ISMS) anhand der weltweit anerkannten Norm DIN ISO 27001 und der branchenspezifischen Sicherheitsstandards.

Quellen:
Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI Gesetz (BSI-Kritisverordnung – BSI-KritisV), vom 22. April 2016
Erste Verordnung zur Änderung der BSI-Kritisverordnung vom 21. Juni 2017


Letzte Meldungen


 

18 Mär 2019

Umstellung der Norm ISO/IEC 20000-1:2011 auf ISO/IEC 20000-1:2018

Neues Release der Norm ISO/IEC 20000-1- Informationstechnik - Servicemanagement. Im September 2018 wurde ein neues Release der ISO/IEC 20000-1 veröffe...
18 Mär 2019

Aktuelle Informationen zur ISO/IEC 20000-1 und ISO 20006:2017

Im Juni 2017 wurde die ISO/IEC 20006-veröffentlicht, welche die Anforderungen an Zertifizierungsstellen bezüglich der Auditierung und Zertifizierung v...
13 Mär 2019

IT-Sicherheit im Bereich kritischer Infrastrukturen

Nachweis über Mindestschutz bis 30. Juni 2019
06 Mär 2019

Managerhaftung bei KRITIS-Betreibern

Betreiber von kritischen Infrastrukturen (KRITIS) sind gesetzlich verpflichtet, ihre IT-Infrastruktur vor Angriffen und Störungen technisch und organi...
08 Jan 2019

Umfrage zu Cyber-Sicherheit und Datenschutz am Arbeitsplatz

Umfrage zu Cyber-Sicherheit und Datenschutz am Arbeitsplatz