IT-Sicherheitsgesetz in Kraft

Mit der Veröffentlichung des IT-Sicherheitsgesetzes im Bundesanzeiger am 24.07.2015 ist das Gesetz in Kraft. Damit bringt es spezielle Anforderungen für Betreiber kritischer Infrastrukturen mit sich. Nach dem Gesetzestext sind Betreiber „… der Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ betroffen. Oder anders gesagt gilt das Gesetz für Einrichtungen, die „…von hoher Bedeutung für das Funktionieren des Gemeinwesens sind“.

Da Energieversorger bereits dem EnWG (Energiewirtschafts Gesetz) unterliegen, müssen Betreiber kritischer Infrastrukturen den „Katalog von Sicherheitsanforderungen“ (IT-Sicherheitskatalog) nach § 11 Abs. 1a umsetzen und die Mindeststandards zur IT-Sicherheit (Siehe auch Blogbeitrag „IT-Sicherheit für Netzbetreiber“) einhalten müssen.
Mittlerweile umfasst „der Betrieb eines sicheren Energieversorgungsnetzes insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind.“
Hierunter fallen somit dann auch alle Prozesse und Informationen, die ggf. nicht direkt der eigentlichen Netzsteuerung dienen, aber dennoch für einen sicheren Netzbetrieb notwendig sind.

Nachdem nun das IT-Sicherheitsgesetz in Kraft getreten ist, wird demnächst auch der IT-Sicherheitskatalog erscheinen. Dieser setzt eine Einführung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) voraus.
Nach § 11 Abs. 1a des IT-Sicherheitsgesetzes liegt „ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes vor, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist.“

Weiter müssen Betreiber eines Energieversorgungsnetzes innerhalb von zwei Jahren „einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind.“

Zusätzlich müssen die „Betreiber von Energieversorgungsnetzen und Energieanlagen dem Bundesamt für Sicherheit in der Informationstechnik unverzüglich erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse melden, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen können oder bereits geführt haben.“
Das BSI hat die Meldung dann unverzüglich an die Bundesnetzagentur weiterzuleiten. Damit wird das BSI nicht zur Meldestelle sondern auch zentrale Kontaktstelle (SoC – Singlepoint of Contact).

Den veröffentlichten Gesetzestext finden Sie in unserem Downloadbereich.