IT-Sicherheitsgesetz (ITSiG) und was sich dadurch für Energieversorger ändert

Das Gesetz zur Erhöhung der „Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) wurde bereits im Dezember von der Bundesregierung beschlossen und trat um Juli 2015 in Kraft.
Als Teil der „Digitalen Agenda der Bundesregierung“ soll das IT-Sicherheitsgesetz Mindestanforderungen an die IT-Sicherheit für Kritische Infrastrukturen gesetzlich verankern. Zu den Kritischen Infrastrukturen (KRITIS) zählen Einrichtungen, die für das Gemeinwesen von zentraler Bedeutung sind, wie eben gerade auch die Energieversorgung.
Das ITSiG ist dabei kein eigenständiges Gesetz, sondern eine Sammlung von Änderung und Erweiterungen schon bestehender Gesetze.
Einer der zentralen Punkte sind Ergänzungen zum BSI Gesetz, durch die das Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Kompetenzen und eine zentrale Rolle für alle Beteiligten im KRITIS-Umfeld erhält.
Für Energieversorger ändert sich durch das IT-Sicherheitsgesetz zunächst nur wenig, da sie bereits dem Energiewirtschafts Gesetz – EnWG (Gesetz über die Elektrizitäts- und Gasversorgung) unterliegen und gesetzlich nach § 11 Abs. 1a zur Umsetzung des „Katalogs von Sicherheitsanforderungen“ (IT-Sicherheitskatalog) und zur Einhaltung von Mindeststandards zur IT-Sicherheit (Siehe auch Blogbeitrag „IT-Sicherheit für Netzbetreiber“) im Netzbetrieb verpflichtet sind.
Diese grundsätzliche Pflicht wird durch das ITSiG bestätigt – gleichzeitig durch Änderungen im EnWG aber noch weiter gefasst. Während es bisher in § 11 Abs. 1a nur um Bereiche, „die der Netzsteuerung dienen“ ging, wird es zukünftig heißen:
„Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind.“
Hierunter fallen somit dann auch alle Prozesse und Informationen wie Planungs- und Prognosewerkzeuge, die ggf. nicht direkt der eigentlichen Netzsteuerung dienen, aber dennoch für einen sicheren Netzbetrieb notwendig sind. Durch das ITSiG wird im § 11 Abs. 1a zudem die regelmäßige Überprüfung der Maßnahmen festgeschrieben – die aber im Rahmen der Zertifizierung des durch den IT-Sicherheitskatalog geforderten Informationssicherheits-Managementsystems (ISMS) sowieso gegeben wäre: Wichtiger erscheint hier die stärkere Verbindlichkeit, die sich aus der Umsetzung des IT-Sicherheitskatalogs für die Energieversorger nach Änderungen durch das ITSiG ergibt – im § 11 Abs. 1a heißt es weiter:
„Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes liegt vor (bisher: wird vermutet), wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Regulierungsbehörde überprüft werden.“
Woran auch die Energieversorgungsnetzbetreiber nicht herum kommen werden, ist die Meldepflicht von Störungen. So wird zukünftig im neuen § 11 Abs. 1c des EnWG festgelegt:

„Betreiber von Energieversorgungsnetzen und Energieanlagen … haben dem Bundesamt für Sicherheit in der Informationstechnik unverzüglich erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu melden, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen können oder bereits geführt haben.“
Das BSI hat die Meldung dann unverzüglich an die Bundesnetzagentur weiterzuleiten. Damit wird das BSI nicht zur Meldestelle sondern auch zentrale Kontaktstelle (SoC – Singlepoint of Contact).

Weitere Informationen zum aktuellen Stand:
Das Gesetz zur Erhöhung der „Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) lag dem Bundesrat bereits zur Prüfung vor.
Der Bundesrat hat neben einigen Anmerkungen zur Konkretisierung bestimmter Begriffe u.a. auch angemerkt, dass es sich bei der Befugnis zur Speicherung von Nutzdaten, wie sie Telekommunikationsanbietern zum Erkennen von Störungen durch das ITSiG eingeräumt werden soll, „im Kern um eine weitreichende Vorratsdatenspeicherung, für die unter anderem das Bundesverfassungsgericht und der Europäische Gerichtshof enge Grenzen gesetzt haben“ handelt.

20.03.2015
Am 20.03.2015 fand die erste Lesung des IT-Sicherheitsgesetzes im Bundestag statt.
Videomitschnitt zur Rede des Bundesministers zur ersten Lesung