Erleichterung für Netzbetreiber: BNetzA konkretisiert Zertifizierungsanforderungen für sicheren Netzbetrieb

Download PDF

Zähler_Indien_modMitte August 2015 hat die Bundesnetzagentur (BNetzA) einen IT-Sicherheitskatalog veröffentlicht. Dieser verpflichtet alle Netzbetreiber gesetzlich, ein Informationssicherheitsmanagementsystem (ISMS) nach den Vorgaben der internationalen Norm ISO 27001 sowie des IT-Sicherheitskatalogs einzuführen und zertifizieren zu lassen.

Da manche, insbesondere kleinere Netzbetreiber selbst keine netzsteuernden sicherheitsrelevanten Systeme betreiben, sondern diese beispielsweise von einem Dienstleister betreiben lassen, konkretisiert die BNetzA nun die Pflicht zur Zertifizierung des Netzbetriebs.

Folgender Entscheidungsbaum stellt dar, was die Netzbetreiber tun müssen:

blog_it_sichWas sind sicherheitsrelevante Systeme?

Grundsätzlich ist jedes System zu schützen, das für einen sicheren Netzbetrieb notwendig ist. Als sicherheitsrelevant gelten alle zentralisierten Systeme, die der Netzsteuerung und -überwachung dienen, sowie die hierzu notwendigen unterstützenden IT-Systeme, Anwendungen, zentralen Infrastrukturen (z.B. Leitsystem, Server-Rechenzentrum etc.) und Schnittstellen dazu. Weiterhin sind auch die in der Netzsteuerung zur Kommunikation eingesetzte Übertragungs-, Telekommunikations- und Netzwerktechnik sowie prozessnahe Steuerungs- und Automatisierungstechnik und die zugehörigen Schutz- und Sicherheitssysteme sowie fernwirktechnische Komponenten als sicherheitskritisch eingestuft.

Nachweis, dass die Betriebsführung komplett an einen Dienstleister ausgelagert wurde bzw. keine sicherheitsrelevanten Systeme betrieben werden

Netzbetreiber müssen auf Grundlage eines Netzstrukturplans sowie einer Risikoanalyse gegenüber der BNetzA nachweisen, dass die eingesetzten Telekommunikations- und elektronischen Datenverarbeitungssysteme von einem Dienstleister betrieben werden bzw. diese nicht sicherheitsrelevant sind. Bei einer Auslagerung an einen Dienstleister müssen sie zudem sicherstellen, dass dieser bis zum 31.1.2018 entsprechend zertifiziert ist. Ein Duplikat des Zertifikats des Dienstleisters ist bei der BNetzA einzureichen.

Zertifizierungspflicht

Werden allerdings die im IT-Sicherheitskatalog benannten Systeme auch nur teilweise selbst betrieben, muss ein den Anforderungen des IT-Sicherheitskatalogs konformes ISMS eingeführt und zertifiziert werden.

Die Pflicht zur ISMS-Einführung und Zertifizierung ist somit recht digital. Allerdings kann der Einführungsaufwand durch vollständiges Outsourcing der Betriebsführung deutlich reduziert werden, was die Sache für die betroffenen Verteilernetzbetreiber deutlich erleichtert.

Ansprechpartner: Dr. Andreas Lied/Stefan Brühl