Erleichterung für Netzbetreiber: BNetzA konkretisiert Zertifizierungsanforderungen für sicheren Netzbetrieb

6. November 2015

© BBH

Mitte August 2015 hat die Bundesnetzagentur (BNetzA) einen IT-Sicherheitskatalog veröffentlicht. Dieser verpflichtet alle Netzbetreiber gesetzlich, ein Informationssicherheitsmanagementsystem (ISMS) nach den Vorgaben der internationalen Norm ISO 27001 sowie des IT-Sicherheitskatalogs einzuführen und zertifizieren zu lassen.

Da manche, insbesondere kleinere Netzbetreiber selbst keine netzsteuernden sicherheitsrelevanten Systeme betreiben, sondern diese beispielsweise von einem Dienstleister betreiben lassen, konkretisiert die BNetzA nun die Pflicht zur Zertifizierung des Netzbetriebs.

Folgender Entscheidungsbaum stellt dar, was die Netzbetreiber tun müssen:

blog_it_sichWas sind sicherheitsrelevante Systeme?

Grundsätzlich ist jedes System zu schützen, das für einen sicheren Netzbetrieb notwendig ist. Als sicherheitsrelevant gelten alle zentralisierten Systeme, die der Netzsteuerung und -überwachung dienen, sowie die hierzu notwendigen unterstützenden IT-Systeme, Anwendungen, zentralen Infrastrukturen (z.B. Leitsystem, Server-Rechenzentrum etc.) und Schnittstellen dazu. Weiterhin sind auch die in der Netzsteuerung zur Kommunikation eingesetzte Übertragungs-, Telekommunikations- und Netzwerktechnik sowie prozessnahe Steuerungs- und Automatisierungstechnik und die zugehörigen Schutz- und Sicherheitssysteme sowie fernwirktechnische Komponenten als sicherheitskritisch eingestuft.

Nachweis, dass die Betriebsführung komplett an einen Dienstleister ausgelagert wurde bzw. keine sicherheitsrelevanten Systeme betrieben werden

Netzbetreiber müssen auf Grundlage eines Netzstrukturplans sowie einer Risikoanalyse gegenüber der BNetzA nachweisen, dass die eingesetzten Telekommunikations- und elektronischen Datenverarbeitungssysteme von einem Dienstleister betrieben werden bzw. diese nicht sicherheitsrelevant sind. Bei einer Auslagerung an einen Dienstleister müssen sie zudem sicherstellen, dass dieser bis zum 31.1.2018 entsprechend zertifiziert ist. Ein Duplikat des Zertifikats des Dienstleisters ist bei der BNetzA einzureichen.

Zertifizierungspflicht

Werden allerdings die im IT-Sicherheitskatalog benannten Systeme auch nur teilweise selbst betrieben, muss ein den Anforderungen des IT-Sicherheitskatalogs konformes ISMS eingeführt und zertifiziert werden.

Die Pflicht zur ISMS-Einführung und Zertifizierung ist somit recht digital. Allerdings kann der Einführungsaufwand durch vollständiges Outsourcing der Betriebsführung deutlich reduziert werden, was die Sache für die betroffenen Verteilernetzbetreiber deutlich erleichtert.

Ansprechpartner: Dr. Andreas Lied/Stefan Brühl

 

Share
Weiterlesen

22 April

Interviewreihe: Marcel Malcher, BBH-Partner und Vorstand BBH Consulting AG

Am 24.4.2024 findet die BBH-Jahreskonferenz in der Französischen Friedrichstadtkirche in Berlin statt. Im Mittelpunkt steht das Thema Energie in seiner Gesamtheit, seiner systemischen Verknüpfung und seiner Entwicklungsperspektive. „Energie heute & morgen“ ist daher auch der Titel der Veranstaltung. Zu den...

Weiterlesen

18 April

Missbrauchsverfahren nach den Energiepreisbremsengesetzen: Bundeskartellamt nimmt Energieversorger unter die Lupe

Die Energiepreisbremsengesetze sollten Letztverbraucher für das Jahr 2023 von den gestiegenen Strom-, Gas- und Wärmekosten entlasten. Um zu verhindern, dass Versorger aus der Krise auf Kosten des Staates Kapital schlagen, wurden in den dazu erlassenen Preisbremsengesetzen besondere Missbrauchsverbote implementiert, über...

Weiterlesen