Schlagwort: Kritische Infrastrukturen

Bleiben Sie auf dem laufenden - der Kritische Infrastrukturen RSS-Feed

Bestimmung Kritischer Infrastrukturen: Entwurf der BSI-Kritisverordnung (BSI-KritisV)

Das BMWi hat Anfang Februar den Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz veröffentlicht. Länder und Verbände können derzeit noch Stellungnahmen im Rahmen der Konsultationsphase abgeben.

Betreiber sogenannter Kritischer Infrastrukturen sollen durch die Verordnung in die Lage versetzt werden, anhand messbarer und nachvollziehbarer Kriterien festzustellen, ob sie in den Anwendungsbereich des IT-Sicherheitsgesetzes fallen. Die Verordnung bestimmt dafür Kritische Infrastrukturen in den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung. Die Verordnung sieht verschiedene Schwellenwerte vor, bei deren Erreichen Anlagen als Kritische Infrastruktur gelten.
Für Stromerzeugungsanlagen weist der Verordnungsentwurf derzeit einen Schwellenwert von einer installierten Leistung von 420 MW zu. Besondere Bedeutung erlangt die Verordnung für Betreiber von Energieanlagen, für die das EnWG bereits Regelungen enthält (§ 11 Abs. 1b EnWG). Die Bundesnetzagentur wird danach auch einen diesbezüglichen IT-Sicherheitskatalog veröffentlichen, wonach ein angemessener Schutz von Energieanlagen vorliegen soll, wenn der IT-Sicherheitskatalog eingehalten und dies vom Betreiber entsprechend dokumentiert wird. Wir gehen von einer zeitnahen Veröffentlichung nach Inkrafttreten der Verordnung aus.

Ansprechpartner

Tim-Oliver Neumann

LL.M., Rechtsanwalt,  PwC Tax & Legal

Tel.: +49 521 96497-996

E-Mail: tim-oliver.neumann@de.pwc.com

 

Sicherheit von kritischen Infrastrukturen bei Versorgungsunternehmen

Die Abhängigkeit von IT-Systemen und vom Internet nimmt durch die Digitalisierung privater und öffentlicher Lebensbereiche immer mehr zu. Von großer Bedeutung wird künftig die Sicherheit dieser Systeme sein. Daher hat das Bundesinnenministerium einen Gesetzentwurf zur Erhöhung der Sicherheit Informationstechnischer Systeme (IT-Sicherheitsgesetz) zur Diskussion gestellt und die Bundesnetzagentur den Entwurf eines Sicherheitskatalogs gem. § 11 Abs. 1a ENWG veröffentlicht, der für die Betreiber von kritischen Infrastrukturen die Einführung und Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 für diese Systeme fordert.

IT-Sicherheitsgesetz

Durch den Entwurf des IT-Sicherheitsgesetzes soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur zentralen Stelle für die Sicherheit der Informationstechnik Kritischer Infrastrukturen in Deutschland werden. Aufgrund einer Verordnungsermächtigung kann das BSI nach Inkrafttreten des Gesetzes „verbindliche Mindeststandards“ für die Sicherheit der Informationstechnik festlegen und überwachen. Betreiber kritischer Infrastrukturen – dazu gehören gemäß dem IT-Sicherheitsgesetz „Einrichtungen, Anlagen oder Teile davon in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind“- werden verpflichtet, dem BSI die Sicherheit dieser Strukturen gefährdende Vorfälle zu melden. Die Unternehmen müssen künftig jederzeit mit einer Prüfung durch das BSI rechnen. Die Behörde kann überdies verlangen, dass sie identifizierte Schwachstellen in einer bestimmten Zeit beseitigen. Nur Kleinstunternehmen mit weniger als zehn Mitarbeitern und einem Umsatz von weniger als 2 Mio. Euro sollen von diesem Gesetz ausgenommen werden.

IT-Sicherheitskatalog der Bundesnetzagentur

Nach dem IT Sicherheitskatalog gem. § 11 Abs. 1a ENWG müssen Betreiber von Energieversorgungsnetzen unabhängig von ihrer Größe oder von der Zahl der für einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und EDV-Systeme zu sorgen, die unmittelbar Teil der Netzsteuerung oder ihr dienlich sind. Die Bundesnetzagentur fordert die Einführung eines ISMS gemäß ISO 27001 für diese Netzleitsysteme und deren anschließende Zertifizierung. Um diese Norm zu erfüllen, muss ein Unternehmen ein vollständig dokumentiertes ISMS für den Informationsverbund des Netzleitsystems und die Risiken, die sich aus dessen Betrieb ergeben, festlegen, umsetzen, überwachen , überprüfen, instand halten und verbessern (nach ISO 27001).

Sicherheitsaspekte wurden nicht berücksichtigt

Die derzeit betriebenen Netzleitsysteme beruhen z.T. auf Systemen, die bereits seit Jahren wenn nicht Jahrzehnten im Einsatz sind und auf ihre Funktion im Bereich kritischer Infrastrukturen hin optimiert wurden. Sicherheitsaspekte haben die Unternehmen aufgrund eines isolierten Betriebsszenarios oftmals nicht hinreichend berücksichtigt. Die nun notwendig werdende Verbesserung der Sicherheit von Netzleitsystemen wird dagegen deutlich aufwendiger sein als bisherige Sicherheitsmaßnahmen in der Finanzinformationstechnologie, da diese und die Prozessinformationstechnologie durch die Integration von Netzleitsystemen in IP-basierte Netzwerke immer inzwischen eng miteinander verflochten sind.

Netzleitsysteme sind Teil der kritischen Infrastruktur im Strom- und Gasbereich in Deutschland und Europa. Durch nicht hinreichend abgesicherte Systeme können infolge der Abhängigkeiten der europäischen Stromnetze untereinander kaskadenförmige Ausfälle auftreten und das Netz irreparabel schädigen. Ferner können durch Sabotage oder terroristische Akte die Netzsteuerungssysteme von Städten oder Landkreisen und damit die Energieversorgung von Endverbrauchern gezielt gefährdet werden.

Externe Unterstützung notwendig

Betreiber von kritischen Infrastrukturen sollten sich zur Identifikation von Schwachstellen sowie bei der Einführung und Zertifizierung eines ISMS nach ISO 27001 unter Berücksichtigung des Risikoprofils ihres Unternehmens sowie der Wirtschaftlichkeit der notwendigen Maßnahmen externer Unterstützung versichern. Im Rahmen einer Prüfungssimulation lassen sich außerdem nicht ausreichend umgesetzte Maßnahmen identifizieren.

Ihr PwC Ansprechpartner zu diesem Thema ist Stefan Buers.

/* */