Bundesnetzagentur konsultiert IT-Sicherheitskataloge
Bonn (energate) - Die Bundesnetzagentur (BNetzA) hat mit der Konsultation eines Eckpunktepapiers zur Erstellung eines IT-Sicherheitskatalogs begonnen. Davon betroffen sind Betreiber und Betriebsführer von Energieversorgungsnetzen sowie Energieanlagen. Damit überarbeitet die Regulierungsbehörde den "IT-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen" aus dem Jahr 2015. Ebenfalls betroffen ist der "Sicherheitskatalog für Betreiber von Energieanlagen", die nach der BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, der aus dem Jahr 2018 stammt.
Digitalisierung erfordert hohe IT-Sicherheitsstandards
Mit der zunehmenden Digitalisierung von Energieversorgungsnetzen und Energieversorgungsanlagen steigen laut Bundesnetzagentur die Sicherheitsanforderungen im Strom- und Gasbereich. Mit dem aktualisierten IT-Sicherheitskatalog soll dementsprechend der Schutz der Verfügbarkeit, die Integrität sowie die Vertraulichkeit der Systeme kritischer Infrastrukturen im Strom- und Gassektor gewährleistet sowie eine Gefährdung der öffentlichen Sicherheit verhindert werden.
Die konsolidierten Inhalte sollen anschließend in einer gemeinsamen Festlegung neu veröffentlicht werden, teilte die BNetzA mit. Ziel sei es, die Kataloge "einander anzunähern und sie noch enger an den prozessorientierten Ansatz der ISO/IEC 27001 anzulehnen". Bei der ISO/IEC 27001 handelt es sich um eine internationale Norm. Diese spezifiziert Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines sogenannten dokumentierten Informationssicherheitsmanagementsystems (ISMS).
Offene Konsultation - BNetzA richtet sich an Branche
Insgesamt konsultiert die Bundesnetzagentur in dem Eckpunktepapier vier Anlagen. Neben den aktualisierten Fassungen zu den Sicherheitskatalogen beinhaltet der Entwurf auch ein Papier zu Vorgaben für allgemeine, nicht zertifizierungspflichtige Vorgaben für alle Betreiber und Betriebsführer nach Paragraf 11 Abs. 1a EnWG sowie Paragraf 11 Abs. 1b EnWG. Diese Vorgaben sollen ebenfalls in den aktualisierten IT-Sicherheitskatalog überführt werden. Außerdem enthält der Entwurf eine Anlage zu den Begriffsbestimmungen, um diese zu standardisieren.
Als Teil des Konsultationsprozesses bittet die BNetzA auch um Stellungnahmen zu strittigen oder noch offenen Punkten. Eine zentrale Frage ist die Unterscheidung zwischen Netzbetrieb und Messstellenbetrieb. Der IT-Sicherheitskatalog ist getrennt vom Messstellenbetrieb zu betrachten und umfasst keine Systeme, die zur Erfüllung von Aufgaben nach dem Messstellenbetriebsgesetz genutzt werden. Mit der Konsultation will die Regulierungsbehörde der Frage nachgehen, ob die vorgenommene Trennung zwischen Netz- und Messstellenbetrieb eindeutig ist oder ob einzelne Systeme beziehungsweise Marktrollen in den Geltungsbereich des ISMS integriert werden sollten.
Ebenfalls stellt die Bonner Behörde die Frage, wie der Nachweis über die Identifikation der kritischen Prozesse gestaltet werden kann, dass transparent wird, welche Prozesse warum nicht in das ISMS aufgenommen wurden. Dies betrifft sowohl Betreibende von Strom- und Gasnetzen als auch Betreibende von Energieanlagen. Offen bleibt auch die Frage, wie die Versorgungssicherheit bei Verteil- und Übertragungsnetzbetreibern sowie Fernleitungsnetzbetreibern konkretisiert werden sollen. Während die Behörde auf diese Frage für Erzeugungsanlagen und Gasförderanlagen und Gasspeichern Antworten findet, bleibt dies bei den genannten Netzbetreibern offen. Auch hier erhofft sich die Behörde Hilfe aus dem Konsultationsprozess.
Konsultation läuft bis Mitte Juni
Die Eckpunkte werden noch bis zum 11. Juni 2025 konsultiert. Anschließend wertet die Bundesnetzagentur die Stellungnahmen aus und veröffentlicht daraufhin eine vollständige Konsultationsfassung der Festlegung. Außerdem findet am 26. Mai eine digitale Fragerunde statt. Gültig werden soll der neue IT-Sicherheitskatalog zum 1. Januar 2027. Weitere Informationen finden sich auf der Homepage der Bundesnetzagentur. /rh