Stellungnahmen aus der Konsultation des Entwurfs eines IT-Sicherheitskatalogs für Energieanlagen gemäß 11 Abs. 1b EnWG Konsultationszeitraum:

Transkript

1 Stellungnahmen aus der Konsultation des Entwurfs eines IT-Sicherheitskatalogs für Energieanlagen gemäß 11 Abs. 1b EnWG Konsultationszeitraum:

2 Inhalt 1. EnBW Energie Baden-Württemberg AG Bundesverband IT-Sicherheit e.v. TeleTrust TransnetBW GmbH UP KRITIS Branchenarbeitskreis Strom TÜV Nord CERT Uniper Energy Storage GmbH Netzgesellschaft Düsseldorf mbh TÜV Rheinland i-sec GmbH TÜV Hessen GmbH Forum Netztechnik im Verband der Elektrotechnik, Elektronik und Informationstechnik e.v UP KRITIS Branchenarbeitskreis Gas Bundesverband der Energie- und Wasserwirtschaft e.v. & VGB PowerTech e.v TÜV SÜD GmbH Prof. h.c.(iuk) PHDr. Dipl.-Kfm/Dipl.-VW. Loubichi KMW Kraftwerk Mehrum GmbH VGB PowerTech e.v VKU Verband Kommunaler Unternehmen e.v....52

3

4 1. EnBW Energie Baden-Württemberg AG Name Vorname Organisation Krög Claus EnBW Informationssicherheit 01 3 A Im ersten Absatz wird von einer intakten Informations- und Telekommunikationstechnologie (IKT) gesprochen im weiteren Verlauf des Dokumentes wird von Schutz gegen Bedrohungen für Telekommunikations- und EDV-Systeme die für gesprochen. Zur besseren Verständlichkeit des IT-Sicherheitskatalogs folgender Vorschlag: Verwendung von IKT im gesamten Dokument mit einem Verweis beim ersten Auftreten, dass IKT gleichbedeutend ist mit Telekommunikations- und EDV-Systemen, wie es in den zitierten Gesetzen steht B [ ] In die Ermittlung des individuellen Schutzbedarfs sind sowohl Risiken für den Anlagenbetrieb als auch Risiken für die Sicherheit verbundener Energieversorgungsnetze einzubeziehen, [ ] Man kann nur Risiken betrachten, die man auch selber beeinflussen kann. Hier ist das weder technisch, noch durch Verträge möglich. Vorschlag: [ ] des individuellen Schutzbedarfs ist auch die IKT Schnittstelle verbundener Energieversorgungsnetze einzubeziehen B [ ] In die Ermittlung des individuellen Schutzbedarfs sind sowohl Risiken für den Anlagenbetrieb als auch Risiken für die Sicherheit verbundener Energieversorgungsnetze einzubeziehen, [ ] Man kann nur Risiken betrachten, die man auch selber beeinflussen kann. Hier ist das weder technisch, noch durch Verträge möglich. Daher kann nur die Schnittstelle betrachtet werden. Vorschlag: [ ] des individuellen Schutzbedarfs ist auch die IKT Schnittstelle verbundener Energieversorgungsnetze einzubeziehen B I Die Verantwortung für die Erfüllung der Schutzziele trägt der Anlagenbetreiber, auch wenn er sich hierzu Dritter bedient Klärungsbedarf Anlagenbetreiber Wer ist Betreiber von Energieanlagen? nach 1b EnWG?

5 Definition Betreiber/Betriebsführer = Genehmigungsinhaber oder = Betriebsführer Beispiel STEAG-Trianel: STEAG ist Betriebsführer im Rahmen eines Betriebsführungsvertrags einer Anlage von Trianel. Trianel ist Eigentümer der Anlage. Folgender Punkt konnte nicht geklärt werden, bzw. wird im Katalog nicht eindeutig beschrieben: - Wer muss sich nach den Vorgaben des Katalogs der BNetzA zertifizieren? Vorschlag: Der Anlagenbetreiber ist genau zu definieren 05 5 B II1 Zweiter Absatz Der Verweis auf 13 Abs. 2 EnWG regelt Rechte und Pflichten eines ÜNB und nicht die eines Energieerzeugers Vorschlag: Absatz streichen 06 7 C [ ] Der Geltungsbereich des vorliegenden IT-Sicherheitskatalogs umfasst alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Anlagenbetrieb notwendig sind. [ ] Geltungsbereich sollte neben Anwendungen und Systemen auch auf Prozesse ausgedehnt werden. In einem ISMS werden Prozesse gehärtet. Die Systeme und Anwendungen sind Teil der Prozesse. Vorschlag: [ ] umfasst alle zentralen und dezentralen Prozesse Anwendungen, Systeme und Komponenten C Zweiter Punkt Zone 3: und zu Rückwirkungen auf den sicheren Netzbetrieb führen Kann durch einen Erzeuger nicht bewertet werden. Durch die und -Verknüpfung ist es für einen Erzeuger nahezu nicht möglich Systeme der Zone 3 zuzuordnen. Rückwirkungen auf den sicheren Netzbetrieb gibt es nur durch Zone 1, da dann die Verfügbarkeit der Erzeugungsanlage gefährdet ist. Vorschlag: Diesen Teilsatz in Zone 3 streichen. Wenn dann gehört er zu Zone C [ ] Abbildung 1 zeigt eine Zuordnung von Anwendungen, Systemen und Komponenten zu den sechs Zonen. Die Zuordnung ist nicht abschließend und individuell zu ergänzen. [ ]

6 Vorschlag: Die Zuordnung ist nicht abschließend und individuell zu ergänzen / ändern D II1 Sofern die Handlungsempfehlungen des VGB-S-175 für die Umsetzung der verbindlichen Maßnahmen des Anhangs A der DIN ISO/IEC nicht ausreichen, sind ergänzend auch die Empfehlungen der DIN ISO/IEC und der ISO/IEC in der jeweils geltenden Fassung zu berücksichtigen. Die genannte Aufzählung sollte im Sinne einer Rangfolge systematisiert werden. Dies gilt besonders im Hinblick auf Unternehmen, die nicht nur Erzeugungsanlagen sondern auch Gasspeicher betreiben, da diese ein einheitliches ISMS wollen, was mit der VGB S-175 als ranghohe Unterlage schwierig ist. Vorschlag für Rangfolge: DIN ISO/IEC 27001, DIN ISO/IEC 27002, DIN ISO/IEC 27019, VGB-S-175 Vorschlag für Text: Für die Umsetzung der notwendigen Maßnahmen des Anhangs A der DIN ISO/IEC sind die Empfehlungen der DIN ISO/IEC und der ISO/IEC in der jeweils geltenden Fassung zu berücksichtigen. Sind nach Umsetzung der Maßnahmen nicht akzeptabler Restrisiken vorhanden, sind ergänzend die Handlungsempfehlungen des VGB-S-175 zu berücksichtigen D IV Risikoeinschätzung Punkt 2 Im Punkt 2 bei der Einstufung sollte man von den BSI Begrifflichkeiten ausgehen: Die Kriterien sind eigentlich Schadenskategorien / Schadensszenarien. Vorschlag: Beeinträchtigung der Versorgungssicherheit und Einschränkung der Energielieferung sind eigentlich gleiche Szenarien -> Beeinträchtigung der Aufgabenerfüllung Betroffener Bevölkerungsanteil -> Negative Auswirkung Der betroffene Bevölkerungsanteil ist bei einer Erzeugungsanlage nur schwer bis gar nicht zu ermitteln. Gefährdung für Datensicherheit und Datenschutz durch Offenlegung oder Manipulation Verstoß gegen Gesetze und Verträge. Durch diese Begrifflichkeiten sind dann auch Szenarien zu entwickeln z.b. Umfassende Beeinträchtigung der Aufgaben und Produktionsleistung über die Dauer von mehreren Wochen. Produktion ist zum Erliegen gekommen.

7 11 13 IV1 Die Risikoeinschätzung hat sich an den Schadenskategorien kritisch (die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen), hoch (die Schadensauswirkungen können beträchtlich sein) mäßig ( die Schadensauswirkungen sind begrenzt und überschaubar) und gering (die Schadensauswirkungen sind vernachlässigbar) zu orientieren. Vorschlag: Risikoeinschätzung und Kategorien sind analog dem BNetzA IT-Sicherheitskatalog 11 Abs. 1a anzupassen Das hilft den Energieunternehmen mit einem ISMS und den integrierten Energieunternehmen und ermöglicht so ein einheitliche Verfahren und Bewertung im ISMS je Sicherheitskatalog in der umzusetzen D V [ ] Maßnahmen zur Risikobehandlung sind zumindest insoweit umzusetzen, dass lediglich ein als gering zu bewertendes Restrisiko verbleibt. [ ] Durch eine Risikomatrix und deren Einstufung hat man von dem höchsten Risiko (very high) keine Möglichkeiten auf ein geringeres Restrisiko zu kommen (siehe S.16 im Anhang VGB Standard S-172) Vorschlag: gering durch mäßig ersetzen V Sofern Anwendungen, Systeme und Komponenten, die nach Kapitel C den Zonen 1 bis 3 zugeordnet sind, mit Anwendungen, Systemen und Komponenten aus den Zonen 4 bis 6 Informationen austauschen, die für [ ] Der Schutzbedarf dieser Informationen richtet sich dabei nach dem Schutzbedarf der Anwendungen, Systeme und Komponenten in der Zone mit der jeweils höheren Bedeutung für den sicheren Anlagenbetrieb. Der Schutzbedarf der Systeme die in Zone 4-6 liegen und mit Zone 1-3 kommunizieren soll spezifisch ermittelt werden wie in der Zonenbeschreibung festgelegt. Ggf. ist der Schutzbedarf nicht durchgängig hoch. (z.b.: Fernwartung Verfügbarkeit=mittel, Intigrität und Vertraulichkeit = hoch) Vorschlag: Zone 4-6 Informationen automatisiert austauschen, die für Bedeutung für den sicheren Anlagenbetrieb ist spezifisch je Schutzbedarf zu ermitteln. (siehe auch hier Kapitel C Geltungsbereich Zone 4)

8 14 16 E II Erster Absatz: /../ bis zum XX.XX.XXX [1,5 Jahre ab Veröffentlichung[..] Eine Umsetzungsfrist ist für die Vielzahl von zu betrachtenden Anlagen mit ihrer Diversität viel zu kurz Vorschlag: 3 Jahre F Letzter Absatz: [ ] aus der hervorgeht, dass die Anforderungen der SEWD-Richtlinie IT vom Betreiber eingehalten werden. [ ] Durch die Beteiligung von Gutachtern/Sachverständigen und Behörden ist es für den nukleare Erzeugungsanlage unmöglich einen Zeitpunkt festzulegen, bis zu der die Erfüllung aller Anforderungen bestätigt werden kann. Es kann nur die abgegebenen Unterlagen beeinflusst werden. Vorschlag: dass die Umsetzungsfristen der SEWD-Richtlinie IT vom Betreiber eingehalten werden F Erster Absatz [ ] gelten für Anlagen nach 7 Absatz 1 des Atomgesetzes die nachstehenden Regelungen. [ ] Auch stillgelegte Anlagen unterliegen 7 Absatz 1 des Atomgesetzes sind aber keine Anlagen nach KRITIS-Verordnung, da sie keine Genehmigung zur Stromerzeugung haben. Vorschlag: gelten für Anlagen, die zur Stromerzeugung berechtigt sind, nach 7 Absatz 1 des Atomgesetzes die nachstehenden Regelungen F Die IT-Sicherheit von Anlagen nach 7 Absatz 1 des Atomgesetzes muss sich nach 11 Absatz 1b Satz 1 EnWG jedoch auch an ihrer Bedeutung für den sicheren Netzbetrieb und damit für die allgemeine Versorgungssicherheit orientieren. Kann durch einen Erzeuger nicht bewertet werden. Vorschlag: Die IT-Sicherheit von Anlagen nach 7 Absatz 1 des Atomgesetzes muss sich nach 11 Absatz 1b Satz 1 EnWG orientieren.

9 2. Bundesverband IT-Sicherheit e.v. TeleTrust Name Vorname Organisation Mühlbauer Holger Bundesverband IT-Sicherheit e.v. TeleTrust 1 - Im Rahmen des IT-Sicherheitskataloges für die Netzbetreiber wurde explizit ein Netzstrukturplan genutzt, um alle IT- bzw Prozess-IT-Komponenten und Ihr Zusammenspiel darzustellen. Dies wird in diesem IT-Sicherheitskatalog nicht mehr gefordert. Wir sehen diesen Netzstrukturplan als ein nützliches Werkzeug an, um eine gute Übersicht sowohl in dem jeweiligen Unternehmen als auch für die Zertifizierungsstelle bzw. den Prüfer zu vermitteln. Deshalb wäre die Aufnahme des Netzstrukturplans auch in diesem Netzstrukturplan sinnvoll und hilfreich. Im Anhang des VGB-S-175 wird die Umsetzung auch als Netzwerkplan/Systemübersicht empfohlen. 2 - Die Nutzung des Begriffs Netzbetrieb sollte im gesamten Dokument geprüft werden. Wahrscheinlich sind durch Kopieren des IT-Sicherheitskatalogs für Netzbetreiber der Begriff nicht angepasst worden. Oft ist Anlagenbetrieb gemeint. Es sollte nochmals geprüft werden, welche Standards referenziert werden sollen. Es ist sinnvoll, die Originalversion des ISO/IEC-Standards zu referenzieren. Während der Umsetzung des IT-Sicherheitskataloges für Netzbetreiber gab es Verwirrungen durch die Referenzierung auf die deutsche Übersetzung, die während des Umsetzungs-Zeitraumes zurückgezogen wurde. Dies wäre mit der Referenzierung auf einen jeweils gültigen ISO/IEC Standard nicht entstanden D.I Das PDCA-Modell sollte nicht vorgegeben werden, da dieses gemäß ISO/IEC nicht mehr vorgegeben wird. 4 3 A Energieanlagen... werden verpflichtet sollte Betreiber von vorangestellt werden. 5 5 B.II. 1. Für die Erzeugungsanlagen gibt es die Einschränkung, die nur Anlagen gem. BSI-KritisV betreffen. Die Referenz zu den Anlagen bzgl , 1.1.3, und fehlen hier. Diese müssten ergänzt werden. 6 7 C Eine Darstellung der Netzsegmentierung sollte ebenfalls vorgenommen werden. Dies kann beispielsweise im Netzstrukturplan vorgenommen werden. Dies ermöglicht dem Betreiber als auch dem Auditor einen Überblick über die Notwendigkeiten zur Netzabsicherung. Dies ist auch im VGB-S-175 mit gefordert. 7 8 C Innerhalb der Zone 1 sollte auch die Verfügbarkeit der Daten berücksichtigt werden. 8 8 C Innerhalb der Zone 2 sollte auch die Verfügbarkeit der Daten berücksichtigt werden. 9 8 C Innerhalb der Zone 2 sollte auch die Manipulation der Systeme berücksichtigt werden C Innerhalb der Zone 3 sollte auch die Verfügbarkeit der Systeme und Daten berücksichtigt werden 11 9 C In der Zoneneinteilung sollten auch die Kommunikationsschnittstellen berücksichtigen werden. Hier fehlen nicht nur die Kommunikationszonen zwischen den Zonen 1 6, sondern auch die Kommunikationsschnittstelle zum ÜNB bzw. VNB oder

10 Fernnetzbetreiber (Gas) und ggf. die Schnittstellen zur Ferneinwahl durch Home-/mobile Arbeitsplätze als auch Kommunikationsschnittstellen zu weiteren Dienstleistern. Zusätzlich fehlen auch die Schutz-/Safety-Systeme. Hier sollte eine Erweiterung der Grafik erfolgen D.I. Die Aussage, dass mindestens die Zone 1-3 im Geltungsbereich des ISMS berücksichtigt werden muss, könnte eine falsche Bewertung verursachen. Eine bessere Formulierung wäre, dass alle Applikationen, IT/OT-Komponenten, Telekommunikationseinrichtungen aus Zone 1-6, die direkten oder indirekten Einfluss auf eine mögliche Beeinträchtigung der ordnungsgemäßen Funktionsweise der Energieanlage haben könnten, berücksichtigt werden müssen. Bei dieser Formulierung kann beispielsweise auch ein -System nicht fälschlicherweise nicht betrachtet werden, über das wichtige Arbeitsanweisungen, Fahrpläne oder anderes verschickt werden könnte D.II. 1. Für die Erzeugungsanlagen gibt es die Einschränkung, die nur Anlagen gem. BSI-KritisV betreffen. Die Referenz zu den Anlagen bzgl , 1.1.3, und fehlen hier. Diese müssten ergänzt werden D.II. ISO/IEC bzw. ISO/IEC sollten Vorrang bei der Abbildung von Maßnahmen haben. Die Maßnahmen aus dem Angang zu VGB-S-175 kann dann ergänzend verwendet werden. Hintergrund ist, dass die Maßnahmen des VGB-S-175 nicht vollständig sind und es auch Empfehlungen aus dem Jahre 2013/2014 und deshalb schon teilweise veraltet sind. Beispielsweise wird noch Microsoft Windows XP erwähnt, welches durch den Hersteller Microsoft nicht mehr mit Patches versorgt wird. Derartige konkrete Bezüge sollten aus einer gesetzlichen Vorgabe, wenn überhaupt nur als Empfehlung gelten. Auch eine Zertifizierbarkeit / Auditierbarkeit nach VGB-S-175 müsste erst geschaffen werden. Dies ist bei 2700x bereits gegeben D.II. 2 Im Abschnitt Gasspeicher wird dargestellt, dass die BNetzA sich das Recht einräumt, dass eine Anpassung der DIN-Normen regelmäßig geprüft werden kann. Dieser Satz sollte auch bei Erzeugungsanlagen stehen. Generell wird aber auch nochmals auf die Kommentierung zur Nutzung des internationalen Standards ISO/IEC27001 verwiesen D.V. Die Risikobehandlung sollte sich auf alle Applikationen, IT/OT-Komponenten, Telekommunikationseinrichtungen aus Zone 1-6 beziehen. Zusätzlich sollten auch Prozesse berücksichtigt werden Im Inhaltsverzeichnis wird noch auf einen zurückgezogenen Standard ISO/IEC 27001:2005 verwiesen. Dies sollte angepasst werden.

11 3. TransnetBW GmbH Name Vorname Organisation Westhauser Günter TransnetBW Während unter B (I) Allgemeine Schutzziele der sichere Anlagenbetrieb ins Zentrum gestellt wird, adressiert das in D (I) Informationssicherheits-Managementsystem geforderte ISMS die Anwendungen, Systeme und Komponenten. Um zwischen beidem den erforderlichen Zusammenhang herzustellen und dem Grundprinzip des in der Norm verfolgten risikobasierten Ansatz gerecht zu werden empfiehlt es sich, unter D (I) den Wortlaut wie folgt zu ergänzen: Das ISMS muss mit Blick auf den sicheren Anlagenbetrieb mindestens die dazu erforderlichen Anwendungen, Systeme und Komponenten der Zonen 1 bis 3 umfassen.

12 4. UP KRITIS Branchenarbeitskreis Strom Name Vorname Organisation Krauhausen Thomas UP KRITIS, Branchenarbeitskreis Honecker Hans Strom 1 16 E II Nach den Erfahrungen von Mitgliedern des BAK Strom mit der Umsetzung des Sicherheitskataloges nach 11 (1a) EnWG stellt die im Sicherheitskatalog nach 11 (1b) EnWG vorgesehene Frist zum Nachweis der Umsetzung für Energieanlagenbetreiber eine Herausforderung dar selbst wenn die Betreiber bereits umfangreiche Vorkehrungen zur geeigneten Absicherung der IKT- Systeme getroffen haben."

13 5. TÜV Nord CERT Name Vorname Organisation Grans Karsten TÜV Nord CERT Sterzenbach Thomas 1 7 C Die bezogenen, spezifizierten Anforderungen an Anwendungen, Systeme und Komponenten sollten weiter spezifiziert werden D 2ter Absatz in D.II.1, Für die unterschiedlichen Anlagetypen ist unspezifisch und sollte exakter spezifiziert werden

14 6. Uniper Energy Storage GmbH Name Vorname Organisation Dr. Duda Ulrich Uniper Energy Storage GmbH 1 5 B II. 2. [Gas] Betreiber von Speicheranlagen (und damit auch die Sicherheit ihrer IT-Systeme) sind allein darauf ausgerichtet, die notwendigen Speicherkapazitäten zur Ein- und Ausspeisung der Gasmengen bereitzustellen. Die Ein- und Ausspeisung der Gasmengen selbst obliegt den Speichernutzern, in deren Eigentum das eingespeiste Gas in der Regel verbleibt. Zudem kann der Text vereinfacht werden, da sich Anforderungen der Fernleitungsnetzbetreiber oder Verteilernetzbetreiber nach 16 Abs. 2 EnWG ausschließlich an die Netz- bzw. Speichernutzer richten und die Situation der Speicherbetreiber sich insoweit nicht von der im Rahmen von Maßnahmen gemäß 16 Abs. 1 EnWG unterscheidet. Die Formulierung sollte daher wie folgt angepasst werden: Bereitstellung von Speicherkapazität entsprechend den kommunizierten Anweisungen des Dispatchings und zur Ein- und Ausspeisung von Gasmengen entsprechend den kommunizierten Fahrplänen der Speichernutzer und deren vertraglichen Verpflichtungen im Rahmen der Maßnahmen gemäß 16 Abs. 1 und Abs. 2 EnWG i.v. m. 16a EnWG. Ein- und Ausspeisung von Gasmengen entsprechend den Anforderungen des Fernleitungsnetzbetreibers gemäß 16 Abs. 2 EnWG und den Anforderungen des Verteilnetzbetreibers gemäß 16 Abs. 2 i. V. m. 16a EnWG. Bereitstellung von Speicherkapazität zur Ein- und Ausspeisung von Gasmengen zur Deckung des lebenswichtigen Bedarfs an Gas entsprechend den Verfügungen des Lastverteilers gemäß 1 Abs. 1 1 Gassicherungsverordnung i. V. m. 1 Abs. 1 Energiesicherungsgesetz. 2 8 C Die unten in der Definition der Zone 3 fett durchgestrichen markierten, aus der VGB-S-175 übernommenen Kriterien aus den Bereichen Effizienz, Wirtschaftlichkeit, reduzierter Wirkungsrad und Instandhaltung sind nicht vom 11 Abs. 1b EnWG abgedeckt, da sie keine Auswirkungen auf den sicheren Anlagenbetrieb haben sondern Wirtschaftlichkeitsüberlegungen des Betreibers betreffen. Sie sind somit nicht als Kriterien zur Zonen-Klassifizierung und Festlegung des

15 Geltungsbereichs im vorliegenden IT-Sicherheitskatalog geeignet und müssen entfernt werden. Ebenso sollte kritisch geprüft werden, ob das Kriterium Umweltverträglichkeit für den sicheren Anlagenbetrieb herangezogen werden kann. Zone 3 Notwendig für den (effizienten) Betrieb der Energieanlage und zur Erfüllung gesetzlicher Anforderungen: Fokus auf Integrität der Daten Manipulation der Daten kann indirekt Auswirkungen auf die optimale erforderliche Fahrweise der betriebenen Anlagen haben (Wirtschaftlichkeit, Umweltverträglichkeit, Verschleiß) und zu Rückwirkungen auf den sicheren Netzbetrieb führen Ausfalltoleranz: wenige Stunden Anlage fährt mit reduziertem Wirkungsgrad, Netzdienstleistungen entfallen, Daten der Energieanlage sind extern nicht verfügbar, Instandhaltung ist erschwert oder nicht mehr möglich 3 9 C, Abbil dung 1. [Gas] Die pauschale Zuordnung des Dispatchings zur Zone 3 steht nicht im Einklang mit dem Schutzziel des 11 Abs. 1b EnWG, einen sicheren Anlagenbetrieb zu gewährleisten. Vielmehr ist diesbezüglich zu differenzieren. Ein zentrales Dispatching ist nur dann für den sicheren Anlagenbetrieb notwendig, wenn es technisch für die Steuerung einer dezentralen Energieanlage zwingend erforderlich ist (z.b. bei komplexen Gasnetzen). Anderenfalls ist nur die Schnittstelle der Energieanlage zum Dispatching im Rahmen des ISMS zu betrachten und das Dispatching selbst der Zone 4 zuzuordnen, da ein sicherer Anlagenbetrieb auch bei Ausfall des zentralen Dispatchings über die lokalen Leitstände möglich ist. Dies ist zum Beispiel regelmäßig bei Gasspeichern der Fall. In Abbildung 1 sollte daher bei der Zonenzuordnung zwischen Dispatching mit technisch notwendiger Steuerungsfunktion in Zone 3 und Dispatching ohne technisch notwenige Steuerungsfunktion in Zone 4 unterschieden werden. Zone 6: Es sollte eine Klarstellung erfolgen, dass in Abbildung 1 mit dem Begriff Internet in Zone 6 das Surf- und Informations-Internet / World Wide Web handelt und nicht um die in Zone 1 und 2 zu sehenden Remotezugänge bzw. Onlineoptimierung und -diagnose über Internet DI Die Festlegung, dass das ISMS mindestens die Zonen 1-3 umfassen muss, erscheint höhere Anforderungen zu stellen, als der

16 IT-Sicherheitskatalog nach 11 Abs. 1a EnWG..

17 7. Netzgesellschaft Düsseldorf mbh Name Vorname Organisation Aymanns Peter Netzgesellschaft Düsseldorf mbh 1 4 B. I. In der Beschreibung der allgemeinen Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit) wird der Begriff der Netzstabilität verwendet, ohne diesen im Rahmen des Sicherheitskataloges explizit zu definieren. Die BNetzA definiert den Begriff Netzstabilität bisher nur im Rahmen des Glossars zum Monitoring 2014 (Link: chundmonitoring/monitoring/monitoring2014/glossar_abkuerzungsverzeichnis.pdf? blob=publicationfile&v=2) Die hier beschriebene Definition Netzstabilität liegt dann vor, wenn Netzfrequenz und Netzspannung innerhalb der betrieblichen Grenzwerte liegen, so dass durch den Netzbetreiber keine zusätzlichen Maßnahmen gemäß 13 Abs. 2 EnWG ergriffen werden müssen. ist im Sinne der beschriebenen Schutzziele vollkommen ungeeignet. Die Wahrung der Netzstabilität ist immer Aufgabe der Netzbetreiber. Bezogen auf die Energieanlagen ist die Netzstabilität dann gewährleistet, wenn die Anlagenbetreiber (jede einzelne Anlage!) jederzeit die Anforderungen des TransmissionCodes oder des DistributionCodes erfüllt. (Zukünftig Network Code Requirements for Generators (RfG)). Die Beschreibung der Schutzziele ist dementsprechend zu ändern. Auch die Verantwortung für die Erfüllung der Schutzziele kann der Anlagenbetreiber nicht tragen, wenn das Schutzziel die Netzstabilität (s.o.) oder die Nicht-Gefährdung des sicheren Netzbetriebes (vgl. B.II.) ist. 2 5 B.II. 1 In Anhang 1, Teil 3, BSI-KritisV wird für Energieanlagen der Schwellwert von 420 MW installierter Leistung definiert. Im Kapitel B.II.2 wird (neben dem Energiewirtschaftsgesetz) auch die Elektrizitätssicherstellungsverordnung genannt. Im Rahmen der Elektrizitätssicherstellungsverordnung ist keine Leistungsgröße von Kraftwerken genannt. Ziel der EltSigV ist vielmehr die Deckung des lebenswichtigen Bedarfs an Elektrizität unabhängig von der installierten Leistung. Sie richtet sich an alle verfügbaren Erzeugungsanlagen unabhängig von der Größe. Beim Inkrafttreten der EltSigV ist unseres Erachtenes das darin beschriebene Ziel volkswirtschaftlich vorrangig vor den Schutzzielen des IT-Sicherheitskataloges. Was die Nennung der

18 EltSigV im Kontext dieses Sicherheitskataloges bedeutet, ist vollkommen unklar. Daher ist der Passus des EltSigV an dieser Stelle zu streichen. 3 5 B.II. 1 In Anhang 1, Teil 3, BSI-KritisV wird für Energieanlagen der Schwellwert von 420 MW installierter Leistung definiert. Im Kapitel B.II.2 werden (neben dem Energiewirtschaftsgesetz) auch die Schwarzstartfähigkeit und die Unterstützung beim Netzwiederaufbau genannt. Die Schwarzstartfähigkeit wird in der Regel von Energieanlagen kleiner 420 MW dargestellt. Die Schwarzstartfähigkeit von Energieanlagen ist zur Zeit in Deutschland gesetzlich nicht geregelt, zukünftig werden im Network Code Requirements for Generators (RfG) Anforderungen beschrieben. Die Nennung der Schwarzstartfähigkeit (sofern technisch möglich und vertraglich mit dem Übertragungsnetzbetreiber vereinbart) ist im Rahmen des IT-Sicherheitskataloges zu präzisieren. Die Wahrung der in B.1. genannten Schutzziele für alle schwarzstartfähigen Erzeugungsanlagen (unabhängig von der Größe und der vertraglichen Verpflichtung gegenüber dem Netzbetreiber (dies kann auch ein Verteilnetzbetreiber sein!), ist unter den Aspekten des sicheren Netzbetriebes sehr zu begrüßen. Der Passus muss jedoch auf die Verteilnetze ausgeweitet werden, da in der Regel nur in Verteilnetzen schwarzstartfähige Energieanlagen installiert sind und es vertragliche Regelungen mit den Verteilnetzbetreibern gibt. Zudem müssen Verteilnetzbetreiber die Kosten für die entsprechenden Systemdienstleistungen Schwarzstartfähigkeit und Netzwiederaufbau (als dauerhaft nicht beeinflussbare Kosten) anerkannt bekommen. Insbesondere dann, wenn der Verteilnetzbetreiber selbst unter die Schwellwerte gemäß Anhang 1, Teil 3, BSI-KritisV fällt. 4 7 C Offen ist auch, was die Formulierung an ein Energieversorgungsnetz angeschlossen rechtlich bedeutet. Insbesondere ist hier zu konkretisieren, wie mit Energieanlagen im Stilllegungsprozess gemäß EnWG 13b zu verfahren ist. Ab Beginn der Anzeige zur Stilllegung sind diese Energieanlagen aus dem Geltungsbereich herauszunehmen D/I. Im IT-Sicherheitskatalog nach 11 ABs. 1a (Netzbetreiber) wurde eine ISMS-Implementierung nach DIN ISO/IEC in Verbindung mit DIN gefordert. Unklar ist hier, in wie weit die Anwendung der (genannt auf Seite 12) als Branchenstandard für die Energiewirtschaft auch für die Energieanlagen anzuwenden ist, sofern das Schutzziel der Energieanlagen weiterhin der sichere Netzbetrieb ist (vgl. B I. Seite 5). Zudem fehlt das BDEW-Whitepaper Anforderungen an sichere Steuerungs-und Telekommunikationssysteme als wesentliche Grundlage D/IV. Bei der Einstufung in die Schadenskategorien sollen durch den Anlagenbetreiber die Kriterien Beeinträchtigung der Versorgungssicherheit und Betroffener Bevölkerungsanteil berücksichtigt werden. Dieses kann ein Betreiber einer

19 Energieanlage nicht, da ihm die dafür erforderlichen Informationen gemäß 6-10 EnWG nicht vorliegen (dürfen). Zudem ist die Gefährdung für Datensicherheit und Datenschutz über die Datenschutzgrundverordnung (DSGVO) geregelt. Unklar ist, was die Nennung im Rahmen der IT-Sicherheit bedeutet D/VI. Der Ansprechpartner IT-Sicherheit des Energieanlagenbetreibers muss auch dem jeweiligen Netzbetreiber, an dessen Netz die Energieanlage angeschlossen ist, genannt werden. Die Auskunftspflichten müssen auf den Anschlussnetzbetreiber ausgeweitet werden. Nur so lassen sich Gefährdungen, die Rückwirkungen auf den sicheren Netzbetrieb haben, bewerten und vermeiden Das Literaturverzeichnis ist lückenhaft (27019, 27702, VGB S175, etc.)

20 8. TÜV Rheinland i-sec GmbH Name Vorname Organisation Kohler Andreas TÜV Rheinland i-sec GmbH 0 Allg. Allgemeine Bemerkung zum IT-SiKat 2018 als Ganzes: Aus unserer Sicht ist das Zusammenspiel der Pflichten aus BSIG 8a ff mit dem vorliegenden IT-SiKat 2018 nicht klar genug ersichtlich und muss unserer Meinung nach zwingend klargestellt werden (separates Kapitel/Abschnitt). Aus der jetzigen Form des IT-SiKat 2018 leiten wir ab, dass betroffene Betreiber für ein und denselben Zweck zwei unterschiedliche Arten des Nachweises zu führen haben und an unterschiedliche Stellen der Bundesverwaltung Ansprechpartner für ein und denselben Zweck zu nennen haben. Beides ist unserer Ansicht nach nicht nur aus betriebswirtschaftlicher Sicht ein Unding. Hier können die Betreiber in guten Treuen ein vermehrtes Maß an Abstimmung zwischen BSI und BNetzA erwarten 1 3 A. In Zeile 5 einen Absatz einfügen, analog Text IT-SiKat A. Aus Absatz 2 könnte geschlossen werden, dass Maßnahmen nur für Gefährdungen des Netzbetriebs zu treffen sind. Dies wäre weder durch EnWG 11 Abs. 1b abgedeckt, noch ist es konform zu den weiteren Ausführungen im Dokument. Hier sollte an der Formulierung in Richtung Konsistenz und Widerspruchsfreiheit gearbeitet werden. Basis muss dabei 11 EnWG (sicherer Anlagenbetrieb) sein. An dieser Stelle wäre eine Klarstellung OK, dass dazu auch die Einflüsse auf die angeschlossenen Versorgungsnetze gehören. 3 4 B.I. Hier ist in Absatz 1 von allgemein anerkannten Stand der Technik die Rede. In den zugrundeliegenden gesetzlichen Regelungen (BSIG, KRITISV usw.) wird immer nur von Stand der Technik gesprochen. Wir erachten diese Formulierung als problematisch. Schon die Interpretation von Stand der Technik ist in der Praxis schwer genug, dies nun noch mit allgemein anerkannt zu ergänzen erachten wir als wenig sinnvoll. 4 5 B.II. Der erste Absatz verlangt von Energieanlagen, dass diese den Netzbetrieb nicht gefährden dürfen. Obschon dies grundsätzlich wichtig und sinnvoll ist, ist dies rechtlich unserer Auffassung nach nicht aus EnWG 11 Abs.1b (die Legitimation des IT- Sicherheitskatalogs) abzuleiten. Eine entsprechende Referenz auf die hier zugrunde liegende rechtliche Vorschrift wäre daher

21 zu begrüßen. 5 7 C. In den ersten Zeilen wird die rechtliche Grundlage der Bestimmung des Geltungsbereichs unserer Auffassung nach etwas umständlich. Wir sehen hier keine Gründe, aus denen hier nicht gleich direkt die BSI-KritisV referenziert werden sollte. Dies insbesondere auch dadurch, dass das BSIG selber ja die hier gemeinten Betreiber von Energieanlagen nicht bestimmt. Dies wird erst mit den, in der BSI-KritisV definierten Schwellwerte, getan. 6 7 C. Im 3. Absatz wird erneut mit der Formulierung mit Blick auf das Ziel eines um-fassenden Schutzes für den Netzbetrieb ein Hauptziel der Aktivitäten definiert, das unserer Auffassung nach nicht aus EnWG 11 Abs.1b anzuleiten ist. Hier gilt das unter Feststellung Nummer 4 Gesagte analog. 7 9 C. In Abbildung 1 ist die bildliche Darstellung der steigenden Bedeutung für einen sicheren Anlagenbetrieb sehr ungünstig gewählt. Der entsprechende Pfeil nach Unten suggeriert rein optisch, dass hier eine sinkende Bedeutung besteht, obschon das Gegenteil der Fall ist. Dies könnte einfach mit einer textlichen Ergänzung am Anfang des Pfeils (oben) und am Ende des Pfeils (unten) gelöst werden. Hier könnten in etwas kleinerer Schrift die Attribute gering und sehr hoch ergänzt werden, so dass die eigentliche Bedeutung dann klar wird. Alternativ wäre auch eine Bezeichnung der einzelnen Stufen zwischen Pyramide und Pfeil eine sinnvolle Lösung (z.b. sehr gering, gering bedeutend, hoch, sehr hoch) D. Im gesamten Dokument und insbesondere in Kapitel D. wird an keiner Stelle ein Bezug zu Anforderungen und Pflichten der betroffenen Betreibern, die sich aus BSIG 8a ergeben, hergestellt. Insbesondere ist so auch nicht klar zu erkennen, ob das zwei unterschiedliche Aktivitäten sind oder nicht. Auch werden potentielle Widersprüche (Anforderung ISMS vs. Nachweis Stand der Technik ) weder thematisiert noch aufgeklärt. Dies ist im Sinne einer wirtschaftlichen Umsetzung unserer Ansicht jedoch Pflicht. Es muss für die Betreiber klar sein, wie die beiden Anforderungen zusammenhängen und ob das hier geforderte zertifizierte ISMS ausreicht, um der Nachweispflicht gemäß BSIG 8a nachzukommen. Wir stellen hier nicht grundsätzlich in Frage, dass ein ISMS das Mittel der Wahl ist. Aus unserer Sicht ist ein ISMS auch für eine nachhaltige Erfüllung der Anforderungen aus BSIG 8a Pflicht D.V. Auch hier ist wieder von allgemein anerkannten Stand der Technik die Rede. Siehe dazu auch Feststellung Nummer / 16 D.VI. Hier sehen wir klare Redundanzen zu den Pflichten aus dem BSIG 8b. Die hier sowie in BSIG 8b geforderte Kontaktstelle haben faktisch denselben Zweck. Es kann unserer Ansicht nach nicht sein, dass jedes Amt und jede Agentur in der Bundesverwaltung hier ein eigenes Süppchen kocht. Hier erwarten wir entsprechende Koordination zwischen BSI und BNetzA, so dass nur eine Nennung erforderlich ist (die je beim BSI bereits geschehen ist). Eine entsprechende Klärung der Situation ist in den IT-SiKat einzubauen E.I. Es ist unklar, ob die hier geforderte Zertifizierung geeignet ist, um die in BSIG 8a geforderten Nachweise zu erbringen oder ob das etwas Eigenständiges ist. Aus wirtschaftlicher Sicht sind unserer Auffassung nach zwei unterschiedliche Nachweise ein Unding. Entweder muss für die BNetzA der erbrachte Nachweis gemäß BSIG 8a ausreichen oder die hier geforderte Zertifizierung muss für das BSI als Nachweis gemäß BSIG 8a genügen. Hier ist unserer Ansicht nach einiges an Abstimmungsbedarf zwischen BNetzA und BSI noch offen.

22 Es gibt keinen Betreiber der hier betroffenen Energieanlagen, der hier nicht gemäß BSIG 8a die Umsetzung des Stand der Technik gegenüber dem BSI nachweisen muss E.II. Es gibt keinen Betreiber der hier betroffenen Energieanlagen, der zu diesen Zeitpunkten nicht bereits dem BSI den Nachweis zur Erfüllung des Stand der Technik erbracht hat (Termin für ersten Nachweis läuft im Mai 2018 ab) beziehungsweise dem BSI eine Ansprechstelle genannt hat (Termin bereits abgelaufen). Zwei unterschiedliche Nachweisverfahren für faktisch Dasselbe machen unserer Ansicht nach nicht nur aus wirtschaftlichen Betrachtungen keinerlei Sinn. Aus unserer Sicht sind diese Termine daher zu großen Teilen obsolet, da die durch die entsprechenden Betreiber in guten Treuen erwartbaren Abstimmungen zwischen BNetzA und BSI unserer Wahrnehmung nach noch teilweise offen sind F. In 11 Absatz 1b Satz 1 EnWG geht es nur um den sicheren Anlagenbetrieb, der sicheren Netzbetrieb ist anders als durch Absatz 2 suggeriert dort kein explizites Thema. Unserer Ansicht nach ist es durchaus legitim, hier auf dieses Thema hinzuweisen, wozu der zitierte Paragraph des EnWG jedoch keinerlei Rechtsgrundlage hergibt Lit. Hier wird noch auf den BSI Standard verwiesen. Dieser ist unserer Wahrnehmung nach seit Oktober 2017 durch den Standard abgelöst. Der Verweise sollte entsprechend angepasst werden Lit. Der Verweis auf die ist falsch benannt (DIN 2008). Zudem wird hier nicht dieselbe Version zitiert, wie weiter oben im Text. Es ist sogar so, dass im Literaturverzeichnis die nicht mehr gültige 2008er bzw. 2005er Version referenziert wird.

23 9. TÜV Hessen GmbH Name Vorname Organisation Jegelka Markus TÜV Technische Überwachung Hessen GmbH 1 4 B.I. In der Fußnote sollte die Norm korrekt zitiert und ggf. der Ausgabestand mit hinzugefügt werden (in diesem Fall wahrscheinlich DIN EN ISO/IEC 27000: bzw. in der jeweils gültigen Fassung). 2 7 C. Die Aufnahme von Schutzstandards für die Energieanlagen ist notwendig, lässt sprachliche Interpretationsspielräume offen und sollte präzisiert werden. 3 7 C. Im IT-Sicherheitskatalog gemäß 11 Absatz 1 a EnWG (für Energienetzbetreiber) wurde ein Netzstrukturplan gefordert. Dieses Konzept könnte mit Bezugnahme auf die genannten Zonen auch im IT-Sicherheitskatalog gemäß 11 Absatz 1 b EnWG für Energieanlagen aufgegriffen werden D.II Für die unterschiedlichen Anlagentypen im Bereich der als Kritische Infrastruktur festgelegten Energieanlagen existieren darüber hinaus Leitlinien und Normen, die als Handlungsempfehlungen bei der Umsetzung des ISMS eine Hilfestellung geben können. Der Hinweis auf diese Handlungsempfehlungen sollte spezifiziert werden D.IV Ziel dieses Prozesses ist es festzustellen, welches Risiko im Hinblick auf die Schutzziele für die von diesem Katalog erfassten Anwendungen, Systeme und Komponenten besteht. Hier sollte zwecks Präzisierung nochmal der Bezug zum Zonenmodell entsprechend Fussnote 2 in G C, 4. Absatz (S. 7) mit dem Begriff der Zone als eine Klassifizierung von Anwendungen, Systemen und Komponenten einer Energieanlage hinsichtlich ihrer Bedeutung für den sicheren Anlagenbetrieb hergestellt werden.

24 6 13 D.IV Die Forderung D.IV 1. Die Risikoeinschätzung hat sich an den Schadenskategorien. zu orientieren. Für die Anwendungen, Systeme und Komponenten, die für einen sicheren Anlagenbetrieb notwendig sind, ist grundsätzlich von einer Einstufung in die Kategorie hoch auszugehen sollte klarer im Normkontext formuliert werden, da die o.g. Formulierung Interpretationen in der Anwendung zulässt! Der Verweis auf Anwendungen, Systemen und Komponenten, die für einen sicheren Anlagenbetrieb notwendig sind, wird durch die Fussnote 2 in G C, 4. Absatz (S. 7) mit dem Begriff der Zone als eine Klassifizierung von Anwendungen, Systemen und Komponenten einer Energieanlage hinsichtlich ihrer Bedeutung für den sicheren Anlagenbetrieb präzisiert. Mit der Zonen-Klassifizierung von Anwendungen, Systemen und Komponenten wird bereits eine Einstufung der Bedeutung für den sicheren Anlagenbetrieb vorgenommen, z.b. Zone 1: Zwingend notwendig für den sicheren Betrieb der Energieanlage. Damit wird der Rahmen für die Bewertung der potenziellen Auswirkungen ( impact ) bei Eintritt der identifizierten Risiken nach d) 1) [der DIN EN ISO/IEC 27001:2017] durch die Zonenzuordnung vorgegeben. Aus der Zonen-Klassifizierung leiten sich in G D.IV.1 die Schadenskategorien [ kritisch, hoch, mäßig, gering, gering ] ab. Die Zone als Klassifizierung sollte mit Verweis auf die Maßnahme A der DIN EN ISO/IEC 27001:2017 für alle Anwendungen, Systeme und Komponenten, die für einen sicheren Anlagenbetrieb notwendig sind, umgesetzt werden. Die Schadenskategorien würden sich dann aus dieser Zonen -Klassifizierung sinnvoll ableiten. Durch diese Präzisierung ließe sich stimmig die in G C geforderte Einteilung bzw. Klassifizierung aller in der Energieanlage eingesetzten TK- und EDV-Systeme in eine der Zonen 1 bis 6 in der Inventarisierung der Werte (gemäß Maßnahme A der DIN EN ISO/IEC 27001:2017) mit der Zuordnung zu den Schadenskategorien verbinden.

25 7 14 D.IV Die Forderung D.IV 2. Bei der Einstufung in die Schadenskategorien sind durch den Anlagenbetreiber mindestens die folgenden (6) Kriterien zu berücksichtigen ist generell unscharf! Besser wäre eine Formulierung i.d.s.: Bei der Bewertung der potenziellen Auswirkungen bei Eintritt der identifizierten Risiken gem. Kapitel d) 1) [der DIN EN ISO/IEC 27001:2017] sind durch den Anlagenbetreiber mindestens die folgenden (6) Kriterien zu beachten. Hier sollten die Kriterien konkretisiert werden, insbesondere bezogen auf Erzeugungsanlagen und Gasspeicher, z.b. o Versorgungssicherheit (=Systemrelevanz Netzbetrieb) o Energielieferung (=Marktrelevanz) o Betroffener Bevölkerungsanteil (für Erzeugungsanlagen und Gasspeicher wenig sinnvoll, da Verteilung der erzeugten Energie über Netze erfolgt und keine unmittelbare Zuordnung von Bevölkerungsanteilen auf die Erzeugungsanlage möglich ist. Besser wäre das Bemessungskriterium gemäß BSI-KritisV Anh. 1, Teil 3 Anlagenkategorien und Schwellwerte ) o Gefährdung für Leib und Leben (=Anlagensicherheit) o Gefährdung für Datensicherheit und Datenschutz durch Offenlegung und Manipulation (ob Datenschutz im Scope dieses IT-Sikat anzuwenden ist, sollte geprüft werden) o Finanzielle Auswirkungen (=Wiederbeschaffungswert) 8 14 D.IV Die nachfolgende Forderung dieses IT-Sikat (Konsultationsentwurf) sollte sprachlich präzisiert werden:

26 15 Bei der Ermittlung der Risiken für die Anwendungen, Systeme und Komponenten, die für einen sicheren Anlagenbetrieb notwendig sind, ist zu beachten, dass deren Sicherheit einerseits durch vorsätzliche Handlungen bedroht wird Hier sollte die Nomenklatur der ISO/IEC verwendet werden, die Bedrohungen (threats) definiert. auf der anderen Seite aber auch nicht vorsätzliche Gefährdungen aus den folgenden Kategorien zu berücksichtigen Hier sollte die Nomenklatur der der ISO/IEC verwendet werden, die Bedrohungen (threats) und Schwachstellen (vulnerabilities) unterscheidet. o Elementare Gefährungen (=Bedrohungen) o Höhere Gewalt (=Bedrohungen) o Organisatorische Mängel (=Schwachstelle) o Menschliche Fehlhandlungen (=Schwachstelle) o Technisches Versagen (=Schwachstelle) o Versagen oder Beeinträchtigung anderer für die Anlagensteuerung relevanter Infrastrukturen und externer Dienstleistungen (=mögliche Folgen bei Eintritt der nach c) 1) der der ISO/IEC identifizierten Risiken) o Ungezielte Angriffe (=Bedrohung) und Irrläufer (=Schwachstelle) von Schadsoftware (=Bedrohung) Der Begriff der nicht vorsätzlichen Gefährdungen kommt aus dem BSI-Grundschutz und führt im Kontext der Normen zur ISO/IEC zu Verwirrung. Anmerkung: Im BSI-Glossar ist Gefährdung (englisch "applied threat") wie folgt definiert: Eine Gefährdung ist eine Bedrohung, die konkret über eine Schwachstelle auf ein Objekt einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt Lit.- verz. Die einzelnen Normen sollten fehlerfrei mit ihrem aktuellen Ausgabestand zitiert werden. Insbesondere DIN 2008 erscheint in diesem Zusammenhang fehlerhaft.

27 10. Forum Netztechnik im Verband der Elektrotechnik, Elektronik und Informationstechnik e.v. Name Vorname Organisation Bauer Finja Forum Netztechnik/Netzbetrieb im VDE (FNN) 1 3 A Problem: Es ist keine deutliche Abgrenzung der IT-Sicherheitskataloge untereinander vorhanden. Damit besteht das Risiko, dass beide Sicherheitskataloge gleichzeitig anzuwenden sind (Doppelregulierung). Vorschlag: Es sollte eine Klarstellung des Verhältnisses des nun zu erstellenden IT-Sicherheitskatalogs nach 11 Abs. 1 b EnWG zu dem bereits bestehenden IT-Sicherheitskatalog nach 11 Abs. 1 a EnWG erfolgen. Aus unserer Sicht wäre es sachgerecht, wenn 11 Abs. 1 a EnWG und der darauf aufbauend erlassene IT-Sicherheitskatalog als speziellere Regelung für Netzbetreiber angesehen werden, so dass 11 Abs. 1 b und der IT-Sicherheitskatalog für Energieanlagen auf Netzbetreiber nicht anwendbar sind D. V. Maßnahmen zur Risikobehandlung sind zumindest insoweit umzusetzen, dass lediglich ein als gering zu bewertendes Restrisiko verbleibt. Problem: Eine Risikominderung auf gering wird als nicht machbar angesehen. Vorschlag: gering durch mäßig ersetzen

28 11. UP KRITIS Branchenarbeitskreis Gas Name Vorname Organisation Berdelsmann Lara UP KRITIS, Branchenarbeitskreis Gas 1 3 Gewünschte Klarstellung an geeigneter Stelle, dass für Betreiber von Energieversorgungsnetzen der IT-Sicherheitskatalog nach 11 Abs.1a EnWG Vorrang gegenüber dem IT-Sicherheitskatalog nach 11 Abs.1b EnWG hat und Betreiber von Energieversorgungsnetzen, die bereits nach IT-SiKat gemäß 11 Abs.1a EnWG zertifiziert sind, somit von einer Anwendung des IT-SiKat gemäß 11 Abs. 1b befreit sind und Energieversorgungsnetze (nach Anlagenkategorie gemäß BSI-KritisV) in den Geltungsbereich des IT-SiKat gemäß 11 Abs. 1a EnWG fallen. 2 7 C. Dabei sind sowohl Systeme, [ ], als auch Büro- und Verwaltungsinformationssysteme zu berücksichtigen. Hier wird von den Anlagenbetreibern mehr gefordert als von den Betreibern von Energieversorgungsnetzen nach IT-SiKat gemäß 11 Abs. 1a EnWG. Inwiefern ist es sinnvoll alle TK und EDV Systeme in 6 Zonen einzuteilen zu müssen, wenn das ISMS anschließend Anwendung auf die Zonen 1-3 findet. Es erscheint sinnvoll die personellen Ressourcen ausschließlich für die Identifikation und Zuordnung der TK und EDV Systeme, die direkt oder indirekt für sicheren Anlagenbetrieb notwendig sind, einzusetzen und somit eine Zuordnung zu den Zonen 1-3 vorzusehen. 3 9 C, Abbil dung 1 Die pauschale Zuordnung des Dispatchings zur Zone 3 steht nicht im Einklang mit dem Schutzziel des 11 Abs. 1b EnWG, einen sicheren Anlagenbetrieb zu gewährleisten. Vielmehr ist diesbezüglich zu differenzieren. Ein zentrales Dispatching ist nur dann für den sicheren Anlagenbetrieb notwendig, wenn es technisch für die Steuerung einer dezentralen Energieanlage zwingend erforderlich ist (z.b. bei komplexen Gasnetzen). Anderenfalls ist nur die Schnittstelle der Energieanlage zum Dispatching im Rahmen des ISMS zu betrachten und das Dispatching selbst der Zone 4 zuzuordnen, da ein sicherer Anlagenbetrieb auch bei Ausfall des zentralen Dispatchings über die lokalen Leitstände möglich ist. Dies ist zum Beispiel regelmäßig bei Gasspeichern der Fall. In Abbildung 1 sollte daher bei der Zonenzuordnung zwischen Dispatching mit technisch notwendiger Steuerungsfunktion in Zone 3 und Dispatching ohne technisch notwenige Steuerungsfunktion in Zone 4 unterschieden werden Das Kriterium Finanzielle Auswirkungen wurde in Vorbesprechungen mit den Anlagenbetreibern und der BNetzA ausgeschlossen. Hier besteht der Wunsch dieses Kriterium ersatzlos zu streichen, da der IT-Sicherheitskatalog mit Blick auf Kritische Infrastrukturen einen anderen Fokus hat E, II. Im vorliegenden Entwurf ist eine Umsetzungsfrist von 1,5 Jahren ab der Veröffentlichung des IT-Sicherheitskataloges vorgesehen.

29 Der IT-Sicherheitskatalog für Betreiber von Energieversorgungsnetzen hat eine Umsetzungsfrist von 2 Jahren vorgesehen, der BAK Gas empfiehlt die Umsetzungsfrist für Anlagenbetreiber nicht auf 1,5 Jahre zu verkürzen.

30 12. Bundesverband der Energie- und Wasserwirtschaft e.v. & VGB PowerTech e.v. Name Vorname Organisation Tidten Kay Kaiser Jörg BDEW Bundesverband der Energieund Wasserwirtschaft e.v. VGB Powertech e.v. (ggf. mit Angabe, ob nur auf den Elektrizitäts- oder Gasbereich bezogen) 1 3 A Die Einleitung gibt korrekt wieder, dass der vorliegende IT-Sicherheitskatalog nach 11 Abs. 1b EnWG für Betreiber von Energieanlagen verpflichtend ist, die gemäß der BSI-KritisV als Kritische Infrastruktur bestimmt wurden. Gemäß 3 15 EnWG sind Energieanlagen definiert als Anlagen zur Erzeugung, Speicherung, Fortleitung und Abgabe von Energie [Strom und Gas]. Nach Kenntnis von BDEW/VGB trifft diese Definition zunächst auf folgende Anlagenkategorien gemäß BSI-KritisV zu: 1. Stromversorgung: Erzeugungsanlage Erzeugungsanlage mit Wärmeauskopplung (KWK-Anlage) Dezentrale Energieerzeugungsanlage Speicheranlage Übertragungsnetz Verteilernetz 2. Gasversorgung: Gasförderanlage Gasspeicher Fernleitungsnetz Gasverteilernetz Nach Einschätzung von BDEW/VGB, die auch mündlich von der Regulierungsbehörde bereits bestätigt wurde, hat für Betreiber von Energieversorgungsnetzen der IT-Sicherheitskatalog nach 11 Abs.1a EnWG Vorrang gegenüber dem IT-Sicherheits-

31 (ggf. mit Angabe, ob nur auf den Elektrizitäts- oder Gasbereich bezogen) katalog nach 11 Abs. 1b EnWG, da dieser die speziellere Regelung darstellt. Somit ist der vorliegende IT-Sicherheits-katalog gemäß 11 Abs. 1b EnWG für Betreiber von Energieversorgungsnetzen nicht verpflichtend. Dies sollte in Form einer Klarstellung an prominenter Stelle, beispielsweise in der Einleitung und/oder im Geltungsbereich unter C, erläutert werden. Um weiterhin Missverständnisse für Betreiber von Energieanlagen zu vermeiden, empfehlen BDEW/VGB, die Anlagenkategorien gemäß BSI-KritisV, für welche der vorliegende IT-Sicherheitskatalog nach 11 Abs. 1b EnWG bei Überschreiten der Schwellenwerte verpflichtend ist, an prominenter Stelle, beispielsweise in der Einleitung oder im Geltungsbereich unter C, klar zu benennen. 2 3 A Die Einleitung ist stark an der Bedeutung von Energieversorgungsnetzen orientiert, und auch die Sicherheitsanforderungen, die (Betreiber von) Energieanlagen zu treffen haben, sind auf eine Vermeidung möglicher Gefährdungen des sicheren Netzbetriebs ausgerichtet. 11 Abs. 1b EnWG spricht jedoch von einem angemessenen Schutz, der für einen sicheren Anlagenbetrieb notwendig ist. Da Betreiber von Energieanlagen, insbesondere von Erzeugungsanlagen sowie Gasspeichern, jedoch nicht für einen sicheren Netzbetrieb verantwortlich gemacht werden können, sollten diese Formulierungen an die gesetzliche Grundlage des 11 Abs. 1b EnWG angepasst werden und auf einen sicheren Anlagenbetrieb abstellen. 3 3 A Im ersten Absatz wird von einer intakten Informations- und Telekommunikationstechnologie (IKT) gesprochen, im weiteren Verlauf des Dokumentes hingegen vom Schutz gegen Bedrohungen für Telekommunikations- und EDV-Systeme. Der Begriff EDV wird im üblichen Sprachgebrauch in der Branche seit geraumer Zeit nicht mehr verwendet. Um innerhalb des IT-Sicherheitskatalogs konsistente Begriffsbezeichnungen zu verwenden und dabei auch mit der Formulierung im 11 Abs. 1b EnWG übereinzustimmen, wird folgendes Verfahren vorgeschlagen: Verwendung des Begriffs Informations- und Telekommunikationstechnologie (IKT) im gesamten Dokument mit einem Hinweis beim ersten Auftreten, dass dies gleichbedeutend ist mit dem Begriff aus 11 Abs. 1b EnWG Telekommunikationsund elektronische Datenverarbeitungssysteme. 4 3 A S. 3, zweiter Absatz, Satz 3: Bitte neu einfügen: Betreiber von Energieanlagen. Begründung: Die Energieanlagen selbst sind Gegenstände, die nicht zu Sicherheitsmaßnahmen verpflichtet werden können. 5 5 B I Gemäß 11 Abs. 1b EnWG sind durch Betreiber von Energieanlagen Maßnahmen für einen angemessenen Schutz zu treffen, der für einen sicheren Anlagenbetrieb notwendig ist. Im ersten Absatz auf S. 5 des vorliegenden IT-Sicherheitskatalogs ist jedoch vorgesehen, dass in die Ermittlung des

32 (ggf. mit Angabe, ob nur auf den Elektrizitäts- oder Gasbereich bezogen) individuellen Schutzbedarfs sowohl Risiken für den Anlagenbetrieb als auch Risiken für die Sicherheit verbundener Energieversorgungsnetze einzubeziehen sind. Es ist unklar, wie die Einschätzung bezüglich Risiken für die Sicherheit verbundener Energieversorgungsnetze durch einen Energieanlagenbetreiber erfolgen soll - die Einschätzung könnte auch von den Erfordernissen des Netzbetreibers abweichen. Durch Betreiber können nur Risiken betrachtet werden, die auch selbst beeinflusst werden können. Bezüglich der Sicherheit verbundener Energieversorgungsnetze ist dies weder technisch noch durch Verträge möglich. Es kann seitens der Anlagenbetreiber nur die Schnittstelle zu Energieversorgungsnetzen betrachtet werden. Formulierungsvorschlag: In die Ermittlung des individuellen Schutzbedarfs sind sowohl Risiken für den Anlagenbetrieb als auch die IKT-Schnittstelle verbundener Energieversorgungsnetze einzubeziehen. 6 5 B I Im ersten Absatz wird empfohlen, auf den Schutzbedarf der zu schützenden IT-Systeme der Anlage abzustellen und nicht auf die Anlagen selbst: Die Angemessenheit der durchzuführenden Maßnahmen ist vom individuellen Schutzbedarf der zu schützenden Systeme und Daten der jeweiligen Anlage unter Berücksichtigung der allgemeinen und besonderen Schutzziele abhängig. 7 5 B I Der Katalog sieht vor, dass die Verantwortung für die Erfüllung der Schutzziele der Anlagenbetreiber trägt, auch wenn er sich hierzu Dritter bedient. Auch die BSI-KritisV stellt auf den Begriff des Betreibers ab. Gemäß der Begründung der BSI-KritisV macht sich der Betreiberbegriff das immissionsschutzrechtliche Verständnis zu Eigen. Betreiber ist demnach, wer weisungsfrei und selbständig über die Anlage oder Teile davon verfügen kann. Das ist regelmäßig derjenige, der die tatsächliche Sachherrschaft über die Anlage besitzt. Die tatsächliche Sachherrschaft bzw. im Anwendungsbereich des TKG die Funktionsherrschaft geht meist mit der rechtlichen Verfügungsgewalt einher. Auf die Eigentümerstellung kommt es hingegen nicht an. Betreiber im Sinne von Nummer 2 ist, wer die Verfügungsgewalt in eigener Verantwortung ausübt.(...)" BDEW und VGB sind Fälle bekannt, bei denen auch nach Anfragen bei zuständigen Bundesbehörden nicht geklärt werden konnte, wer in bestimmten Konstrukten als Betreiber zur Umsetzung von Maßnahmen verpflichtet ist. Im folgenden Beispiel ist bislang nicht geklärt, ob der Betreiber gleichzusetzen ist mit dem Genehmigungsinhaber oder dem Betriebsführer: - Unternehmen A ist Betriebsführerin einer Energieanlage im Rahmen eines Betriebsführungsvertrags einer Anlage von Unternehmen B. - Unternehmen B ist Eigentümerin der Anlage. BDEW/VGB bitten daher um eine genauere Definition des Begriffs Anlagenbetreiber. 8 5 B I Bezüglich der Verantwortung für die Erfüllung der Schutzziele wird um eine Klarstellung gebeten, wie zu verfahren ist, wenn Teile der Infrastruktur im Ausland liegen. Insbesondere ist hierbei aktuell nicht klar, ob diese Teile ebenfalls der verpflichtenden Zertifizierung unterliegen.