Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber

Transkript

1 Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber Alexander Frechen, Referent Energieregulierung DAkkS Akkreditierungskonferenz 2016 Berlin, 7. Juni

2 Agenda 1. Die Bedeutung der IT-Sicherheit für den Energiesektor 2. Rechtliche Grundlagen und Anforderungen 3. Der IT-Sicherheitskatalog, 11 Absatz 1a EnWG 4. Umsetzung und Zertifizierung 5. Konformitätsbewertungsprogramm und Akkreditierung 6. Fazit und Ausblick 2

3 Die Bundesnetzagentur (BNetzA) Bundesoberbehörde im Geschäftsbereich des Bundesministeriums für Wirtschaft und Energie mit Hauptsitz in Bonn Zentrale Bundesregulierungsbehörde für die netzgebundenen Wirtschaftssektoren Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen Aufgabe: Förderung eines chancengleichen und wirksamen Wettbewerbs in den regulierten Sektoren und Gewährleistung eines diskriminierungsfreien Netzzugangs zu fairen Bedingungen und effizienten Netznutzungsentgelten 3

4 I. Die Bedeutung der IT-Sicherheit für den Energiesektor Unsere moderne Gesellschaft ist in hohem Maße von einer funktionierenden Energieversorgung abhängig. Fehlen Strom und Gas, kommt das öffentliche Leben innerhalb kürzester Zeit zum Erliegen und lebensnotwendige Dienstleistungen können nicht mehr erbracht werden. Gleichzeitig ist die Funktionsfähigkeit der Energieversorgung schon heute und künftig umso mehr von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig. Mit der wachsenden Abhängigkeit von diesen Systemen gehen bei Cyberattacken aber auch Risiken für die Versorgungssicherheit einher, so dass die Bedeutung der IT-Sicherheit sehr groß ist. Dies gilt vor allem für einen sicheren Netzbetrieb, dessen Steuerung oftmals IKT-basiert erfolgt und zunehmend auf der Erhebung und Übertragung steuerungsrelevanter Daten und Messwerte aufbaut. 4

5 II. Rechtliche Grundlagen und Anforderungen Mit der zunehmenden digitalen Durchdringung unseres Lebens wird Cyber-Sicherheit immer mehr zu einem zentralen Baustein der Inneren Sicherheit in unserem Land. Unser Ziel ist es daher, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit gehören. (Bundesinnenminister De Maizière bei der Verabschiedung des IT- Sicherheitsgesetzes durch den Bundestag am 12. Juni 2015) 5

6 II. Rechtliche Grundlagen und Anforderungen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 Mindeststandards für die IT-Sicherheit von KRITIS-Betreibern Zuständigkeit: BSI Meldepflicht bei IT-Sicherheitsvorfällen gegenüber dem BSI Spezialvorschriften im Energiewirtschaftsgesetz für KRITIS- Betreiber im Energiesektor Zuständigkeit: BNetzA 11 Abs. 1a EnWG: IT-Sicherheitskatalog für Strom- und Gasnetzbetreiber 11 Abs. 1b EnWG: IT-Sicherheitskatalog für bestimmte Energieanlagenbetreiber 11 Abs. 1c EnWG: Meldepflicht für Netz- und Anlagenbetreiber 6

7 III. Der IT-Sicherheitskatalog, 11 Abs. 1a EnWG Veröffentlichung des IT-Sicherheitskatalogs im August 2015 Mindestanforderungen zur Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikationsund EDV-Systeme, die für einen sicheren Netzbetrieb notwendig sind. Kernforderung des IT-Sicherheitskatalogs: Einführung eines Informationssicherheits- Managementsystems nach DIN ISO/IEC Bei der Implementierung sind auch die DIN ISO/IEC und die DIN ISO/IEC TR zu berücksichtigen Erforderlich: Systematische individuelle Risikoanalyse zur Auswahl geeigneter, angemessener und dem allgemein anerkannten Stand der Technik entsprechender Maßnahmen zur Realisierung der informationstechnischen Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit. 7

8 IV. Umsetzung und Zertifizierung Netzbetreiber müssen die Anforderungen aus dem IT- Sicherheitskatalog bis 31. Januar 2018 umsetzen. Der Netzbetreiber ist verpflichtet, die Konformität seines ISMS mit den Anforderungen des IT-Sicherheitskatalogs durch ein Zertifikat zu belegen. Wieso verlangt die BNetzA eine Zertifizierung? Gesetzesgrundlage verlangt regelmäßige Überprüfung der Erfüllung der Sicherheitsanforderungen 900 Stromnetzbetreiber, 700 Gasnetzbetreiber Vergleichbare, transparente und qualifizierte Überprüfung daher nur durch Zertifizierung möglich Native Zertifizierung reicht nicht aus, da Anforderungen des IT-Sicherheitskatalogs über die DIN ISO/IEC hinausgehen. 8

9 V. Konformitätsbewertungsprogramm und Akkreditierung Für die Zertifizierung des IT-Sicherheitskatalogs ist eine Akkreditierung bei der DAkkS erforderlich. Anforderungen, deren Erfüllung eine Zertifizierungsstelle für eine Akkreditierung nachweisen muss, wurden in einem Konformitätsbewertungsprogramm festgelegt. Diskussion und Beschlussfassung im zuständigen DAkkS-Sektorkomitee Informationstechnik Informationssicherheit am 7. März 2016 Veröffentlichung des Konformitätsbewertungsprogramms am 13. April 2016 (abrufbar auf Internetseiten BNetzA und DAkkS) Akkreditierungsanträge möglich 9

10 V. Konformitätsbewertungsprogramm und Akkreditierung Inhalt des Konformitätsbewertungsprogramms: Anforderungen an Zertifizierungsstellen für den IT- Sicherheitskatalog richten sich grundsätzlich nach ISO/IEC und ISO/IEC Darüber hinaus wurden einige ergänzende, konkretisierende bzw. abweichende Regelungen getroffen. Beispiele: Pflicht zur jährlichen Übermittlung aller zertifizierten Unternehmen an die BNetzA Obligatorische sechstägige Schulung der Auditoren zu den Grundlagen der leitungsgebundenen Energieversorgung Einbeziehung eines Fachexperten bei der Prüfung des Scopes und der Risikoeinschätzung (zeitlich begrenzt) Konkretisierung von Auditumfang und -dauer 10

11 VI. Fazit und Ausblick Umsetzungsfrist für den IT-Sicherheitskatalog bis Anfang 2018 knapp bemessen. Zur Erfüllung der Zertifizierungspflicht erwartet die Branche daher, dass akkreditierte Zertifizierungsstellen bald am Markt verfügbar sind. Zusammen mit der DAkkS und dem BSI haben wir die Voraussetzungen dafür in kurzer Zeit geschaffen. BNetzA als Vorreiter: Konformitätsbewertungsprogramm als gutes Beispiel für eine pragmatische Umsetzung weiterer Zertifizierungspflichten aus dem IT-Sicherheitsgesetz (andere KRITIS-Sektoren) Auftrag der BNetzA: Weiterer IT-Sicherheitskatalog für Energieanlagen Herzlichen Dank an die DAkkS und die Vertreter im SK IT-IS! 11

12 Bei Fragen zum IT-Sicherheitskatalog und zur Zertifizierung wenden Sie sich bitte an die -Adresse: