Energiewirtschaft und Digitalisierung

Transkript

1 Energiewirtschaft und Digitalisierung KRITIS und IT-Sicherheitsgesetz Dr. Söntje Hilberg LL.M., Deloitte Legal

2 Inhalt Worum geht es? Welche Gesetze sind für die IT-Sicherheit von KRITIS im Energiesektor relevant? Was sind kritische Infrastrukturen des Energiesektors? KRITIS im Energiesektor Welche Verpflichtungen bestehen? Kontakt 2016 Deloitte 2

3 Worum geht es? 2016 Deloitte 3

4 Worum geht es? Sichere IT-Systeme in kritischen Infrastrukturen KRITIS Zentrale Bedeutung bestimmter Versorgungsstrukturen für das Funktionieren des Gemeinwesens (kritische Infrastrukturen KRITIS), z.b. Energieversorgung Digitalisierung Digitalisierung und Vernetzung führen zu einer zunehmenden Abhängigkeit der KRITIS von einer intakten Informations- und Kommunikationstechnologie (ITK) IT-Sicherheit Strenge gesetzliche Vorgaben zum Schutz der ITK-Systeme von KRITIS Bedrohung Zunehmende Bedrohung der ITK- Systeme von KRITIS durch zielgerichtete Angriffe gefährdet die Versorgung der Allgemeinheit und das Funktionieren des Gemeinwesens 2016 Deloitte 4

5 Welche Gesetze sind für die IT-Sicherheit von kritischen Infrastrukturen im Energiesektor relevant? 2016 Deloitte 5

6 Welche Gesetze sind für die IT-Sicherheit von KRITIS im Energiesektor relevant? Überblick BSI-Gesetz Insb. 2 (Definitionen), 8a bis 8b (Pflichten von Betreibern Kritischer Infrastrukturen), 8 c (Anwendungsbereich), 14 (Bußgeldvorschriften) BSI-KritisV Insb. 1 Begriffsbestimmungen, 2 (Bestimmung der kritischen Infrastrukturen im Sektor Energie), Anhang 1 (Anlagenkategorien und Schwellenwerte im Sektor Energie) EnWG Insb. 11 Abs. 1 a bis c (Pflichten von Betreibern von Energieversorgungsnetzen und Energieanlagen zum Schutz von ITK Anlagen) IT-Sicherheitskatalog der Bundesnetzagentur zu 11 Abs. 1 a EnWG Weitere Gesetze z.b. Messstellenbetriebsgesetz (MsbG), Atomgesetz (AtG) IT-Sicherheitsgesetz Änderungen u.a. im BSIG, im EnWG, im AtG, TKG und TMG Neue Verpflichtungen der Betreiber kritischer Infrastrukturen, insb.: Ziele Einhaltung eines Mindestniveaus an IT-Sicherheit Nachweis der Erfüllung durch Sicherheitsaudits Verfahren für die Meldung von IT- Sicherheitsvorfällen an das BSI Betrieb einer Kontaktstelle Hoher Sicherheitsstandard von IT- Systemen Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Systeme 2016 Deloitte 6

7 Was sind Kritische Infrastrukturen des Energiesektors? 2016 Deloitte 7

8 Was sind Kritische Infrastrukturen des Energiesektors? Allgemeine Definition Einrichtungen Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und KRITIS ( 2 Abs. 10 BSIG) von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden Deloitte 8

9 Was sind kritische Infrastrukturen des Energiesektors? Definition und Konkretisierung durch die BSI Kritisverordnung I. Kritische Dienstleistung BSI KRITIS Verordnung Kritische Infrastruktur III. Bedeutender Versorgungsgrad II. Betriebsnotwendige Anlage 2016 Deloitte 9

10 Was sind kritische Infrastrukturen des Energiesektors? I. Kritische Dienstleistungen 2 Abs. 1 BSI KritisV: Versorgung der Allgemeinheit mit Elektrizität (Erzeugung, Übertragung, Verteilung) Gas (Förderung, Transport, Verteilung) Kraftstoff und Heizöl (Rohölforderung, Produktherstellung, Öltransport, Kraftstoff- und Heizölverteilung) Fernwärme (Erzeugung, Verteilung) 2016 Deloitte 10

11 Was sind kritische Infrastrukturen des Energiesektors? II. Betriebsnotwendige Anlagen Anlagen 1 Abs. 1 BSI KritisV Ortsfeste Einrichtungen Ortsveränderliche Einrichtungen Betriebstechnisch zusammenhängende Teile sonstige Geräte sonstige Betriebsstätten Maschinen Anlagenteile Verfahrensschritte Nebeneinrichtungen die für die Erbringung einer kritischen Dienstleistung notwendig sind Nicht dazu gehören: Anlagen für betriebsinterne Prozesse, die nicht der Versorgung der Allgemeinheit dienen (z.b. Anlagen zur Selbstversorgung innerhalb eines Konzernverbunds) Notversorgungsanlagen 2016 Deloitte 11

12 Was sind kritische Infrastrukturen des Energiesektors? II. Betriebsnotwendige Anlagen Stromversorgung Gasversorgung Kraft- und Heizölversorgung Fernwärmeversorgung Erzeugungsanlagen Erzeugungsanlagen mit Wärmeauskopplung (KWK) Dezentrale Energieerzeugungsanlagen Speicheranlagen Anlagen oder Systeme zur Steuerung und Bündelung elektrischer Leistung Übertragungsnetze Zentrale Anlagen und Systeme für den Stromhandel, die den physischen kurzfristigen Spothandel und das deutsche Marktgebiet betreffen Verteilernetze Messstellen Gasförderanlagen Gasspeicher Gastransport Fernleitungsnetz Gasverteilernetz Ölförderanlagen Raffinerien Mineralölfernleitungen Öl- und Produktenlager Anlagen und Systeme von Aggregatoren zum Vertrieb von Kraftstoff Tankstellennetze Heizwerke Heizkraftwerke Fernwärmenetze Anlagenkategorien gemäß Anhang 1 Teil 3 BSI KritisV Deloitte 2016

13 Was sind kritische Infrastrukturen des Energiesektors? III. Bedeutender Versorgungsgrad Versorgungsgrad Bestimmt, welchen Anteil die Anlage oder der Teil der Anlage an der Versorgung der Allgemeinheit mit einer kritischen Dienstleistung hat. Der Versorgungsgrad ist dann bedeutend, wenn der für die jeweilige Anlagenkategorie in Anlage 1 Teil 3 Spalte D BSI KritisV genannte Schwellenwert erreicht oder überschritten wird. Die Schwellenwerte wurden anhand des durchschnittlichen Verbrauchs bzw. der durchschnittlichen Produktionsmenge berechnet. Sie entsprechen der Versorgung von Personen durch die Anlage. Anlagen gleicher Art, die in einem engen räumlichen und betrieblichen Zusammenhang stehen, gelten als gemeinsame Anlage. Die gemeinsame Anlage ist KRITIS, wenn die dazugehörigen Anlagen zusammen den Schwellenwert erreichen Deloitte 13

14 KRITIS im Energiesektor Welche Verpflichtungen bestehen? 2016 Deloitte 14

15 KRITIS im Energiesektor - Welche Verpflichtungen bestehen? Wer hat welche Pflichten Betreiber von Energieversorgungsnetzen (Gas, Strom) Alle: 11 Abs. 1 a EnWG Schutz der ITK Systeme nach IT-Sicherheitskatalog der BNetzA (bis ) und Zertifizierung Ansprechpartner IT-Sicherheit KRITIS: 11 Abs. 1 a und 1 c EnWG Schutz der ITK-Systeme nach IT-Sicherheitskatalog der BNetzA (bis ) und Zertifizierung Ansprechpartner IT-Sicherheit» Meldepflicht Betreiber von Energieanlagen (Gas, Strom) KRITIS: 11 Abs. 1 b und 1 c EnWG Schutz der ITK-Systeme nach den Vorgaben der Bundesnetzagentur (noch nicht veröffentlicht, wahrscheinlich bis Mitte 2018) und Nachweis (z.b. durch Audits und Zertifizierungen) Ansprechpartner IT-Sicherheit Meldepflicht Betreiber sonstiger Anlagen aus dem Energiesektor (z.b. Fernwärme, Mineralöl, Stein- und Braunkohle, Biomasse) Ausnahme: Atomanlagen, es gelten die spezifischen Vorschriften des AtG! KRITIS: 8 a, b BSIG Angemessener Schutz der ITK-Systeme nach dem Stand der Technik (bis April 2018) + alle 2 Jahre Nachweis (z.b. durch Audits und Zertifizierungen) Kontaktstelle, ggf. ggf. übergeordnete Ansprechstelle Meldepflicht 2016 Deloitte 15

16 KRITIS im Energiesektor - Welche Verpflichtungen bestehen? Schutz der ITK-Systeme Vorbereitung, Umsetzung und Nachweis I. Technische Analyse II. Anforderungsanalyse III. Umsetzung IV. Prüfung 1. Welche Anlagen sind KRITIS? 1. Welche branchenspezifischen Anforderungen bestehen an IT- Sicherheit (z.b. IT- Sicherheitskatalog der BNetzA, 2. Welche Komponenten und ISO IEC TR 27019) Prozesse sind für den Betrieb der Anlage relevant? 3. Welche technischen Systeme und Anwendungen sind Bestandteil von 2.? Wie sind sie vernetzt? 2. Welche allgemeinen Anforderungen bestehen an IT- Sicherheit (z.b. ISO 27001, BSI Grund-schutz 1. Entwicklung einer IT- Sicherheitsstrategie anhand der Ergebnisse von I. und II. 2. Entwicklung einer Strategie zur Erkennung und Analyse von Sicherheitsvorfällen, sowie zum Vorgehen bei Sicherheitsvorfällen 3. Festlegung von Meldewegen intern und extern mit dem BSI bzw. der BNetzA 1. Fortlaufendes Review der Sicherheitsmaßnahmen durch Audits 2. Bericht an das Management 3. Fortlaufende Anpassung und Verbesserung der Sicherheitsmaßnahmen 4. Welche Risiken bestehen? 3. Welche Anlagenspezifischen Anforderungen bestehen? 4. Umsetzung der technischen und organisatorischen Maßnahmen, die in 1. bis 3. festgelegt wurden 5. Wie können die Risiken minimiert werden? 5. Erstellung einer Leitlinie IT- Sicherheit Dokumentationspflicht Nachweispflicht (z.b. Audits, Prüfungen, Zertifizierungen) mind. alle 2 Jahre! 2016 Deloitte 16

17 KRITIS im Energiesektor Welche Verpflichtungen bestehen? Schutz der ITK-Systeme - TOMs Datensicherung Organisation, Outsourcing Datenschutz Personal Virenschutz Geeignete und angemessene Maßnahmen nach dem Stand der Technik Schulung und Sensibilisierung IT-Sicherheit Themenbereiche nach BSI Standard Schutz der Informationsverarbeitung Hard- und Softwareentwicklung Incident handling Notfallvorsorge, Notfallmanagement 2016 Deloitte 17

18 KRITIS im Energiesektor Welche Verpflichtungen bestehen? Inhalt der Meldepflicht WER Betreiber von Energieversorgungsnetzen und Energieanlagen, die als kritische Infrastruktur einzustufen sind. Betreiber von sonstigen Anlagen im Energiesektor, die als kritische Infrastruktur einzustufen sind. WANN» aus. Erst recht gemeldet werden müssen selbstverständlich solche Vorfälle, bei denen tatsächlich die Funktionsfähigkeit beeinträchtigt wurde. gemeldet werden. erhebliche Störung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse, die zu einer Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes geführt hat oder dazu führen kann. WAS Angaben zu der Störung, den technischen Rahmenbedingungen, der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, dem Betreiber, sofern die Störung zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat Deloitte 18

19 Kontakt Dr. Söntje Julia Hilberg, LL.M. Head of IT Law Tel Mobile Deloitte 19

20 Deloitte Legal bezieht sich auf die Rechtsberatungspraxen der Mitgliedsunternehmen von Deloitte Touche Tohmatsu Limited, deren verbundene Unternehmen oder Partnerfirmen, die Rechtsdienstleistungen erbringen. Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited ( DTTL ), eine private company limited by guarantee (Gesellschaft mit beschränkter Haftung nach britischem Recht), ihr Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständig und unabhängig. DTTL (auch Deloitte Global genannt) erbringt selbst keine Leistungen gegenüber Mandanten. Eine detailliertere Beschreibung von DTTL und ihren Mitgliedsunternehmen finden Sie auf Deloitte erbringt Dienstleistungen in den Bereichen Wirtschaftsprüfung, Steuerberatung, Financial Advisory und Consulting für Unternehmen und Institutionen aus allen Wirtschaftszweigen; Rechtsberatung wird in Deutschland von Deloitte Legal erbracht. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und unterstützt Kunden bei der Lösung ihrer komplexen unternehmerischen Herausforderungen. Making an impact that matters für mehr als Mitarbeiter von Deloitte ist dies gemeinsames Leitbild und individueller Anspruch zugleich. Diese Veröffentlichung enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen des Einzelfalls gerecht zu werden und ist nicht dazu bestimmt, Grundlage für wirtschaftliche oder sonstige Entscheidungen zu sein. Weder die Deloitte Legal Rechtsanwaltsgesellschaft mbh noch Deloitte Touche Tohmatsu Limited, noch ihre Mitgliedsunternehmen oder deren verbundene Unternehmen (insgesamt das Deloitte Netzwerk ) erbringen mittels dieser Veröffentlichung professionelle Beratungs- oder Dienstleistungen. Keines der Mitgliedsunternehmen des Deloitte Netzwerks ist verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Veröffentlichung erlitten hat.