FNN-/DVGW-Hinweis Informationssicherheit in der Energieversorgung Rechtliche Einordnung und Hilfestellungen für die Umsetzung Dezember 2015 in Kooperation mit
Impressum Forum Netztechnik / Netzbetrieb im VDE (FNN) Bismarckstraße 33, 10625 Berlin Telefon: + 49 (0) 30 3838687 0 Fax: + 49 (0) 30 3838687 7 E-Mail: fnn@vde.com Internet: http://www.vde.com/fnn Dezember 2015
Informationssicherheit in der Energieversorgung Rechtliche Einordnung und Hilfestellungen für die Umsetzung
Inhaltsverzeichnis 1 Einleitung... 10 1.1 Bedeutung der Informationssicherheit in der Strom- und Gasversorgung... 10 1.2 Begriffe und wesentliche informatorische Schutzziele... 11 2 Bestehende Initiativen... 14 2.1 Initiativen des Gesetzgebers / Regulators... 14 2.1.1 IT-Sicherheitsgesetz... 14 2.1.2 IT-Sicherheitskatalog... 16 2.1.3 Bundesamt für Sicherheit in der Informationstechnik (BSI) Grundschutz... 18 2.2 Normen und Richtlinien... 19 2.2.1 DIN ISO/IEC 27000er Reihe... 19 2.2.2 IEC 62351... 23 2.3 Weitere Dokumente... 25 2.3.1 BDEW-Whitepaper... 25 3 Bewertung und Einordnung... 27 3.1 Wirksamkeit der bestehenden Regeln... 27 3.2 Schlussfolgerung und Handlungsempfehlung... 27 4 Weiteres Vorgehen für eine ganzheitliche Implementierung im Netzbetrieb... 28 4.1 Managementunterstützung... 30 4.2 Definition des Anwendungsbereiches... 30 4.3 Inventarisierung der Informationswerte... 32 4.4 Risikomanagement (Einschätzung und Behandlung)... 34 4.5 Erklärung der Anwendbarkeit (SOA)... 35 4.6 Planen der operativen ISMS-Einführung... 35 4.7 ISMS Einführungsprogramm (Dokumente)... 36 4.8 Operatives ISMS starten... 36 4.9 Operatives ISMS leben... 36 4.10 Bewertung der Wirksamkeit des ISMS... 37 4.11 Korrekturmaßnahmen... 37 4.12 Probelauf für die Zertifizierung... 37 4.13 Zertifizierungsaudit... 38 5 Anhang... 40 5.1 Checkliste für die Vorbereitung eines ISMS im Unternehmen... 40 5.2 Dokumentation eines ISMS... 43 5.3 Ermittlung Ist-Situation und Anpassungsbedarf Managementrahmen ISO 27001:2013. 47
Abbildungsverzeichnis Abbildung 1 Regelungshierarchie bestehender Initiativen... 14 Abbildung 2 Übersicht Gesetzgebung... 15 Abbildung 3 Zusammenspiel der Normenreihe IEC 62351... 23 Abbildung 4 Prozessablauf eines ISMS-Implementierungs- und Zertifizierungsprozesses... 29 Abbildung 5 ISMS Scope Definition als Top-Down Ansatz... 31 Abbildung 6 Scope des IT-Sicherheitskatalogs nach EnWG 11, Abs. 1a... 32 Tabellenverzeichnis Tabelle 1 Bedrohungskatalog... 35
Abkürzungsverzeichnis Abkürzung ATM Bedeutung/Erläuterung Asynchronous Transfer Mode BNetzA Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen BSIG DAkkS DVGW EMS ENISA EnWG ERP FDDI FNN FTTX GIS ICS IKT ISMS KRITIS MS ND/MD OT PDCA SCADA Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) Deutsche Akkreditierungsstelle GmbH Deutscher Verein des Gas- und Wasserfaches e. V. Entstörmanagementsystem European Network and Information Security Agency Energiewirtschaftsgesetz Enterprise Ressource Planning Fiber Distributed Data Interface Forum Netztechnik/Netzbetrieb im VDE Fiber to the x Geographisches Informationssystem Industrial Control System Informations- und Kommunikationstechnik Informationssicherheits-Managementsystem Kritische Infrastruktur Mittelspannung Niederdruck/Mitteldruck (0 bis 100 mbar bzw. 100 mbar bis 1 bar) Operational Technology Plan Do Check Act Supervisory Control and Data Acquisition
Abkürzung ÜT WAN WFM Bedeutung/Erläuterung Übertragungstechnik Wide Area Network Workforce Management
Vorwort Die Unterstützung durch Informations- und Kommunikationstechnik (IKT) mit der wachsenden Abhängigkeit von Selbigen geht mit Chancen und Risiken einher. Um die Vorteile moderner IKT sicher nutzen zu können, wird ein angemessener Schutz gegen Bedrohungen auch im Bereich des Netzbetriebs der Strom- und Gasversorgung auf unterschiedlichen Ebenen bzw. Druckstufen angestrebt. Neben dem verabschiedeten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) gibt es eine Vielzahl an weiteren Regelungen, Normen und Empfehlungen, deren Ziel es ist, die Informationssicherheit in Energieversorgungsunternehmen zu gewährleisten. 1 Mit dem IT-Sicherheitsgesetz soll Gefährdungen der Informationssicherheit besonders schützenswerter und sogenannter Kritischer Infrastrukturen (KRITIS) wie z. B. Energie- oder Telekommunikationsnetzen wirksam begegnet werden. Im August 2015 wurde zudem der in 11 Abs. 1a EnWG referenzierte IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) veröffentlicht. Der vorliegende IT-Sicherheitskatalog enthält Anforderungen an alle Betreiber von Energienetzen zur Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Parallel dazu werden Normungsaktivitäten und weitere Empfehlungen erarbeitet bzw. aktualisiert, die zunehmend auch dem Thema Netzbetrieb und Netztechnik zuzuordnen sind wie z. B. die DIN ISO/IEC 27000 Normungsreihe und die IEC 62351 Normungsreihe. Das vorliegende Dokument soll eine grundlegende Einordnung der bestehenden Normen und Regelwerke vornehmen, die für den (informationstechnisch) sicheren Netzbetrieb notwendig sind. Darauf aufbauend wurde eine Analyse und ein Ausblick auf den weiteren Handlungsbedarf für die Ausgestaltung einer sicheren Informationstechnik (IT) im Netzbetrieb erarbeitet. Durch die mittlerweile gesetzlich verankerte Kernforderung, der verbindlichen Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß 11 Abs. 1a EnWG, gibt der FNN- /DVGW-Hinweis weitere Hilfestellungen zur Einführung eines ISMS. Der Hinweis richtet sich an Netzbetreiber und Netzserviceunternehmen der Sparten Strom und Gas. Die bestehende Fassung des FNN-Hinweises IT-Sicherheit in Stromnetzen (März 2015) wurde in Zusammenarbeit mit dem DVGW Deutscher Verein des Gas- und Wasserfaches e.v. um die Belange der Gasversorgung erweitert. Die hier dokumentierten Grundlagen können prinzipiell auch für andere Sparten angewandt werden. Fokus dieses Dokuments sind die bestehenden oder absehbar in Kraft tretenden nationalen Normen (inkl. Vornormen), Gesetze und Richtlinien (Stand Dezember 2015). Darüber hinaus existieren weitere Regelwerke, u. a. auf europäischer Ebene (z. B. ENISA), welche nicht Teil der Betrachtungen dieses Dokuments sind. 1 In diesem Zusammenhang sei erwähnt, dass mit der Veröffentlichung des Gesetzesentwurfes zum Digitalisierungsgesetz im Jahr 2015 die Grundlagen für die flächendeckende Einführung von intelligenten Zählern und Messsystemen gelegt wurde. In dem Gesetzespaket werden gleichfalls hohe technische Standards zur Gewährleistung von Datenschutz und Datensicherheit, bereichsspezifischer Datenschutzregeln für die Marktkommunikation sowie Regelungen im Zusammenhang mit dem Einbau von intelligenten Zählern zur Ermöglichung von intelligentem Last- und Erzeugungsmanagement vorgegeben. 8/48 Informationssicherheit in Energienetzen Dezember 2015 VDE FNN