Kritische Infrastruktur in der Wasserwirtschaft Was bedeuten branchenspezifische IT-Sicherheitsstandards für die Wasserversorgungsunternehmen?

Ähnliche Dokumente
Schutz Kritischer Infrastrukturen. PITS - Public-IT-Security Kongress für IT-Sicherheit bei Behörden Berlin, 13. September 2016

IT-Sicherheitsgesetz: Wen betrifft es,

Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

10 Jahre B3S Wasser/Abwasser Wer später anfängt, ist früher fertig! Dr. Ludger Terhart, Emschergenossenschaft/Lippeverband

IT-Sicherheit im Energie-Sektor

Cybersicherheit im Sektor Wasser. Silke Bildhäuser, B.Sc. Bundesamt für Sicherheit in der Informationstechnik

DAS IT-SICHERHEITSGESETZ

Der modernisierte IT-Grundschutz: Chancen für den Branchenstandard Dr. Ludger Terhart, Emschergenossenschaft/ Lippeverband Mitglied im

KRITISCHE INFRASTRUKTUREN

DWA-Regelwerk Merkblatt DWA-M 1060 IT-Sicherheit Branchenstandard Wasser/Abwasser August 2017

Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV)

NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer. DVGW Deutscher Verein des Gas- und Wasserfaches e.v.

Agenda INTELLIGENT. EINFACH. PREMIUM.

Die Umsetzung des ITSicherheitsgesetzes aus Sicht des BSI

Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber

Aktueller Stand der Umsetzung des IT- Sicherheitsgesetz aus Sicht des BSI

ISMS-Einführung in Kliniken

Umsetzung IT-SiG in den Ländern

IT-Sicherheitsgesetz: Welche neuen Pflichten gelten für Unternehmen?

IT Sicherheit Branchenstandard für die Wasserwirtschaft

Rüdiger Gruetz Klinikum Braunschweig Geschäftsbereich IT und Medizintechnik. GMDS-Satellitenveranstaltung

IT-Sicherheitsaudits bei KRITIS-Betreibern: Zusätzliche Prüfverfahrens-Kompetenz für 8a (3) BSIG

Anforderungen an digitale Strukturen in der Energiewirtschaft

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Zertifizierung gemäß ISO/IEC IT-Sicherheitskatalog nach 11 Abs. 1a EnWG

IT-Sicherheitsgesetz und die Umsetzung in der Praxis

Der UP KRITIS und die Umsetzung des IT-Sicherheitsgesetzes

Wie beeinflusst das IT-Sicherheitsgesetz perspektivisch die Zertifizierung von Medizinprodukten?

Workshop 8 Informationssicherheit kritischer Infrastrukturen: Wie schützen wir unsere moderne Gesellschaft?

ERFAHRUNGSBERICHT: PRÜFUNG NACH 8A (3) BSIG AUS PRÜFER- UND KRANKENHAUSSICHT

Energiewirtschaft und Digitalisierung

Kritische Infrastrukturen im Visier von Cyberkriminellen - Erfahrungen und Handlungsempfehlungen

Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

UP KRITIS. Gründungssitzung des BAK Ernährungsindustrie BVE Berlin, Benjamin Lambrecht

Neue Pflicht zu technischorganisatorischen. Vorkehrungen durch 13 Abs. 7 TMG

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

VKU-PRAXISLEITFADEN IT-SICHERHEITSKATALOG

zurückgezogen DVGW-Information GAS Nr. 22 März 2016 INFORMATION Informationssicherheit in der Energieversorgung in Kooperation mit GAS

Umgang mit der KRITIS Wasser bei SWD

Netzsicherheit. Netzsicherheit im Recht Was taugt es für die Praxis. Ing. Mag. Sylvia Mayer, MA

IT-Sicherheitsgesetz: Haben Sie was zu melden?

DVGW-Information. GAS Nr. 22 März Informationssicherheit in der Energieversorgung. in Kooperation mit GAS

IT-Sicherheitsgesetz und nun?

Blick über den Tellerand Erfahrungen der EVU

DIE NEUE IT-SICHERHEITSVERORDNUNG IN DER PRAXIS. Umsetzungspflichten, Standards und Best Practices für die Wasserwirtschaft

Die Datenschutzgrundverordnung verändert alles

Häufige Fragen und Antworten (FAQ) zu 8a BSIG im Rahmen der Orientierungshilfe B3S V0.9 BSI-Entwurf Version 0.5.2, Stand:

KRITIS: Auswirkungen der BSI Verordnung auf die Patientensicherheit in Krankenhäusern

IT-Sicherheit: Neue Gesetze und Regelungen für kritische Infrastrukturen

Standardisierung und Anforderungen an SMGW Administration

Internet, Datennetze und Smartphone

bei einem Flächennetzbetreiber

Die Umsetzung des IT-Sicherheitsgesetzes durch das BSI-Gesetz Auswirkungen auf den Bankenbereich

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

Versicherungsforen-Themendossier

IT-Sicherheitsgesetz

Cybersecurity in der Energiewirtschaft Schlüssel zum Erfolg der Digitalisierung

Auswirkungen des IT-Sicherheitsgesetzes auf den IKT-Sektor

Vom IT-Sicherheitsgesetz bis zur Informationssicherheit ist es nicht weit

So gestalten Sie Ihr Rechenzentrum KRITIS-konform

Sicherheit für Ihre Geodaten

zum Stand der Diskussion

Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um?

Stellungnahme. des Gesamtverbandes der Deutschen Versicherungswirtschaft

Herstellerübergreifendes Prozessleitsystem für Kläranlagen

IT-Sicherheitsrechtstag 2017

Inhalt. 2. IT-Compliance für Banken und Sparkassen (Überblick) 1. Kurze Vorstellung der Haspa

IT-Sicherheitsrecht. Nationale und internationale Rahmenbedingungen

Die Modernisierung des IT-Grundschutzes

Dr. Dennis Kenji Kipker Dipl. Ing. Sven Müller. Dipl Ing Sven Müller. Gefördert vom FKZ: 16KIS0213 bis 16KIS0216

SICIA SECURITY INDICATORS FOR CRITICAL INFRASTRUCTURE ANALYSIS

Maritime Cyber Risk Management Seeschifffahrtssicherheitskonferenz 2017

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

NIS-RL und die Umsetzung im NISG

DVGW-Information. GAS Nr. 22 März Informationssicherheit in der Energieversorgung. in Kooperation mit

Regensburg, 18. Oktober 2017 Michael Berger

Neues vom IT-Grundschutz: Ausblick und Modernisierung

RmCU V 4.0 DIN Rail RmCU V 3.4 DIN Rail / Compact

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Zertifizierung nach ISO unter Berücksichtigung des Konformitätsprogramms der BNetzA

Übersicht über die IT- Sicherheitsstandards

Cyber-Sicherheit. Maßnahmen und Kooperationen. Marc Schober BSI Referat C23 - Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision

Abwarten ist keine Strategie Umsetzung des IT-Sicherheitsgesetzes

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

Hand in Hand: IT- und Facility-Management

Das IT-Sicherheitsgesetz

Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus

IT-Sicherheitsgesetz & IT-Sicherheitskatalog Status Quo und neue Herausforderungen. Referent: Christian Bruns

CYBER-SICHERHEIT DYNAMISCHE CYBER-ABWEHR

EU DSGVO Umsetzung im Unternehmen:

Transkript:

Kritische Infrastruktur in der Wasserwirtschaft Was bedeuten branchenspezifische IT-Sicherheitsstandards für die Wasserversorgungsunternehmen? Dipl.-Ing. Kirsten Wagner Referentin IT-Sicherheit / Benchmarking Fachbereich Wasser

Gliederung Der neue rechtliche Rahmen: IT-Sicherheitsgesetz (ITSiG) und BSI-Kritisverordnung (BSI-KritisV) DVGW Aktivitäten IT-Sicherheit Der Branchenstandard IT-Sicherheit Wasser/Abwasser Ausblick

Der neue rechtliche Rahmen: IT- Sicherheitsgesetz (ITSiG) und BSI- Kritisverordnung (BSI-KritisV)

Das IT-Sicherheitsgesetz (ITSiG) Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSiG) ist Teil der Umsetzung der Digitalen Agenda 2014-2017 der Bundesregierung. Für Einrichtungen mit zentraler Bedeutung für das Gemeinwesen (z.b. die Energie- und Wasserversorgung) wird ein Mindestniveau an IT-Sicherheit als Teil der Daseinsfürsorge gesetzlich verankert. Die Sicherheit und der Schutz der IT-Systeme und Dienste sollen verbessert werden, um das Vertrauen von Gesellschaft und Wirtschaft sowie den Standort Deutschland insgesamt zu stärken. Beteiligung der Wirtschaft, Unternehmen und Verbände im Gesetzgebungsprozess bei der Identifikation relevanter Unternehmen/Wertschöpfungsstufen mit Relevanz für die IT-Sicherheit u.a. im Rahmen der Kooperation UP KRITIS.

Sektoren der kritischen Infrastruktur E r n ä h r u n g E n e r g i e G e s u n d h e i t I n f o r m a t i o n s t e c h n i k u n d Te l e k o m m u n i k a t i o n T r a n s p o r t u n d V e r k e h r M e d i e n u n d K u l t u r W a s s e r F i n a n z - u n d V e r s i c h e r u n g s w e s e n S t a a t u n d V e r w a l t u n g ITSiG definiert Anforderungen an IT-Sicherheit DVGW Sektoren ITSiG Rechtl. Rahmenbedingungen IT-Sicherheit nicht im ITSiG geregelt

Das IT-Sicherheitsgesetz (ITSiG) Das IT-Sicherheitsgesetz (ITSiG) ist am 25. Juli 2015 in Kraft getreten (BGBl. Nr. 31/1324). Es handelt sich um ein Artikelgesetz, das verschiedene Gesetze für kritische Infrastrukturen ändert z.b. BSIG, TMG, AtG, TKG, EnWG. Der gesetzliche Rahmen für WVU s ist im BSIG geregelt. Gemäß 10 BSIG ist im ITSiG festgelegt, dass die Schwellenwerten zur Einstufung der kritischen Infrastruktur in einer Rechtsverordnung (BSI-KritisV) definiert werden.

BSI-Gesetz (BSIG) Regelungen für die Wasserversorgung I 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen Spätestens zwei Jahre nach Inkrafttreten der BSI-KritisV müssen Betreiber Kritischer Infrastruktur angemessene organisatorische und technische Vorkehrungen (Stand der Technik) zum Schutz der IT-Infrastruktur getroffen haben (Abs. 1). Betreiber und Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach 8a (1) aufstellen (Abs. 2). Es besteht eine Nachweispflicht (alle 2 Jahre) für den IT-Sicherheitsstandard (aber keine Zertifizierungspflicht) (Abs. 3).

BSI-Gesetz (BSIG) Regelungen für die Wasserversorgung II 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen Meldung einer Kontaktstelle innerhalb 6 Monate nach Inkrafttreten der BSI-KritisV. Es besteht eine verbindliche Melde- und Auskunftspflicht der Unternehmen gegenüber dem BSI (Abs. 3). Meldung erheblicher Störungen direkt oder über einen SPOC (Single Point Of Contact) (Abs. 4). Optional: Meldung erheblicher Störungen für Betreiber Kritischer Infrastruktur desselben Sektors über GÜAS (Gemeinsame Übergeordnete AnsprechStelle) (Abs. 5). SPOC: Alle Kritis Betreiber im Sinne der UP KRITIS. GÜAS: Nur Betreiber desselben Sektors im Sinne des BSIG.

BSI-Kritisverordnung (BSI-KritisV) Die Rechtsverordnung BSI-Kritisverordnung (BSI- KritisV) wird in 2. Stufen erlassen. Der Sektor Trinkwasser befand sich im 1. Umsetzungskorb: 1. Referentenentwurf Februar 2016 Verbändeanhörung 3. März 2016 im Bundestag am 14. April 2016 verabschiedet in Kraft seit 3. Mai 2016 Beteiligung der Verbände und Wirtschaft im Rahmen von UP KRITIS ( DVGW Stellungnahme) Ansatzpunkt bei der Bestimmung der Schwellenwerte (für die Branchen des 1. Umsetzungskorbes Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation): Versorgungsgrad: 500.000 Einwohner sind betroffen. Umrechnung mittels durchschnittlicher Verbräuche auf jährliche Wasseraufkommen/-menge. Anlagenbezug (Gewinnung, Aufbereitung, Verteilung)

Kategorien und Schwellenwerte (vgl. Anhang 2 Teil 3) Trinkwasserversorgung Spalte A / Nr. Spalte B / Anlagenbezeichnung Spalte C / Bemessungskriterium Spalte D / Schwellenwert 2.1 Gewinnung 2.1.1 Gewinnungsanlage Gewonnene Wassermenge in Mio. m³/jahr 22 2.1.2 Wasserwerk Wasseraufkommen in Mio. m³/jahr 22 2.2 Aufbereitung 2.2.1 Aufbereitungsanlage Aufbereitete Trinkwassermenge in Mio. m³/jahr 2.2.2 Wasserwerk Wasseraufkommen in Mio. m³/jahr 22 2.3 Verteilung 2.3.1 Wasserverteilungsanlage Verteilte Wassermenge in Mio. m³/jahr 22 2.3.2 Leitzentrale Von den gesteuerten/überwachten Anlagen gewonnene, transportierte oder aufbereitete Menge Wasser in Mio. m³/jahr 22 22

Anforderungen an Betreiber Krit. Infrastruktur gemäß BSI- KritisV WVU s, deren Anlagen, den Schwellenwert von 22 Mio. m³/jahr im Anhang 2 Teil 3 der BSI-KritisV erreichen oder überschreiten, müssen: gemäß 8b Abs. 3 BSIG bis zum 3.11.2016 dem BSI eine Kontaktstelle benennen. gemäß 8a Abs. 1 BSIG bis zum 3.5.2018 organisatorische und technische Vorkehrung treffen, die dafür sorgen, dass die Verfügbarkeit der zu schützenden Systeme und Daten und die Integrität der verarbeiteten Informationen und Systeme gesichert ist, die Vertraulichkeit der verarbeiteten Information gewährleistet ist. Eine Anlage gilt dabei als Kritische Infrastruktur, wenn im zurückliegenden Jahr jeweils bis zum 31. März des folgenden Kalenderjahres, der genannte Schwellenwert erstmals erreicht oder überschreitet wird. Aufgrund der beim DVGW vorliegenden Daten wird geschätzt, dass ca. 40 Wasserversorgungsunternehmen unter das Regime der BSI-KritisV fallen.

Evaluierung gemäß 6 BSI-KritisV Vier Jahre nach Inkrafttreten der BSI-KritisV sind zu evaluieren: Festlegung der kritischen Dienstleistungen und Bereiche, Festlegung der Anlagenkategorien, die für die Erbringung der kritischen Dienstleistungen erforderlich sind, Bestimmung der branchenspezifischen Schwellenwerte.

DVGW Aktivitäten IT-Sicherheit

Aktivitäten des DVGW e.v. Fachbereich Wasser Das Technisches Komitee IT-Sicherheit wurde im Sept. 2014 als fachbereichsübergreifendes Gremium (Gas/Wasser) zur fachlichen Begleitung der Thematik (u.a. des Gesetzgebungsprozesses) gegründet. Im Herbst 2015 wurde ein Projektkreis gegründet in dem zurzeit der Branchenstandard IT-Sicherheit Wasser/Abwasser gemeinsam mit DWA erarbeitet wird. Engagement in der Kooperation UP KRITIS z.b. Branchenarbeitskreis (BAK) Wasser/Abwasser und Themenarbeitskreis (TAK) Standards & Audits Über aktuelle Entwicklungen zum Thema IT-Sicherheit informieren wir Sie durch Fachbeiträge in der ewp und auf unserer Webseite.

Branchenstandard IT- Sicherheit Wasser/Abwasser

Branchenstandard IT-Sicherheit Wasser / Abwasser I DVGW und DWA entwickeln zurzeit gemeinsam den Branchenstandard IT- Sicherheit Wasser / Abwasser gemäß 8a Abs. 2 BSIG. BSI, BBK und BMI wurden im Rahmen des UP KRITIS (BAK Wasser / Abwasser) frühzeitig miteingebunden, um die Anerkennung des Branchenstandards zu vereinfachen. Der Branchenstandard IT-Sicherheit wird aus einem technischen Leitfaden (EDVunterstütztes Programm) und dem dazugehörigen Regelwerk in Form eines Merkblattes (W 1060) bestehen. Die Veröffentlichung ist nach Anerkennung durch das BSI für das 1. Quartal 2017 geplant.

Branchenstandard IT-Sicherheit Wasser / Abwasser II Ausgangspunkte des DVGW-/DWA Branchenstandards IT-Sicherheit: Anlehnung an BSI-Grundschutz und ICS-Security-Kompendium Gewährleistung der Kompatibilität zur DIN EN ISO 27001 bzw. ISO/IEC TR 27019 (entspr. DIN SPEC 27009) Clusterung der IT-Anwendungen nach Anwendungsfällen (use cases) Aufbau des Entwurfs des Branchenstandards IT-Sicherheit: insgesamt 21 Anwendungsfälle wurden für die IT-Anwendungen identifiziert, für jeden Anwendungsfall sind: mögliche Gefährdungen hinterlegt, die Schutzmaßnahmen (controls) angegeben und je Maßnahme der dazugehörige Verweis (Link) zum BSI-Grundschutz, die dazugehörigen Best Practices aus dem ICS Kompendium und die dazugehörigen Kapiteln der DIN EN ISO 27001 bzw. ISO/IEC TR 27019 (entspr. DIN SPEC 27009) angegeben.

Systematik des Branchenstandard IT-Sicherheit Auswahl der zutreffenden IT- Anwendungsfälle durch das Unternehmen Der technische Leitfaden Eine Navigationshilfe zur Auswahl geeigneter Schutzmaßnahmen für die IT-Infrastruktur aus dem BSI-Grundschutz gewählte IT- Anwendungsfälle Beispiel Anwendungsfall: Automat. Datenaustausch Angabe der Liste mit den empfohlenen Schutzmaßnahmen Hinweise und Handlungsempfehlungen in Bezug auf Umsetzung und Einführung der IT- Schutzmaßnahme Bei erfolgreicher Einführung der Schutzmaßnahmen werden die Anforderungen des Gesetzgebers ( 8a Abs. 1 BSIG) erfüllt IT-Sicherheitsanforderungen und -maßnahmen der BSI- Grundschutzkataloge (Link) Best Practices des ICS- Security-Kompendium Hinweise zur DIN EN ISO 27001 bzw. ISO/IEC TR 27019 Beispiel aus den dazugehörigen Maßnahmen: Fernanzeige von Störungen, Sicherheitsgateway (Firewall)

Zusammenfassung Branchenstandard IT-Sicherheit Vorteile des Branchenstandards IT-Sicherheit: Individuelle unternehmensspezifische IT- Anwendungsfälle können ohne vertieftes Fachwissen leicht identifiziert werden. Schutzbedarf ist direkt ableitbar. Unmittelbarer Verweis auf die Maßnahmen aus BSI- Grundschutzkatalogen. Stand der Technik ist gewährleistet. Nachweis geplant durch ein zusätzliches (optionales) TSM-Modul.

Ausblick

Zahlen und Fakten I Verseuchungsgrad deutscher Webseiten (Juni 2012) 1.151.953 Webseiten untersucht: 32.194 mit Malware 2,79 %, also jede 35. Webseite gekapert und gefährlich D unter Top-10 im Verseuchungsgrad Belegte Fälle im Mai-Juli 2012 von Identitätsdiebstahl in Deutschland Online-Shopping: 102.056 Themen-Portal 52.729 E-Mail-Dienst 48.832 Online-Banking 23.711 Soziales Netzwerk 21.454 Sonstiges 160.410 374.048 Quelle: Allianz für Cyber-Sicherheit

Zahlen und Fakten II Quelle: Cyber-Sicherheits-Umfrage 2015, BSI ACS 424 Datensätze ausgewertet

Alles aus einer Hand zur IT-Sicherheit! DVGW e.v. Ordnungsrahmen Mitgliederinformation Gremienarbeit Integration in das TSM DVGW Service & Consult GmbH: Beratung SMIT (Analyse- und Beratungstool) DVGW- Berufsbildungswerk: Schulungen für ISMS-Auditoren und ISMS-Beauftragte DVGW Cert GmbH Zertifizierung von ISMS Personenzertifizierung

Danke für Ihre Aufmerksamkeit

Branchenstandard IT-Sicherheit Anwendungsfälle - Maßnahmen

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback