Das neueIT-Sicherheitsgesetz: AktuellerStand in...

1Aktueller Stand KRITIS ©Krumpholz , Bachmann, Data-Consulting

Kevelaer, 15.08.2016

Das neue IT-Sicherheitsgesetz:Aktueller Stand in Sachen KRITIS

dez. Erzeugung

Koppelstellen

Kundenanlagen

Netzleitstelle


Expertise in IT und Energiewirtschaft

Data Consulting

( ist ein auf die Energiewirtschaft und ITfokussiertes Beratungs- und Dienstleistungs-unternehmen, das von einem branchen-erfahrenen Führungsteam geleitet wird.

Das Leistungsangebot reicht von derStrategieformulierung bis zur Umsetzungs-begleitung. Aktuelle Sonderthemen sind dieBeratung in den Themen Digitalisierung, Elektro-Mobilität und KRITIS Verteilnetz-Betreiber.

Data Consulting ist seit über 25 Jahren am Marktaktiv.

Das Geschäftsfeld Energiewirtschaft wurde vorvier Jahren gebildet. Es wird durch erfahreneManager aus der Energiewirtschaft geführt.


Zusammenfassung

Alle Strom- und Gasnetzbetreiber sind vom IT-Sicherheitsgesetz betroffen

� Kernbestandteil des Sicherheitskatalogs ist die Implementierung eines ISMS

� Zertifizierung des ISMS und Nachweis des Zertifikats bis zum 31.01.2018 bei der Bundesnetzagentur erforderlich

� Geschätzte Projektlaufzeit ab Beauftragung: rund 18 Monate

� Seit August 2015 sind die Vorgaben der Bundesnetzagentur bekannt.

� IT-Sicherheitskatalog wird sich in absehbarer Zeit als Branchenstandard für einen sicheren Netzbetrieb etablieren

Spätester Projektstart Ende Juli bis Ende September 2016, um die Zertifizierung fristgerecht abzuschließen


KRITIS - Überblick

Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie)

Grundlagenpapier des Bundesministerium des Innern aus 2009

Grund-lage

Gefährdung und Verletzbarkeit moderner Gesellschaften – am Beispiel einesgroßräumigen Ausfalls der Stromversorgung; Büro für Technikfolgen-

Abschätzung beim Deutschen Bundestag, November 2010

Umsetzung

Ergänzende Dokumente

Technische Basisinfrastrukturen

� Energieversorgung

� Informations- und Kommunikationstechnologie

� Transport und Verkehr � (Trink-) Wasserversorgung und

Abwasserentsorgung

Unter den Kritischen Infrastrukturen hat die Energieversorgung - und dort die Stromversorgung - die höchste Kritikalität.

SozioökonomischeDienstleistungs-Infrastrukturen

� Gesundheitswesen, Ernährung� Notfall- und Rettungswesen,

Katastrophenschutz� Parlament, Regierung, öffentliche

Verwaltung, Justizeinrichtungen� Finanz- und Versicherungswesen� Medien und Kulturgüter


0 – 2 h 2 – 8 h 8 – 24 h 24 – 72 h

Standzeit Kritischer Infrastrukturen – ohne Stromversorgung

(Nahezu) Alle kritischen Infrastrukturen sind auf die Versorgung mit elektrischer Energie angewiesen.

Ausgangssituation: „Standzeiten“ KRITIS

ITK� Festnetz analog� DSL� Mobilnetz

Transport und Verkehr� Tankstellen� ÖPNV� Tunnel

Wasser/Abwasser

Ernährung

Finanzen (Bargeld, e-c)

Krankenhäuser


Vorbemerkung zum IT-Sicherheitsgesetz

Zwei Fehleinschätzungen zum IT-Sicherheitsgesetz

„Unsere Leittechnik ist physikalisch

von unseren IT-Systemen getrennt,

daher ist unser Netzbetrieb sicher.“

Physikalische Trennung reicht nicht aus:

Mögliche Risiken gemäß IT-Sicher-heitsgesetz entstehen z. B. durch

− Software-Updates

− Nutzung externer Speicher (z. B. USB-Sticks) und Programmier-Geräte

− Mitarbeiter

− Zugriff auf dezentrale Netzkomponenten

„Das IT-Sicherheitsgesetz betrifft nur

IT-Systeme“.

Gemäß IT-Sicherheitskatalog gilt für alle Netzbetreiber:

Betroffen sind primär die Systeme und Komponenten für die Netzsteuerung, also vor allem die Leittechnik und die Fernwirkköpfe.


IT-Sicherheitsgesetz

� Das IT Sicherheitsgesetz ist am 25. Juli 2015 in Kraft getreten. Als Artikelgesetz resultieren daraus Änderungen und Anpassungen bestehender Gesetze, insbesondere Änderungen im EnWG.

� Alle Strom- und alle Gasnetzbetreiber sind verpflichtet, den seit August 2015 gültigen Sicherheitskatalog der Bundesnetzagentur einzuhalten und die hieraus resultierenden Sicherheitsvorgaben umzusetzen.

� Insbesondere haben systemkritische Anlagen- und Netzbetreiber dem BSI „wesentliche“ Störfälle zu melden.

� Die Definition von systemkritischen Anlagen- und Netzbetreibern erfolgt in der KRITIS Verordnung, die laut Begründungstext nur rund 120 Betreiber von Energieanlagen und Netzen als sicherheitskritisch einstuft, z. B. Verteilnetzbetreiber mit mehr als 500.000 Netzanschlüssen - maßgebliches Kriterium beim Verteilnetz ist allerdings die jährlich entnommene Arbeit.

Aktueller Stand in der Gesetzgebung


IT Sicherheitsgesetz und IT-Sicherheitskatalog

� Gemäß §11 Absatz 1 EnWG sind zunächst alle Betreiber von Energieversorgungsnetzen verpflichtet, ein sicheres (() Netz zu betreiben.

� Gemäß §11 Absatz 1a EnWG wird definiert, dass ein Netz sicher betrieben wird bzw. angemessen geschützt ist, wenn der „Katalog für Sicherheitsanforderungen“ eingehalten und dokumentiert wird.

� Gemäß §11 Absatz 1b EnWG werden Betreiber von Energieanlagen, welche unter die KRITIS Verordnung fallen, verpflichtet, alle Vorgaben der neuen KRITIS Verordnung binnen zwei Jahren nach Inkrafttreten der Verordnung umzusetzen (23. April 2018). Alle Betreiber von Energieanlagen und Netzen, welche unter die KRITIS Verordnung fallen, sind gemäß §11 Absatz 1c EnWG verpflichtet, „erhebliche“ Störfälle an das BSI zu melden

Wesentliche Inhalte der neuen Gesetzesänderungen


IT-Sicherheitskatalog

� Einhaltung des IT-Sicherheitskatalogs (expliziter Bezug auf §11 Absatz 1a EnWG) auf ist als „Mindeststandard“ für einen sicheren Netzbetrieb anzusehen.

� Geltungsbereich des vorliegenden IT-Sicherheitskatalogs umfasst alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind.

� Netzbetreiber haben ein Informationssicherheits-Managementsystem (ISMS) zu implementieren, welches den Anforderungen der DIN ISO/IEC 27001 genügt und welche die DIN ISO/IEC 27002 und DIN ISO/IEC TR 27019 (DIN SPEC 27019) berücksichtigen.

� Ordnungsgemäßer Betrieb der betroffenen IKT-Systeme: Risiken durch IKT-basierte Angriffe müssen bewertet und durch geeignete Maßnahmen zum Schutz der relevanten Telekommunikations- und Datenverarbeitungssysteme behandelt werden.

Inhalte des Sicherheitskatalogs (I)


Quelle: Nach SGCG/M490/G_Smart Grid Set of Standards 24 Version 3.1

Enterprise

Operation

Station

Field

Process

Generation Transmission Distribution DER CustomerPremises

Field Device

RTU

GIS CISAsset

Management

EMS SCADASCADA OMS

Meter relatedBack-Office

System

EMS and VPP

Communication Front-End Substation Automatisation System

Feeder Automatisation SystemDistribution Power Quality Control

ERP,BI,EDM,etc. DMS

Nur zentrale und dezentrale Anwendungen, Systeme und Komponenten, für einen sicheren Netzbetrieb betrachten?

Die Komplexität der heutigen IT Systemstruktur macht eine separate Betrachtung der SCADA Systeme quasi unmöglich



� Netzstrukturplan: Der Netzbetreiber hat eine Übersicht über die vom Geltungsbereich des IT-Sicherheitskatalogs betroffenen Anwendungen, Systeme und Komponenten mit den anzutreffenden Haupttechnologien und deren Verbindungen zu erstellen.

� Risikoeinschätzung: Der Netzbetreiber muss einen Prozess zur Risikoeinschätzung der Informationssicherheit festlegen: Welches Risiko besteht in Hinblick auf die Schutzziele für die von diesem Katalog erfassten Komponenten, Systeme und Anwendungen?

� Risikobehandlung: Auswahl geeigneter und angemessener Maßnahmen in Anknüpfung an die Risikoeinschätzung.

Inhalte des Sicherheitskatalogs (II)

Umsetzung mit angemessenem Aufwand zeitlich gut machbar, daher wird sich der IT-Sicherheitskatalog voraussichtlich als Branchenstandard etablieren.



� Ansprechpartner für IT-Sicherheit mussten bereits zum 30.11.2015 benannt werden.

� Alle weiteren Vorgaben müssen bis zum 31.01.2018 wie folgt bei allen Strom- und Gasversorgungsnetzen umgesetzt werden:

� Der Netzbetreiber ist verpflichtet, die Konformität seines ISMS mit den Anforderungen des IT-Sicherheitskatalogs durch ein Zertifikat eines externen Auditors zu belegen.

� Der Nachweis der Umsetzung muss durch die Vorlage einer Kopie des Zertifikats bei der Bundesnetzagentur bis zum 31.01.2018 erfolgen.

Umsetzungsfristen


Zertifizierung durch einen unabhängigen, externen Auditor

Mitte 2017 Mitte 2016 31.01.2018

Zeitplanung

Ist da wirklich noch so viel Zeit?

Projektum-setzung mit den Phasen Act, Plan, Do und Check

Projekt-Kickoffund (in der Regel) Auftragsvergabe für Begleitung der Umsetzung durch externen Berater



� EnWG definiert keinen Straftatbestand und auch keine Ordnungswidrigkeit

� Inhaltliche Differenzen zwischen EnWG und IT-Sicherheitskatalog

� Die BNetzA definiert den IT-Sicherheitskatalog zwar als Muss-Anwendung, dafür ist sie entsprechend §11 Absatz 1a EnWG unser Einschätzung nach nicht legitimiert bzw. der Katalog selbst hat nicht die notwendige Rechtsqualität.

� Der Katalog ist daher eher als technische Richtlinie zu sehen, d. h. die Konsequenz bei Nicht-Einhaltung eines Branchenstandards liegt dann in der persönlichen Haftung der Geschäftsführung im Falle eines Schadenfalls.

Konsequenzen bei Nicht-Einhaltung der Umsetzungsfrist


Warum Data Consulting?

� Netzwerk von Experten aus der Energiewirtschaft mit profundem Know-how für den Netzbetrieb, insbesondere für die für den Verteilnetzbetriebnotwendigen Systeme und Komponenten

Experten für die Energiewirtschaft

Effiziente Umsetzung des IT Sicherheitskatalogs durch umfangreiches Knowhow und Verständnis der operativen Prozesse des Netzbetriebs

� Senior-Beratung mit dem Blick für das Machbare

� Ausgeprägte Mittelstandsorientierung

� Track-Record von erfolgreichen Beratungsprojekten


KONTAKT

Data-Consulting GmbH

Rainer M. Bachmann Dr. Michael KrumpholzGeschäftsführer Partner

M: +49 178 184 1007 +49 177 6610430E: [email protected] [email protected]

Das neueIT-Sicherheitsgesetz: AktuellerStand in...

Documents

Transcript of Das neueIT-Sicherheitsgesetz: AktuellerStand in...