Längst ist ein Großteil der Arbeitsprozesse im Gas- und Wasserfach digitalisiert. Die fortschreitende Digitalisierung der Branche und größer werdende Datenmengen machen die Kooperationen und Standardisierungen auf dem Gebiet der IT-Sicherheit unverzichtbar.
It-Sicherheit in der Gas- und Wasserwirtschaft; © iStock.com/matejmo
Informationssicherheit im Gas- und Wasserfach
Die Unterstützung durch Informations- und Kommunikationstechnik (IKT) mit der wachsenden Abhängigkeit von Selbiger geht mit Chancen und Risiken einher. Um die Vorteile moderner IKT sicher nutzen zu können, wird ein angemessener Schutz gegen Bedrohungen auch im Bereich des Netzbetriebs der Strom- und Gasversorgung auf unterschiedlichen Netzebenen bzw. Druckstufen angestrebt.
Die DVGW-Information Gas Nr. 22 nimmt eine grundlegende Einordnung der bestehenden Normen und Regelwerke vor, die für den (informationstechnisch) sicheren Netzbetrieb notwendig sind. Darauf aufbauend wurde eine Analyse und ein Ausblick auf den weiteren Handlungsbedarf für die Ausgestaltung einer sicheren Informationstechnik (IT) im Netzbetrieb erarbeitet.
Der Referentenentwurf des Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-RL-Umsetzungsgesetz) wurde am 9. Dezember 2016 mit der Frist um Stellungnahme bis zum 16. Dezember 2016 veröffentlicht.
Die Richtlinie (EU) 2016/1148 (NIS-RL) ist im August 2016 in Kraft getreten und bis zum 9. Mai 2018 in nationales Recht umzusetzen. Aufgrund der bereits erfolgten Maßnahmen besteht in Deutschland nur geringer Umsetzungsbedarf. Insbesondere sollen der kooperative Ansatz des bereits im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetzes beibehalten und nur durch die NIS-Richtlinie erforderliche Anpassungen vorgenommen werden.
Aus Sicht der Gas- und Wasserversorgung sind lediglich die Änderungen des BSI-Gesetzes (BSIG) für eine fachliche Kommentierung relevant. Hervorzuheben sind die erweiterten Regelungen zum Nachweis des Branchenstandards nach § 8a Abs. 4 BSIG sowie die Meldeschwelle nach § 8b Abs. 4 BSIG. Weitere Hinweise finden Sie in der DVGW-Stellungnahme.
Am 3. Mai 2016 ist die von der Bundesregierung verabschiedete Vorlage zur Bestimmung Kritischer Infrastruktur nach dem BSI-Gesetz (BSI-Kritisverordnung, BSI-KritisV) in Kraft getreten. Im Folgenden finden Sie die für das Gas- und Wasserfach wichtigsten Punkte:
Bei der Festlegung der Schwellenwerte der BSI-KritisV wurden die Branchenarbeitskreise (BAK's) und Themenarbeitskreise (TAKS's) der Kooperation UP KRITIS miteinbezogen. Der DVGW engagiert sich im BAK Wasser/Abwasser, BAK Gas, TAK Regulierung sowie TAK Audits & Standards.
Am 25. Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSiG) in Kraft getreten. Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit einen Mindeststandard an IT-Sicherheit einhalten. Weitere Bestandteile des Gesetzes umfassen folgende Punkte:
Der DVGW arbeitet bereits seit 2014 im Branchenarbeitskreis (BAK) Wasser/Abwasser und im Branchenarbeitskreis Gas innerhalb des UP KRITIS mit und begleitet die untergesetzlichen Umsetzungsmaßnahmen.
Standards für Netzbetreiber in der IT-Sicherheit
Am 12. August 2015 hat die Bundesnetzagentur auf ihrer Homepage (gemäß § 11 Absatz 1a EnWG) im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Katalog von Sicherheitsanforderungen veröffentlicht. Dieser dient dem Schutz von Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Die Ziele des IT-Sicherheitskatalogs sind:
Der IT-Sicherheitskatalog verpflichtet alle Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) sowie dessen Zertifizierung bis zum 31. Januar 2018.
Standards für Betreiber von Energieanlagen
Im Dezember 2018 wurde der IT-Sicherheitskatalog für Betreiber von Energieanlagen (§ 11 Abs. 1b EnWG) veröffentlicht, die nach der BSI-KritisV als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind. Der Sicherheitskatalog verlangt die Einführung eines Informationssicherheits-Managementsystems (gemäß DIN ISO/IEC 27001 und unter Berücksichtigung der DIN EN ISO/IEC-Normen 27002 und 27019) sowie einer schematisierten Zertifizierung. Zudem muss ein Ansprechpartner für die IT-Sicherheit benannt werden.
Fristen
Dieser Ansprechpartner muss der BNetzA bis zum 28. Februar 2019 bekannt gemacht werden. Die Umsetzung der Zertifizierung des Informationssicherheits-Managementsystems muss bis zum 31. März 2021 erfolgt sein.
Der Katalog kann auf der Webseite der Bundesnetzagentur heruntergeladen werden.
DVGW und DWA haben gemeinsam mit dem BSI eine Handlungsempfehlung für die Nutzung des B3S WA in Verbundunternehmen erarbeitet. Die Handlungsempfehlung legt dar, wie der B3S WA für die Anlagen der Wasserver- bzw. Abwasserentsorgung effektiv und wirtschaftlich genutzt und in ein bestehendes Informationssicherheitsmanagementsystem auf Grundlage der ISO/IEC 27001 integriert werden kann, so dass sowohl den Vorgaben aus dem Energiewirtschaftsgesetz (EnWG) als auch dem BSI-Gesetz (BSIG) nachgekommen wird.
Die Betreiber kritischer Infrastrukturen haben ab dem Inkrafttreten der BSI-Kritisverordnung zwei Jahre Zeit, um die im BSI-Gesetz enthaltenen Anforderungen an die Sicherheit der IT-Infrastruktur umzusetzen. Damit wird der 3. Mai 2018 für die betroffenen Wasserversorgungsunternehmen zu einem wichtigen Stichtag.
Um die Mitgliedsunternehmen bei der Bewältigung dieser Herausforderung zu unterstützen, hat der DVGW in Zusammenarbeit mit der Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall e. V. (DWA) den Branchenstandard IT-Sicherheit Wasser/Abwasser entwickelt, durch dessen Implementierung die Unternehmen ihre IT-Infrastruktur im Sinne des § 8a (1) BSI-Gesetz schützen können.
Die Übergabe der Eignungsfeststellung des Bundesamts für Sicherheit in der Informationstechnik an die Vertreter von DVGW und DWA erfolgte am 31.7.2017.
Mehr Informationen finden Sie in den Fachartikeln.
