Home   >   News   >   Meldepflicht von Sicherheitsvorfällen – die wichtigsten Fakten für Energieversorger im Überblick
Meldepflicht von Sicherheitsvorfällen – die wichtigsten Fakten für Energieversorger im Überblick

Für Energieversorger haben sich in den letzten Jahren erhebliche regulative und gesetzliche Änderungen ergeben. Über den am 12.08.2015 veröffentlichten IT-Sicherheitskatalog, dem am 25. Juli 2015 in Kraft getretenen IT-Sicherheitskatalog sowie dem seit kurzem geltendem NIS-Richtlinienumsetzungsgesetz müssen sie verschiedene Anforderungen erfüllen. Ein zentrales Thema dabei ist die Erfassung von IT-Sicherheitsvorfällen, sowohl vonseiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als auch vonseiten der Bundesnetzagentur (BNetzA). Dieser Beitrag gibt einen Überblick über die wichtigsten Fakten und Handlungsverpflichtungen:

 

Anforderungen aus dem IT-Sicherheitskatalog

Zu den zentralen Anforderungen des IT-SiKat gehört die Nennung eines Ansprechpartners für das Thema IT-Sicherheit. Bis zum 30.11.2015 musste von den betroffenen Unternehmen eine Kontaktstelle mitgeteilt werden, die reaktiv auf Anfragen der BNetzA zu Sicherheitsvorfällen reagieren und zu Folgendem auskunftsfähig sein muss:

  • Umsetzungsstatus der Anforderungen des IT-SiKat
  • aufgetretene Sicherheitsvorfälle
  • Ursache dieser Sicherheitsvorfälle und Maßnahmen zu deren Behebung
  • Sicherstellung, dass der Energieversorger „an relevante Kommunikationsinfrastrukturen für Lageberichte und Warnmeldungen sowie zur Bewältigung großflächiger IKT-Krisen angebunden ist“ (Vgl. IT-Sicherheitskatalog, Abschnitt VII)

Es besteht keine proaktive Meldepflicht für Sicherheitsvorfälle an die BNetzA.

 

Anforderungen aus dem IT-Sicherheitsgesetz (IT-SiG)

Laut IT-SiG müssen KRITIS-Unternehmen innerhalb von sechs Monaten nach in Kraft treten der jeweiligen Rechtsverordnung eine Kontaktstelle für Sicherheitsvorfälle gegenüber dem BSI einrichten (Vgl. §8b Abs. 3 IT-SiG). Energieversorgungsunternehmen sind dann als KRITIS-Unternehmen zu verstehen, wenn sie den jeweiligen Schwellenwert gemäß der Rechtsverordnung BSI-KritisV überschreiten, der sich aus mehr als 500.000 versorgten Personen ergibt.

Alle KRITIS-Unternehmen sind in der Pflicht, über ihre Kontaktstelle meldewürdige Störungen an das BSI zu kommunizieren (Vgl. §8b Abs. 4 IT-SiG). Diese Kontaktstelle muss 24 Stunden an 7 Tagen die Woche erreichbar sein (Vgl. §8b Abs. 3 IT-SiG). Darüber hinaus erhalten die Unternehmen über diesen Kanal vonseiten des BSI entsprechende sicherheitsrelevante Informationen (Vgl. §8b Abs. 2 IT-SiG).

 

NIS-Richtlinienumsetzungsgesetz

Am 30. Juni 2017 ist das Gesetz zur Umsetzung der NIS-Richtlinie in Kraft getreten. Hierdurch ist eine deutliche Ausweitung der Meldepflicht für Energieversorger entstanden. Nun müssen alle Energieversorger, die bisher der Definition nach kein KRITIS-Unternehmen waren, bis zum 30.12.2017 eine Kontaktstelle gegenüber dem BSI einrichten und Sicherheitsvorfälle proaktiv melden.

Energieversorgungsunternehmen, die unter die Anforderungen des IT-SiKat oder des IT-SiG fallen, haben in der Regel ein Informationssicherheits-Managementsystem (ISMS) etabliert oder sind gerade dabei. Im Rahmen eines ISMS muss ein Informationssicherheitsbeauftragter (ISB) benannt werden. Nun liegt es nahe, den ISB als Kontaktstelle an das BSI zu nennen. Davon ist jedoch aufgrund der erforderlichen Erreichbarkeit an 24 Stunden an 7 Tagen in der Woche abzuraten. Das BSI fordert als Kontaktstelle ausdrücklich ein Funktionspostfach und keine persönliche E-Mail-Adresse eines einzelnen Mitarbeiters. In jedem Fall ist aber die Erreichbarkeit und Reaktionsfähigkeit der Kontaktstelle gegenüber dem BSI sicherzustellen.

 

Wir beraten Sie gerne dabei, die für Sie optimale Lösung für die unterschiedlichen Anforderungen zu finden. Sie erreichen uns unter 0221 / 969789-0.

Zur Newsübersicht