Vom IT-Sicherheitsgesetz haben viele Unternehmen bereits gehört. Es bringt einen weitreichenden Regulierungsrahmen mit sich und soll u.a. die IT-Sicherheit kritischer Infrastrukturen deutlich stärken. Dazu wurden eine Reihe von Anforderungen festgelegt. Viele Unternehmen in Deutschland fragen sich, ob sie von diesen Regulierungen betroffen sind und welche Anforderungen sie erfüllen müssen. An dieser Stelle möchten wir Unternehmen eine Orientierungshilfe geben, wie sie diese Fragen für sich beantworten können.
Das IT-Sicherheitsgesetz
Im Jahr 2015 ist das IT-Sicherheitsgesetz (IT-SiG) in Kraft getreten und wurde in den Folgejahren immer wieder ergänzt (zuletzt als IT-SiG 2.0 in 2021). Das IT-SiG ist ein Artikelgesetz, es ändert also mehrere bereits bestehende Gesetze, die in diesem Umfeld relevant sind. Im Wesentlichen wurde das BSI-Gesetz erweitert und u.a. um Anforderungen zur Erhöhung der IT-Sicherheit bei kritischen Infrastrukturen ergänzt. Dazu hat man ursprünglich folgende Sektoren betrachtet, die inzwischen aber z.B. durch die Siedlungsabfallwirtschaft ergänzt wurden (siehe Schaubild):
Bei einzelnen Sektoren wie Energie (hier Energiewirtschaftsgesetz) und ITK (hier Telekommunikationsgesetz) wurden auch die entsprechend spezifischen Gesetze geändert und damit wesentliche Anforderungen für betroffene Unternehmen festgelegt.
Nachfolgend möchten wir – insbesondere im Hinblick auf die Systeme zur Angriffserkennung (SzA) – auf die folgenden Sektoren eingehen und erläutern, wann Unternehmen betroffen sind:
- KRITIS-Unternehmen allgemein (sofern keine sektorspezifische Regulierung vorliegt)
- Betreiber von Energieversorgungsnetzen und Energieanlagen
Gerade für diese beiden Gruppen gibt es wesentliche Unterschiede, die berücksichtigt werden müssen.
KRITIS-Unternehmen allgemein
Ergänzend zum IT-SiG wurde eine BSI-Kritisverordnung (BSI-KritisV) erlassen, in der für jeden KRITIS-Sektor entsprechende KRITIS-Anlagen definiert und Schwellenwerte für diese KRITIS-Anlagen festgelegt wurden. Die Betreiber solcher Anlagen haben jedes Jahr zum 1. April zu prüfen, ob eine Anlage im Vorjahr die festgelegten Schwellenwerte überschritten hat. Ist dies der Fall, so gilt diese Anlage unmittelbar als KRITIS-Anlage, und es müssen alle entsprechenden Anforderungen gemäß IT-SiG umgesetzt werden, z.B. Meldung der Anlage beim BSI, Umsetzung entsprechender Maßnahmen, etc. Ein erstmaliger Prüfnachweis gemäß § 8a Abs. 3 BSI-Gesetz muss dann aber erst zwei Jahre später beim BSI eingereicht werden (und danach alle zwei Jahre).
Mit dem IT-SiG 2.0 wurde die Anforderung eingeführt, dass Betreiber von KRITIS-Anlagen Systeme zur Angriffserkennung (SzA) einsetzen müssen. Diese Verpflichtung ergibt sich aus § 8a Abs. 1a BSIG. Die Betreiber solcher KRITIS-Anlagen müssen bis zum 01.05.2023 ein SzA eingeführt haben.
Die Prüfung dieser SzA basiert auf § 8a Abs. 3 BSIG, wonach nicht nur angemessene organisatorische und technische Vorkehrungen zur Erhöhung der IT-Sicherheit geprüft werden, sondern auch die SzA gemäß § 8a Abs. 1a BSIG. Als Stichtag wurde der 01.05.2023 festgelegt. Alle Prüfnachweise, die ab diesem Stichtag beim BSI eingereicht werden, müssen auch Prüfungen der SzA umfassen. Ein entsprechend angepasstes Prüfformular hat das BSI bereits zur Verfügung gestellt.
Betreiber von Energieversorgungsnetzen und Energieanlagen
Diese Gruppe kritischer Infrastrukturen ist im Wesentlichen durch das Energiewirtschaftsgesetz (EnWG) reguliert, das mit dem IT-SiG 2.0 ebenfalls erweitert wurde. Für Betreiber von Energieversorgungsnetzen wurde 2015 ein IT-Sicherheitskatalog (IT-SiKat) gemäß § 11 Abs. 1a EnWG festgelegt. Auf dieser Basis müssen diese Betreiber (unabhängig von Schwellenwerten) ein ISMS aufbauen und nach dem IT-SiKat, der auf der ISO 27001 basiert, zertifizieren lassen.
Für Betreiber von Energieanlagen wurde ein davon separater IT-SiKat gemäß § 11 Abs. 1b EnWG definiert, der allerdings ebenfalls vorsieht, dass diese Betreiber ein ISMS aufbauen und nach diesem IT-SiKat zertifizieren lassen müssen. Allerdings gelten für Betreiber von Energieanlagen die gemäß BSI-KritisV festgelegten Schwellenwerte, sodass ein Betreiber einer entsprechenden Energieanlage nur zur Umsetzung verpflichtet ist, wenn er die festgelegten Schwellenwerte überschreitet.
Eine Nachweispflicht gegenüber dem BSI, vergleichbar zur o.g. Prüfung gemäß § 8a Abs. 3 BSIG entfällt für diese Betreiber. Allerdings müssen sie ihr Zertifikat als Nachweis bei der Bundesnetzagentur (BNetzA) einreichen.
Für diese Betreiber wurde mit dem IT-SiG 2.0 ebenfalls die Verpflichtung zum Aufbau und Nachweis von SzA eingeführt. Diese Pflichten wurden im § 11 Abs. 1e EnWG für den Einsatz von SzA und Abs. 1f für den Nachweis von SzA verankert. Für beides gilt als Stichtag der 01.05.2023, im Vergleich zu den anderen KRITIS-Betreibern aber mit dem Unterschied, dass der erstmalige Nachweis der SzA gegenüber dem BSI bis zum 01.05.2023 zu erfolgen hat (und danach alle zwei Jahre).
Diese Frist wurde vom BSI inzwischen mehrfach bestätigt. Das BSI hat sogar nochmals alle Betreiber von Energieversorgungsnetzen und Energieanlagen angeschrieben und auf diese Fristen hingewiesen.
Besonderheiten bei Betreibern von Energieversorgungsnetzen
Nun gibt es bei Betreibern von Energieversorgungsnetzen eine Reihe von Besonderheiten, auf die wir an dieser Stelle ebenfalls eingehen wollen. An erster Stelle gehen wir auf die Nichtanwendbarkeit des IT-SiKat nach § 11 Abs. 1a EnWG ein. Der IT-SiKat sieht vor, dass ein ISMS aufgebaut werden muss. Im Scope dieses ISMS sind alle TK- und EDV-Systeme zu betrachten, die Teil der Netzsteuerung sind. Wenn ein Netzbetreiber keine solchen TK- oder EDV-Systeme zur Netzsteuerung einsetzt, dann wäre der Scope des aufzubauenden ISMS leer. Dies kann z.B. bei rein druckgesteuerten Gasversorgungsnetzen der Fall sein. Dann kann dieser Netzbetreiber bei der BNetzA die Nichtanwendbarkeit des IT-SiKat nach § 11 Abs. 1a EnWG erklären. Wenn sich die BNetzA dieser Auffassung anschließt, muss kein ISMS aufgebaut und zertifiziert werden.
In diesem Fall müssen auch keine SzA implementiert werden. Dazu muss der Schriftwechsel mit der BNetzA zur Nichtanwendbarkeit des IT-SiKat beim BSI eingereicht werden.
Betriebsführung durch Dritte
Eine weitere Besonderheit ist die Betriebsführung durch Dritte. Wenn ein Betreiber eines Energieversorgungsnetzes zwar Eigentümer eines Netzes ist, aber den eigentlichen Betrieb komplett an einen Dritten abgegeben hat (das kann z.B. der vorgelagerte Versorger sein), dann spricht man von einer Betriebsführung durch Dritte. Bis Anfang letzten Jahres konnte dieser Netzbetreiber dann ebenfalls die Nichtanwendbarkeit des IT-SiKat nach § 11 Abs. 1a EnWG erklären und musste dementsprechend kein ISMS aufbauen.
Am 29.03.2022 hat die BNetzA eine Mitteilung veröffentlicht, in der festgestellt wurde, dass bei einer Betriebsführung durch Dritte eine Nichtanwendbarkeit des IT-SiKat nicht mehr erklärt werden kann und diese Netzbetreiber grundsätzlich ein eigenes ISMS aufbauen und zertifizieren lassen müssen. Als Frist wurde der 31.03.2024 festgelegt. Bis dahin müssen also alle betriebsgeführten Netzbetreiber spätestens ein zertifiziertes ISMS bei der BNetzA nachweisen. Dies gilt für Betreiber von Energieanlagen entsprechend.
Damit stellt sich dann die Frage, bis wann betriebsgeführte Netzbetreiber, die bislang noch kein ISMS aufgebaut haben, SzA einsetzen und nachweisen müssen. Da nach Auffassung des BSI diese Netzbetreiber heute vollständig unter die Regulierung nach § 11 Abs. 1e und 1f EnWG fallen, gilt für diese Netzbetreiber ebenfalls die o.g. Frist zum 01.05.2023. Es müssen also alle betriebsgeführten Netzbetreiber ebenfalls bis zum 01.05.2023 SzA einsetzen und gegenüber dem BSI nachweisen.