INFO
Gemeinsamer Hinweis von FNN und DVGW hilft Netz
betreibern bei der Implementierung eines Informations
sicherheitsManagementsystems.
Durch den weiter zunehmenden Einsatz von Informationstechnologien im Netzbetrieb wird die
Frage nach der Sicherheit solcher Systeme immer wichtiger. Im Mittelpunkt steht dabei die
Sicherstellung der öffentlichen Versorgung bei gleichbleibend hoher Qualität. Deshalb wurde das
Thema Informationssicherheit in Kritischen Infrastrukturen mittlerweile auch gesetzlich verankert.
Zentrale Bausteine mit Auswirkungen auf Netzbetreiber sind das IT-Sicherheitsgesetz sowie der
IT-Sicherheitskatalog der Bundesnetzagentur. Hinzu kommen weitere Normungsaktivitäten und
Empfehlungen.
Gesamtüberblick über regulatorische Vorgaben und
Anforderungen
Um Energieversorgungsunternehmen eine fundierte Handlungsbasis zu geben, haben
das Forum Netztechnik/Netzbetrieb im VDE (FNN) und der Deutsche Verein des Gas- und
Wasserfachs (DVGW) einen gemeinsamen Hinweis veröffentlicht. Das Dokument ordnet die
Gesetze und Regelungen entsprechend der Verbindlichkeit und des Detaillierungsgrads für
die Anwendung durch Netzbetreiber ein. An oberster Stelle steht das IT-Sicherheitsgesetz,
welches als Artikelgesetz unter anderem zu Änderungen des BSI-Gesetzes und des Ener-
giewirtschaftsgesetzes führt. Das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz zielt auf
eine übergreifende Verbesserung des IT-Sicherheitsniveaus für alle Kritischen Infrastrukturen
in Deutschland ab. Betreiber Kritischer Infrastrukturen müssen demnach ein Mindestmaß an
IT-Sicherheit einhalten und Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informa-
tionstechnik (BSI) für eine zentrale Koordination melden. Welche Einrichtungen, Anlagen oder
Bestandteile genau als Kritische Infrastruktur im Sinne des Gesetzes gelten, wird durch eine
Rechtsverordnung näher bestimmt. Durch die Änderungen im Energiewirtschaftsgesetz wurde
der dort geforderte IT-Sicherheitskatalog angespasst und veröffentlicht. Insbesondere wird
hier die Einführung eines Informationssicherheits-Managementsystems (ISMS) notwendig.
Informationssicherheit in der Energieversorgung
Die detaillierteste Ebene der Maßnahmen umfasst die technischen Anwendungsregeln und
Normen, die speziell für Netzbetreiber gelten.
Managementsystem im Fokus
Darüber hinaus gibt der Hinweis eine Übersicht über den Ablauf der Einführung und Umset-
zung eines ISMS gemäß der DIN ISO/IEC 27001. Entsprechend des IT-Sicherheitskatalogs
ist die Einführung und anschließende Zertifizierung eines solchen Systems bei Netzbetreibern
verpflichtend. Auf Basis des beschriebenen Implementierungs- und Zertifizierungsprozesses
können Netzbetreiber besser abschätzen, mit welchem Aufwand ein ISMS aufgestellt und
zertifiziert werden kann.
Die Zusammenarbeit der beiden technischen Regelsetzer FNN und DVGW bündelt Kompe-
tenzen bei der Erarbeitung des gemeinsamen Hinweises. Das verbessert die Anwendbarkeit
insbesondere für Mehrspartenunternehmen.
VDE Verband der Elektrotechnik Elektronik Informationstechnik e. V.
Forum Netztechnik / Netzbetrieb im VDE (FNN)
Finja Bauer
Bismarckstr. 33
10625 Berlin
Tel.: +49 30 383868-70
E-Mail: [email protected]
www.vde.com / fnn
INFO
Stand: Dezember 2016
Stichwort ITSicher
heitskatalog (gemäß
Energiewirtschafts
gesetz)
� betrifft alle für einen sicheren
Netzbetrieb notwendigen
Anwendungen, Systeme
und Komponenten
� Einführung eines Informati-
onssicherheits-Management-
systems (ISMS) und Zertifi-
zierung bis 31.01.2018 für
Netzbetreiber verpflichtend
Ve
rbin
dlic
hke
it
Detaillierungsgrad
Netzbe-treiber
alle kritischen Infrastrukturen
konkrete MaßnahmenSparten Strom und Gas
VDE-Anwendungsregeln (FNN)
DVGW Bestimmungen
FNN-Hinweise
BNetzAIT-Sicherheits-katalog
BSI-KritisV
IT-Sicher-heitsgesetz
Betrifft
Das Wichtigste in Kürze
■ Spartenübergreifender Hinweis von FNN und DVGW hilft besonders
Mehrspartenunternehmen■ Ordnet die aktuellen gesetzlichen Regelungen ein ■ Gibt Hilfestellungen zur Implementierung eines Informationssicherheits
Managementsystems (ISMS)■ erläutert Meldepflicht für Betreiber Kritischer Infrastrukturen