Bundesnetzagentur veröffentlicht IT-Sicherheitskatalog für Kraftwerke Prüfung der Betroffenheit liegt bei den Anlagenbetreibern

Die Bundesnetzagentur (BNetzA) hat am 19.12.2018 den IT-Sicherheitskatalog für Energieanlagen veröffentlicht. Er gilt für Betreiber von Energieanlagen, die nach der BSI-KRITIS-Verordnung als kritisch eingestuft wurden. Diese müssen der BNetzA bis zum 31.03.2021 Zertifikate über die Informationssicherheit der betroffenen Anlagen vorlegen. Weiterhin müssen der BNetzA bereits bis zum 28.02.2019 Ansprechpartner für IT-Sicherheit gemeldet werden.

Der IT-Sicherheitskatalog nach §11 Abs. 1 b EnWG betrifft Betreiber von Kraftwerken (auch virtuellen Kraftwerken), Speichern und Gasförderanlagen. Der allgemeine Grenzwert für die Kritikalität liegt nach BSI-KRITIS-Verordnung aktuell bei einer Netto-Nennleistung von 420 MW, die Betroffenheit muss dabei durch die Betreiber selbst festgestellt werden – es erfolgt kein Aufruf durch die Behörde.

Die wesentlichste Anforderung des Katalogs ist der Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001. Der VKU hat für Netzbetreiber dazu eine Umsetzungshilfe erarbeitet, die auch den Aufbau eines ISMS beinhaltet. Er steht unter dem folgendem Link zur Verfügung: ISMS-Leitfaden.

Das zum 31.03.2021 vorzulegende Zertifikat wird derzeit von der BNetzA in Zusammenarbeit mit der Deutschen Akkreditierungsstelle (DAkkS) erarbeitet. Analog zum Zertifikat des IT-Sicherheitskatalogs für Netzbetreiber wird darin im Wesentlichen die Einhaltung des Sicherheitskataloges selbst sowie der ISO-Normen 27001, 27002 und 27019 bescheinigt.

Der IT-Sicherheitskatalog sowie das Formular zur Meldung des Ansprechpartners für IT-Sicherheit sind auf der Internetseite der BNetzA abrufbar.