BSI präzisiert Anforderungen
Pflicht zur Einführung von Systemen zur Angriffserkennung kann stark eingeschränkt sein
Im Rahmen des IT-Sicherheitsgesetz 2.0 hat der Gesetzgeber die Pflicht zur Einführung von Systemen zur Angriffserkennung eingeführt. Speziell wenn ein Betreiber die Betriebsführung an Dritte vergeben hat, stellt sich die Frage wer und in welcher Form diese Systeme zur Angriffserkennung einführen muss.
03.04.23
Im Rahmen des IT-Sicherheitsgesetz 2.0 hat der Gesetzgeber die Pflicht zur Einführung von Systemen zur Angriffserkennung eingeführt. Speziell wenn ein Betreiber die Betriebsführung an Dritte vergeben hat, stellt sich die Frage wer und in welcher Form diese Systeme zur Angriffserkennung einführen muss.
Betreiber von Kritischen Infrastrukturen müssen bis zum 1. Mai 2023 Systeme zur Angriffserkennung (SzA) einsetzen und dies auch gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen (§ 8a Abs. 1 BSIG). Für Betreiber von Energieversorgungsnetzen gilt diese Pflicht (anders als für Betreiber von Energieanlagen) unabhängig davon, ob ihre Anlagen die Schwelle einer Kritischen Infrastruktur erreichen (§ 11 Abs. 1e EnWG). Das BSI hat kürzlich die Betreiber angeschrieben und an diese Pflicht erinnert.
Da die Einzelheiten zu den SzA im Gesetz nicht beschrieben wurden, hat das BSI im September 2022 seine Orientierungshilfe zum Einsatz von SzA veröffentlicht. Zudem hat das BSI auch seine FaQs hierzu auf seiner Webseite eingestellt. Auch wenn die Orientierungshilfe und die FaQs keine Gesetzeskraft haben und formal nicht verpflichtend sind, so haben sie für die praktische Umsetzung eine hohe Bedeutung.
Spezielle Fragestellungen ergeben sich, wenn die Betreiber (insbesondere von Energienetzen) ihre Betriebsführung an Dritte vergeben. Betriebsführung durch Dritte meint, dass alle Systeme, Anwendungen und Komponenten im Geltungsbereich (des IT-Sicherheitskatalogs) von einem oder mehreren Dritten betrieben werden. Hierzu hat die Bundesnetzagentur (BNetzA) im März 2022 ihre Kriterien festgelegt und eine Übergangsfrist bis zum 31. März 2024 bestimmt.
Es stellt sich konkret die Frage, ob und bis wann in einem solchen Fall auch das betriebsgeführte Unternehmen selbst SzA einführen muss und wie dies nachgewiesen werden kann. Nach Rücksprache mit dem BSI lässt sich folgendes festhalten:
- Die Pflicht zur Implementierung von SzA trifft bei einer Betriebsführung durch Dritte im Grundsatz auch das betriebsgeführte Unternehmen und nicht nur den Betriebsführer selbst.
- Bei einer Betriebsführung durch Dritte wird in Bezug auf die SzA nicht von der Übergangsregelung aus der Mitteilung zur Betriebsführung durch Dritte profitiert. Das betriebsgeführte Unternehmen muss deshalb bis zum 31.05.2023 den Einsatz von SzA im Grundsatz selbst nachweisen.
- Im Rahmen des Audits des betriebsgeführten Unternehmens müssen jedoch nicht die SzA des Betriebsführers selbst überprüft werden. Der Betriebsführer muss lediglich das P*-Dokument an das betriebsgeführte Unternehmen übermitteln, das diesen Nachweis sodann beim BSI vorlegt.
- Ist die Office-IT von der Steuerungs-OT strikt getrennt, so muss für die Office-IT selbst kein SzA implementiert werden.
In der ersten Nachweisrunde akzeptiert das BSI auch eine Selbstauditierung. Allerdings muss diese von einer intern unabhängigen Stelle (z.B. Innenrevision) durchgeführt werden. Eine bloße Bestätigung durch den Informationssicherheitsbeauftragten reicht dagegen nicht aus.