KRITIS: Halbzeit für kritische Infrastruktren
Feb 12, 2018 9:05:58 PM Acht Monate nach KRITIS haben Betreiber kritischer Infrastrukturen gelernt, dass es nicht ausreicht, Arbeitsanweisungen zu produzieren: eine erste Bilanz.
Die KRITIS-Verordnung wird ausgeweitet. Auch kleinere Energie-Erzeugungsanlagen fallen nun unter die Sicherheits-Verordnung für kritische Infrastrukturen. Wer ist betroffen und was ist zu tun?
Die KRITIS-Verordnung zählt zu den wichtigsten Sicherheits-Maßnahmen der vergangenen Jahre: Durch sie wurden deutschlandweit Unternehmen und Institutionen definiert, deren Arbeit so essentiell für das Funktionieren unserer Gesellschaft ist, dass sie als besonders schützenswert eingestuft wurden. Dazu zählen etwa Verkehrsunternehmen, Kliniken und auch Teile der Energieversorgung. Sie unterliegen seitdem besonderen Auflagen in Sachen Sicherheit und IT – der KRITIS-Verordnung zum Schutz kritischer Infrastrukturen.
In der Folge hat die BNetzA im Dezember 2018 einen entsprechenden IT-Sicherheitskatalog für alle KRITIS-betroffenen Energieerzeuger veröffentlicht. Er lehnt sich stark an den bisherigen IT-Sicherheitskatalog für Energienetze an und an umfasst einen ganzen Strauß von Maßnahmen, die dem Schutz der Infrastruktur vor Attacken und Ausfällen dienen sollen.
Und die Behörde hat eine Ziellinie definiert: Betroffene Unternehmen müssen bis zum 31. März 2021 das Zertifikat bei der BNetzA eingereicht haben.
Wer ist von der KRITIS-Ausweitung betroffen?
Die neue Schwelle für Energie-Erzeugungsanlagen liegt nun bei 500.000 versorgten Personen oder einer Nennleistung von 420 MW. Auch betroffen sind Gasspeicher und Gasförderanlagen mit Volumina von mindestens 5190 GWh pro Jahr. Ebenfalls betroffen: Systeme zur Bündelung zur Regelenergie und Speicher.
Wichtig dabei: Es zählt nicht der tatsächliche Einsatz der Anlagen, sondern mit welchen Kennzahlen sie beim Übertragungsnetzbetreiber qualifiziert sind. So werden auch Anlagen erfasst, die potentiell kritische Infrastruktur sein könnten.
KRITIS für Energie-Erzeugungsanlagen im Detail: Was ist zu beachten?
Wie auch bisherige kritische Infrastruktur müssen die neuen KRITIS-Erzeugungsanlagen die ISO 27001-Zertifizierung durchlaufen und bestanden haben. Zudem benötigen sie eine Zertifizierung nach DIN/ISO 27019 – das ist eine Erweiterung für energieversorgungspezifische Sicherheitsmaßnahmen und die Zusatzanforderungen des IT-Sicherheitskatalogs.
Ganz konkret müssen Aspekte wie etwa die Prozessdatenkommunikation komplett durchleuchtet und gesichert werden. Auch braucht es eine sogenannte Schwarzstartfähigkeit – das bedeutet, dass im Falle von Großstörungen Möglichkeiten zur Notfall-Kommunikation gegeben sein müssen.
Obendrauf wird ein neuer Typus Zertifikat notwendig, der sich tatsächlich noch in der Entwicklung befindet – er deckt spezifische Anforderungen der Energieerzeugung ab. Hierunter fallen insbesondere die Überprüfung von Systemen für Automatisierungs- und Steuerungstechnik sowie die für Dispatching und Fahrplan-Management.
Der Bundesverband der Energie- und Wasserwirtschaft hat zu den Sicherheitsanforderungen ein Whitepaper auf seiner Website. Es beschreibt den erforderlichen Stand der Technik – und ein Blick hinein lohnt sich für die meisten Unternehmen, denn insbesondere bei der Prozesssicherung haben viele der Betreiber sicherlich noch die eine oder andere Lücke zu stopfen.
Wer jetzt zügig loslegt, hat ausreichend Zeit
Nota bene: Der Sicherheitskatalog der BNetzA ist nach Energiewirtschaftsgesetz § 11 Abs. 1b gesetzlich verpflichtend. Wer diese Normen nicht rechtzeitig umsetzt, macht man sich strafbar.
Noch ist genug Zeit bis Ende März 2021, auch größere Zertifizierungen und Prozessanapassungen in die Wege zu leiten. Doch die Zeit beginnt zu drängen. Immerhin geht es dabei um die grundlegenden Funktions- und Arbeitsweisen des eigenen Unternehmens. Deswegen ist jetzt Handlungsbedarf.
Denn die typische Laufzeit von IT-Prozess- und Sicherheits-Zertifizierungsprojekten beträgt 18 bis 24 Monate. Dabei handelt es sich um gute Projektzeiträume ohne viel Druck. Und auch diejenigen, die bereits Prozessmanagement-Systeme implementiert haben, müssen noch einmal alles auf den Prüfstand stellen – so will es die BNetzA.
