Schließen

    Wünschen Sie nähere Informationen?

    Digitalhappen

    Kritische Infrastrukturen: Jetzt sind auch Energie-Erzeuger gefordert

    Home Blog Energie

    Die KRITIS-Verordnung wird ausgeweitet. Auch kleinere Energie-Erzeugungsanlagen fallen nun unter die Sicherheits-Verordnung für kritische Infrastrukturen. Wer ist betroffen und was ist zu tun?

    Die KRITIS-Verordnung zählt zu den wichtigsten Sicherheits-Maßnahmen der vergangenen Jahre: Durch sie wurden deutschlandweit Unternehmen und Institutionen definiert, deren Arbeit so essentiell für das Funktionieren unserer Gesellschaft ist, dass sie als besonders schützenswert eingestuft wurden. Dazu zählen etwa Verkehrsunternehmen, Kliniken und auch Teile der Energieversorgung. Sie unterliegen seitdem besonderen Auflagen in Sachen Sicherheit und IT – der KRITIS-Verordnung zum Schutz kritischer Infrastrukturen.

    In der Folge hat die BNetzA im Dezember 2018 einen entsprechenden IT-Sicherheitskatalog für alle KRITIS-betroffenen Energieerzeuger veröffentlicht. Er lehnt sich stark an den bisherigen IT-Sicherheitskatalog für Energienetze an und an umfasst einen ganzen Strauß von Maßnahmen, die dem Schutz der Infrastruktur vor Attacken und Ausfällen dienen sollen.

    Und die Behörde hat eine Ziellinie definiert: Betroffene Unternehmen müssen bis zum 31. März 2021 das Zertifikat bei der BNetzA eingereicht haben.

    Wer ist von der KRITIS-Ausweitung betroffen?

    Die neue Schwelle für Energie-Erzeugungsanlagen liegt nun bei 500.000 versorgten Personen oder einer Nennleistung von 420 MW. Auch betroffen sind Gasspeicher und Gasförderanlagen mit Volumina von mindestens 5190 GWh pro Jahr. Ebenfalls betroffen: Systeme zur Bündelung zur Regelenergie und Speicher.

    Wichtig dabei: Es zählt nicht der tatsächliche Einsatz der Anlagen, sondern mit welchen Kennzahlen sie beim Übertragungsnetzbetreiber qualifiziert sind. So werden auch Anlagen erfasst, die potentiell kritische Infrastruktur sein könnten.

    KRITIS für Energie-Erzeugungsanlagen im Detail: Was ist zu beachten?

    Wie auch bisherige kritische Infrastruktur müssen die neuen KRITIS-Erzeugungsanlagen die ISO 27001-Zertifizierung durchlaufen und bestanden haben. Zudem benötigen sie eine Zertifizierung nach DIN/ISO 27019 – das ist eine Erweiterung für energieversorgungspezifische Sicherheitsmaßnahmen und die Zusatzanforderungen des IT-Sicherheitskatalogs.

    Ganz konkret müssen Aspekte wie etwa die Prozessdatenkommunikation komplett durchleuchtet und gesichert werden. Auch braucht es eine sogenannte Schwarzstartfähigkeit – das bedeutet, dass im Falle von Großstörungen Möglichkeiten zur Notfall-Kommunikation gegeben sein müssen.

    Obendrauf wird ein neuer Typus Zertifikat notwendig, der sich tatsächlich noch in der Entwicklung befindet – er deckt spezifische Anforderungen der Energieerzeugung ab. Hierunter fallen insbesondere die Überprüfung von Systemen für Automatisierungs- und Steuerungstechnik sowie die für Dispatching und Fahrplan-Management.

    Der Bundesverband der Energie- und Wasserwirtschaft hat zu den Sicherheitsanforderungen ein Whitepaper auf seiner Website. Es beschreibt den erforderlichen Stand der Technik – und ein Blick hinein lohnt sich für die meisten Unternehmen, denn insbesondere bei der Prozesssicherung haben viele der Betreiber sicherlich noch die eine oder andere Lücke zu stopfen.

    Wer jetzt zügig loslegt, hat ausreichend Zeit

    Nota bene: Der Sicherheitskatalog der BNetzA ist nach Energiewirtschaftsgesetz § 11 Abs. 1b gesetzlich verpflichtend. Wer diese Normen nicht rechtzeitig umsetzt, macht man sich strafbar.

    Noch ist genug Zeit bis Ende März 2021, auch größere Zertifizierungen und Prozessanapassungen in die Wege zu leiten. Doch die Zeit beginnt zu drängen. Immerhin geht es dabei um die grundlegenden Funktions- und Arbeitsweisen des eigenen Unternehmens. Deswegen ist jetzt Handlungsbedarf.

    Denn die typische Laufzeit von IT-Prozess- und Sicherheits-Zertifizierungsprojekten beträgt 18 bis 24 Monate. Dabei handelt es sich um gute Projektzeiträume ohne viel Druck. Und auch diejenigen, die bereits Prozessmanagement-Systeme implementiert haben, müssen noch einmal alles auf den Prüfstand stellen – so will es die BNetzA.

    Whitepaper

    Die Neuerungen des IT-Sicherheitsgesetzes 2.0 verlangen noch höhere Standards für Energieerzeuger

    Welche Anforderungen das IT-Sicherheitsgesetz 2.0 an Unternehmen stellt, wie sie sich darauf vorbereiten und welche die wichtigsten Sicherheitsmaßnahmen sind, haben wir in einem aktuellen Whitepaper zusammengefasst. 

     

    Allein auf der Überholspur – unter dem Radar auf der E-World

    Feb 20, 2020 12:08:46 PM Die E-World 2020 und die Zeit danach: Warum Energiewende mehr bedeutet als das Schaffen von smarten Insellösungen. Wir bringen die Datenwende ins Spiel – mit Monetarisierungspotenzial für ...

    EU-Datenschutz-Grundverordnung: Deutlich mehr Aufwand für Unternehmen

    Dec 7, 2017 2:47:28 PM Ab 25. Mai 2018 greift die neue Datenschutz-Grundverordnung (EU-DSGVO) der Europäischen Union. Sie hilft Menschen, ihre persönlichen Daten besser zu schützen. Unternehmen müssen sich jetzt auf ...

    Holacracy – Von Ameisen lernen

    Aug 30, 2018 9:21:13 AM Die Evolution lehrt uns wichtige Erkenntnisse für die Organisation von Unternehmen. Das Holacracy-Modell weist erstaunlich viele Parallelen zu Darwins Evolutionstheorie auf.

    Sicherheit ist kein Luxus: Warum IT-Systeme fast immer hochkritisch sind

    May 17, 2017 11:00:00 AM Die Ransomware WannaCry hat uns alle schmerzhaft spüren lassen: Wir sind so sehr von Informationstechnik abhängig, dass fast alle IT-Systeme als kritisch eingestuft werden sollten. Bisher werden zu ...

    Patientendaten in der Cloud: Es wird Zeit für smarte Plattformen

    Mar 8, 2019 2:13:13 PM Viele Menschen ängstigt die Idee, dass ihre Gesundheitsdaten bald digital verwaltet werden könnten. Doch mittlerweile überwiegen die Vorteile deutlich – auch für den Patienten, um sicher gehen zu ...

    Maschinelles Lernen: Der Computer, der selbstständig schlauer wird – oder etwa doch nicht?

    Jul 7, 2017 1:30:00 PM Maschinelles Lernen und intelligente Algorithmen – und darunter insbesondere Deeplearning – sind ein wesentlicher, wenn nicht der Pfeiler der vierten industriellen Revolution. Worum geht es? Wo ...

    KRITIS: Halbzeit für kritische Infrastruktren

    Feb 12, 2018 9:05:58 PM Acht Monate nach KRITIS haben Betreiber kritischer Infrastrukturen gelernt, dass es nicht ausreicht, Arbeitsanweisungen zu produzieren: eine erste Bilanz.

    Containertechnologie OpenShift im KRITIS-Umfeld: Maßgeschneiderte Sicherheit

    Sep 4, 2020 12:36:00 PM Die IT von Unternehmen der KRITIS-Branchen muss höchsten Sicherheitsstandards genügen. Container-Technologien eignen sich dafür nahezu ideal – allerdings nicht jede. Warum und worauf es ankommt, ...

    IT-Sicherheitsgesetz 2.0: Was KRITIS-Institutionen jetzt wissen müssen

    Apr 15, 2021 12:04:28 PM IT-Sicherheitsgesetz 2.0: Das müssen Unternehmen & Institutionen jetzt wissen

    Innovationen katapultieren Unternehmen und Branchen in neue Dimensionen. Wir wissen, wie.

    Zur Sache: Rein formell ist ein Projekt mit der Abnahme und Entlastung beendet. Das dachten auch die Verantwortlichen des