IT-Sicherheit: Regierung definiert „Kritische Infrastrukturen“

Das Bundesministerium des Inneren (BMI) arbeitet sich derzeit an die Frage heran, welche Infrastrukturen es für besonders sicherheitsrelevant hält. Nun hat es eine erste Eingrenzung vorgenommen und Schwellenwerte definiert. Als besonders schützenswert gilt dabei der Energie- und Wassersektor. Beim großen Branchen-Treff „E-world energy & water“ in der kommenden Woche wird das Thema sicher viel diskutiert werden. Auch QSC informiert dort über mögliche Security-Strategien für die Branchen und bietet Hilfe bei der Einführung von Informationssicherheits-Managementsystemen (ISMS) an.

E_world_2016_300

Unternehmen der Energie- und Wasserwirtschaft müssen ihre Infrastrukturen schützen. Foto: © Monty Rakusen/cultura/Corbis.

Warten auf die finale Rechtsverordnung

Das seit dem 25. Juli 2015 geltende IT-Sicherheitsgesetz ließ viele wesentliche Fragen offen. Zum Beispiel welche Unternehmen nun tatsächlich als „Kritische Infrastrukturen“ gelten und welche konkreten Anforderungen sie umsetzen müssen. Die Unternehmen der verschiedenen Branchen wurden mit dem Abwarten auf eine sogenannte „Zusätzliche Rechtsverordnung“ vertröstet, die diese Fragen klären soll.

Nun hat das BMI am 13. Januar 2016 den Entwurf einer „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ veröffentlicht. Hierbei handelt es sich noch nicht um die bereits lange erwartete finale „Zusätzliche Rechtsverordnung“, sondern vielmehr um einen Referentenentwurf hierfür. In Kürze werden die betroffenen Sektoren hierzu einen strukturierten Aufruf zur Kommentierung erhalten.

Welche Sektoren und Anlagen betroffen sind

Auch wenn immer noch nicht alle relevanten Sektoren untersucht wurden, so konkretisiert der Entwurf bereits die Angaben für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung.

  • Für die genannten Sektoren wurde bestimmt, welche Dienstleistungen wegen ihrer Bedeutung als kritisch anzusehen sind.
  • In einem zweiten Schritt wurden Kategorien von Anlagen identifiziert, welche für die Erbringung dieser kritischen Dienstleistungen erforderlich sind. Dazu zählen im Energiesektor wie erwartet neben den Strom- und Gasnetzen beispielsweise auch Speicher (Gas, Öl), Förderanlagen, Raffinerien, Tankstellennetze, Messstellen, Heizwerke, Heizkraftwerke und das Fernwärmenetz.
  • Auch den Bereich Wasser/Abwasser konkretisiert der Referentenentwurf. Hier sind nun beispielsweise Kläranlagen, Kanalisation, Leiteinrichtungen und sämtliche Trinkwasserversorgungsanlagen als Anlagetypen gelistet.

Erste Schwellenwerte definiert

Für alle im Referentenentwurf genannten Anlagen (oder Teile davon) wurden nun auch erstmals Schwellenwerte definiert. Die Erreichung oder Überschreitung dieser Schwellenwerte muss von jedem Unternehmen der betroffenen Sektoren bereits für das zurückliegende Kalenderjahr 2015 selbstständig überprüft werden.

Erreichte oder überschritt eine Anlage bereits im Jahr 2015 den angegebenen Schwellenwert, so gilt diese Anlage sofort mit Inkrafttreten der „Zusätzlichen Rechtsverordnung“ als „Kritische Infrastruktur“.

  • Für sämtliche Anlagen des Sektors Energie, welche den Schwellenwert erreichen bedeutet dies: Sie müssen den bereits veröffentlichten IT-Sicherheitskatalog binnen zwei Jahren ab Veröffentlichung der (finalen) „Zusätzlichen Rechtsverordnung“ umsetzen. Zusätzlich müssen sie innerhalb von sechs Monaten Maßnahmen zur Meldung von IT-Sicherheitsvorfällen gegenüber dem BSI (Bundesamt für Sicherheit in der Informationstechnik) treffen.
  • Auch für den Sektor ITK werden Anlagen und Schwellenwerte definiert. Hier muss der ebenfalls existierende „IT-Sicherheitskatalog TK und DV“ umgesetzt werden.
  • Alle anderen Sektoren (zum Beispiel Wasser) mit Anlagen, die diese Schwellenwerte erreichen, müssen die noch kommenden branchenspezifischen Standards mit einer Frist von zwei Jahren ab Veröffentlichung umsetzen. Hierfür existieren jedoch noch keine branchenspezifischen Standards. Die Frist beginnt daher erst mit Veröffentlichung des jeweiligen branchenspezifischen Standards. Die Meldeverpflichtung hingegen muss jedoch mit einer Frist von sechs Monaten umgesetzt werden, denn diese wird bereits im IT-Sicherheitsgesetz für alle „Kritischen Infrastrukturen“ gefordert.

Welcher konkrete Handlungsbedarf besteht?

Als Unternehmen in einem Sektor der „Kritischen Infrastrukturen“ können Sie bereits jetzt überprüfen, ob Ihre Anlagen aufgrund der angegebenen Schwellenwerte zu den „Kritischen Infrastrukuren“ zählen würden.

Sollte dies der Fall sein, zahlt es sich aus, frühzeitig eine Analyse bezüglich des aktuellen Stands der Informationssicherheitsmaßnahmen durchzuführen. Hierfür eignet sich der Managementrahmen der ISO 27001. Eine solche Analyse hat typischerweise einen Umfang von zirka fünf bis zehn Tagen und ermöglicht Ihnen eine solide Planung des weiteren Vorgehens.

Besuchen Sie uns auf der „E-world energy & water“

E_world_Logo_2016Die QSC AG ist als Partner und Dienstleister der Energiebranche in Sicherheitsfragen aktiv – und informiert darüber gemeinsam mit unserem Partner, der neam IT-Services GmbH, ausführlich auf der „E-world energy & water“, die 16. bis 18. Februar 2016 in der Messe Essen stattfindet.

Am QSC-Stand in Halle 1, Stand 418 bieten wir dazu einen kurzen Vortrag: „ISMS-Handlungsempfehlungen exklusiv für Stadtwerke“. Diese Präsentation findet an allen Messetagen jeweils um 11 Uhr, 14 Uhr und 16 Uhr statt. Im Anschluss stellen wir ISMS-Software vor. Referenten: Dr. Katja Siegemund (QSC AG) und Martin Hübner
(neam IT-Services).

Gerne beraten wir Sie in einem persönlichen Gespräch über unsere Dienstleistungen zum Thema IT-Sicherheitsgesetz/ IT-Sicherheitskatalog. Zur Terminvereinbarung nutzen Sie bitte unser Kontaktformular unter www.qsc.de/e-world oder schreiben Sie uns hier eine email hidden; JavaScript is required

Weitere Informationen:

QSC-Blog zum IT-Sicherheitsgesetz:

Informationen zur E-world:

 

 

Drucken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Um die Diskussionsqualität zu wahren, veröffentlichen wir nur noch Kommentare mit nachvollziehbarem Vor- und Nachnamen sowie authentischer E-Mail-Adresse. Bitte beachten Sie zudem unsere Social Media Guidelines.