Betreiber kritischer Infrastrukturen im Energiesektor müssen künftig den Einbau bestimmter IT-Komponenten anzeigen.

Energieversorgungsnetze zählen zu den kritischen Infrastrukturen. Angesichts zahlreicher weltpolitischer Bedrohungslagen und mit der zunehmenden Digitalisierung steigen auch die Sicherheitsanforderungen in diesem Bereich. Denn russische, chinesische oder nordkoreanische Hacker sollen weder Einblick noch Eingriffsmöglichkeiten oder gar Kontrolle über kritische Infrastrukturen wie Strom- und Gasnetze bekommen können. Mit diesem Problem befasst sich die "Festlegung zu kritischen Funktionen für das Betreiben von Energieversorgungsnetzen und Energieanlagen", die die Bundesnetzagentur jetzt veröffentlicht hat.

"Mit der Festlegung schaffen wir die Grundlage für präventive Handlungsmöglichkeiten mit Bezug auf kritische Komponenten in der kritischen Infrastruktur des Energiesektors", sagt Klaus Müller, Präsident der Bundesnetzagentur.

Ministerium kann den Einbau auch untersagen

Die Behörde hat dafür mit dem Bundesinnenministerium, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit Fachgruppen gesprochen. Dabei hat die Behörde sogenannte kritische Funktionen identifiziert. Diese Funktionen umfassen zentrale Aspekte der Steuerung von Energienetzen und Energieanlagen. Es geht dabei beispielsweise um Systeme zur Anlagensteuerung oder für die Umsetzung von Maßnahmen zum Engpassmanagement. 

Die Neuerung: Künftig müssen Betreiber kritischer Infrastrukturen im Energiesektor den Einbau von IT-Komponenten in kritischen Bereichen gegenüber dem Innenministerium anzeigen. Das Ministerium kann dabei auch den Einsatz unter bestimmten Bedingungen untersagen und Komponenten von nicht vertrauenswürdigen Herstellern ausschließen.

Bereits seit vielen Jahren gibt es IT-Sicherheitskataloge für Energieversorgungsnetze und Energieerzeugungsanlagen. Diese legen Mindestanforderungen an Telekommunikations- und elektronische Datenverarbeitungssysteme zum Schutz eines sicheren Netz- und Anlagenbetrieb vor. Ihr Schwerpunkt liegt auf der sicheren Betriebsführung. 

Der Fokus der neuen Festlegung liegt aber auf einem sicheren Komponenteneinsatz. Bei neu eingesetzten kritischen Komponenten gilt: Vor dem geplanten erstmaligen Einsatz wird geprüft, ob dieser zu einer Gefährdung der öffentlichen Sicherheit führen oder die Verfügbarkeit, Integrität und Vertraulichkeit der kritischen Infrastrukturen bei den Betreibern gefährden könnte. 

Wichtig: Auch bei bereits verbauten und im Einsatz befindlichen kritischen Komponenten ist es künftig möglich, dass der Einsatz untersagt wird. Das gilt insbesondere, wenn der Hersteller der kritischen Komponente nicht vertrauenswürdig ist. Die neue Festlegung stellt aus Behördensicht eine Ergänzung der IT-Sicherheitskataloge der Bundesnetzagentur dar.

Die vollständige Pressemitteilung sehen Sie hier.