Im Vergleich zur Colonial Pipeline beschränken sich die deutschen Beispiele dieser Auflistung auf gehackte IT-Systeme, die bisher noch keine erheblichen Auswirkungen auf die Funktion der OT‑Netzwerke und damit auf den Energienetzbetrieb hatten. Die europäische Regulatorik und die nationalen Anforderungen, die die Bundesnetzagentur in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Schutz vor Bedrohungen des sicheren Netzbetriebs bereits in 2015 vorgegeben haben, scheinen also zumindest teilweise ihren Zweck zu erfüllen.
Mit den dynamischen Entwicklungen in der Informationstechnologie entwickeln Angreifer ständig neue Methoden, um Systeme und Netzwerke zu infiltrieren. Vor diesem Hintergrund ist es für Energieversorger unerlässlich, ihre Sicherheitsmaßnahmen kontinuierlich zu überprüfen und Anpassungen gemäß den neuesten Regularien zeitnah vorzunehmen.
KRITIS Energieversorger: Anforderungen auf EU-Ebene
Bereits im Jahr 2016 veröffentlichte die Europäische Union im Rahmen ihrer Cyber-Sicherheitsstrategie die NIS-Richtlinie (Network and Information Security Directive ) und entwickelte damit ein umfassendes Regelwerk für die Cybersicherheit kritischer Infrastrukturen. Ziel des europäischen Gesetzgebers ist, den Binnenmarkt durch Vorgabe eines regulatorischen Rahmens für ein hohes gemeinsames Niveau der Cyber-Resilienz besser zu schützen. Im Januar 2023 ist die überarbeitete NIS2-Richtlinie in Kraft getreten, die die EU-Mitgliedstaaten bis Oktober 2024 in nationales Recht überführen müssen.
Die überarbeitete Richtlinie erweitert die Zahl der Organisationen, die in den Anwendungsbereich fallen, um die neuen „besonders wichtigen Sektoren“ und die „wichtigen Sektoren“ zuzuordnen. Im KRITIS-Sektor Energie erbringen KRITIS-Betreiber vier kritische Dienstleistungen zur Versorgung der Allgemeinheit mit Energie der Energieträger Strom, Gas, Öl und Fernwärme. Sie bekommen durch die NIS2-Richtlinie ein umfangreiches Paket an erweiterten Sicherheitsanforderungen.
Die existierenden Verpflichtungen für KRITIS-Betreiber nach dem BSI-Gesetz bleiben im Kern bestehen, erfahren teilweise eine genauere Definition, Verschärfung und eine Neustrukturierung. Hierzu zählen verpflichtende Maßnahmen zu/zum ...
- Risikomanagement
- Schulungen für Geschäftsleiter
- Regeln für die Meldung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs nach einem Notfall
- Krisenmanagement
Auch auf technischer Seite wurden die durch die NIS-Richtlinie vorgeschriebenen geltenden Auflagen erweitert. Betreiber sind dazu verpflichtet, Zugriffskontrollen durchzuführen, Informationen strikter zu verschlüsseln, Daten systematisch zu sichern und ein sicheres technisches und systemisches Management von Schwachstellen innerhalb der IT-Architektur zu gewährleisten.
Wichtige Neuerungen im Rahmen von NIS 2 sind außerdem der ausgeweitete Fokus auf die Lieferketten – wodurch die Richtlinie für einen stark erweiterten Kreis von Unternehmen relevant ist – sowie die persönliche Haftung von Leitungsorganen, was Cybersecurity endgültig zur Chefsache macht.