SzA-Prüfnachweis für die Energiewirtschaft und KRITIS-Betreiber
Erfüllung der Anforderungen aus dem IT-SiG 2.0
Konformer Prüfnachweis zum Einsatz von SzA
Nachweis durch Einzelprüfung, im Rahmen einer KRITIS-Prüfung oder SiKat-Zertifizierung
Durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse

Wen betrifft die SzA-Nachweispflicht?

SzA im Energiesektor – gesetzliche Grundlagen
§11 Abs. 1f EnWG legt die Nachweispflicht gegenüber dem BSI bzw. nachgelagert der Bundesnetzagentur (BNetzA) erstmalig zum 01.05.2023 fest und danach alle zwei Jahre. Durch die gesetzlich festgelegte Frist ist eine generelle Fristverlängerung nicht absehbar.
Wenn es wegen der Anpassungen der Prüfmodalitäten durch das BSI zu Verzögerungen bei der ersten SzA-Nachweiserbringung kommen sollte, kann eine Fristverlängerung von wenigen Wochen gewährt werden.

Anforderungen im Bereich Angriffserkennung
Die eingesetzten Angriffserkennungssysteme müssen geeignet sein, kritische Infrastrukturen durch frühzeitige Erkennung von Cyberangriffen zu schützen und bei eingetretenen Störungen das Schadensausmaß zu begrenzen. Gefordert sind dabei technische Werkzeuge in Form entsprechender Tools, aber auch ein annähernd gleichwertiger Anteil an organisatorischen Maßnahmen.
Zum Einsatz kommen hostbasierte Detektionssysteme oder IT-/OT-netzbasierte Detektionssysteme. Die Vorgehensweise ist dabei immer ähnlich. Angriffserkennung ist immer der Abgleich der tatsächlich verarbeiteten Informationen und Daten mit erwarteten technischen Mustern, um Anomalien gegen diesen Standard zu detektieren. Angriffserkennung geht also über das Detektieren bekannter Gefahren hinaus.

BSI-Orientierungshilfe als SzA-Prüfgrundlage
Das BSI Umsetzungsgradmodell unterscheidet Stufe 0 bis Stufe 5 und lehnt sich an den IT-Grundschutz, da dieser gegenüber dem BSI den Stand der Technik beschreibt. Die OH-SzA differenziert MUSS-, SOLLTE- und KANN-Anforderungen in den Bereichen Protokollierung, Detektion und Reaktion, die für die technische Funktionalität eines SzA wesentlich sind.
Die Bewertung der eingesetzten Systeme erfolgt mit Hilfe des Umsetzungsgrads. Zur Erfüllung der Anforderungen nach § 8a Absatz 1a BSIG und § 11 Absatz 1e EnWG ist ein Umsetzungsgrad von mindestens Stufe 4 erforderlich. Im ersten, aktuell laufenden Nachweiszyklus 2023 wird ein Umsetzungsgrad der Stufe 3 als ausreichend akzeptiert.
Das BSI stellt in den geforderten Nachweisdokumenten aber auch klar, dass die Einschätzung des Prüfteams nach dem Umsetzungsgradmodell aus der OH-SzA ausschließlich oberflächlich und grob ist. Für die Stufe 3 des Umsetzungsgradmodells sind alle MUSS-Anforderungen in allen Prüfbereichen erfüllt und ein kontinuierlicher Verbesserungsprozess wurde etabliert oder ist in Planung.
Mit Blick auf die Gesamtheit aller Bereiche und Prozesse zur Angriffserkennung bedeutet dies für die Betreiber:
- alle notwendigen technischen, organisatorischen und personellen Rahmenbedingungen für eine systematische Angriffserkennung zu schaffen
- für die im Anwendungsbereich eingesetzten Systeme durchgehend Informationen zu aktuellen Angriffsmustern für technische Schachstellen einzuholen
- die für eine effektive Angriffserkennung erforderliche Hard- und Software jederzeit auf einem aktuellen Stand zu halten
- sicherstellen, dass die Signaturen der Detektionssysteme jederzeit aktuell sind
- alle relevanten Systeme so zu konfigurieren, dass der Versuch, bekannte Schwachstellen auszunutzen, in der Regel zuverlässig erkannt wird
Über die MUSS-Anforderungen hinaus werden in der OH-SzA des BSI weitere SOLLTE- und KANN-Anforderungen festgelegt. Deren Erfüllung sind für die Umsetzungsgrade der Stufe 4 und der Stufe 5 erforderlich. Mehr dazu erfahren Sie auf den Internetseiten des BSI.
Die DQS hat, angelehnt an die OH-SzA, einen Prüfkatalog erstellt, der konkrete Anforderungen zu den drei Bereichen enthält:
- Protokollierung – fortlaufende Auswertung gesammelter Informationen
Zu den Basisanforderungen zählen unter anderem Sicherheitsrichtlinien, Rollen und Verantwortlichkeiten, Konfiguration, Zeitsynchronisation und zentralisierte Protokollierungsinfrastrukturen. - Detektion – Erkennen sicherheitsrelevanter Ereignisse (SRE)
Zu den Basisanforderungen zählen unter anderem Sensibilisierung, rechtliche Rahmenbedingungen, Meldewege für SRE, Einsatz von mitgelieferten Systemfunktionen, kontinuierliche Protokolldatenüberwachung, Auswertung von Informationen aus externen Quellen und die signaturbasierte Detektion (Hersteller, Behörden, Medien). - Reaktion – Behandlung von Sicherheitsvorfällen
Zu den Basisanforderungen zählen unter anderem die Richtlinie zur Behandlung, Verantwortlichkeiten, Benachrichtigung betroffener Stellen und Vorfallmeldung an Behörden sowie die Wiederherstellung und Erhaltung der kritischen Dienstleistung.

SzA-Nachweiserbringung gegenüber dem BSI
BSI Nachweisdokument P* gemäß § 11 Absatz 1f EnWG enthält Angaben zur Prüfung und ist in die folgenden Abschnitte unterteilt:
- Angaben zur Durchführung der SzA Prüfung
- Angaben zum Prüfergebnis (mit Umsetzungsgrad der SzA) und Angaben zu den aufgedeckten Sicherheitsmängeln einschließlich Umsetzungsplan zur Behebung der Mängel
- Angaben zur prüfenden Stelle und zum Prüfteam
Zum Abstellen der in der Mängelliste identifizierten Mängel müssen die Betreiber eine Umsetzungsplanung mit Verantwortlichkeiten sowie mit Maßnahmen und Zieldaten einreichen. Die Erklärungen im Nachweisdokument P* sind mit Stempel und Unterschrift von der prüfenden Stelle zu bestätigen.
BSI Nachweisdokument KI* gemäß § 11 Absatz 1f EnWG ist vom Betreiber auszufüllen. Es beinhaltet Angaben zum geprüften Energieversorgungsnetz oder zur geprüften Energieanlage sowie zur Ansprechperson. Die Betreiber ID ist eine eindeutige, fünfstellige Zeichenfolge für registrierte Betreiber Kritischer Infrastrukturen bzw. für zukünftig im Melde- und Informationsportal (MIP) des BSI registrierte Institutionen.
Weitere, wichtige Anlagen zum Formular KI* sind:
- Nachweisdokument P* (inklusive Stempel/Unterschrift der prüfenden Stelle)
- Anlage PD.A Geltungsbereich
- Anlage PE.A Mängelliste inklusive Umsetzungsplan
Synergien zu den IT-Sicherheitskatalogen
Zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, liefern die sogenannten IT-Sicherheitskataloge (IT-SiKat) Mindeststandards. Sowohl Energienetzbetreiber (§11 Abs. 1a EnWG) als auch Energieanlagen (§11 Abs. 1b EnWG) sind zur Umsetzung eines vollumfänglichen Informationssicherheits-Managementsystems auf Basis der ISO-Normen 27001 und 27002 sowie der branchenspezifischen 27019 verpflichtet.
Die SzA-Prüfung kann künftig mit den regulären Audits zur Zertifizierung nach den IT-Sicherheitskatalogen kombiniert werden.
Mehr zur IT-Sicherheit im Energiesektor finden Sie auf der Homepage der Bundesnetzagentur.

Wer darf eine SzA-Prüfung durchführen?
Eine Selbstprüfung der Betreiber ist aufgrund der zwingend notwendigen Unabhängigkeit und Neutralität einer prüfenden Instanz nicht möglich.
Die Nachweisprüfung darf hingegen im ersten Nachweiszyklus 2023 von jedem, auch beratenden Unternehmen durchgeführt werden, solange die Grundsätze der Unabhängigkeit und Neutralität gewahrt bleiben und die Berater- und Prüferrolle in persona voneinander getrennt sind.
Die DQS bringt diese Grundanforderungen in die SzA-Nachweisprüfung mit ein und erfüllt darüber hinaus schon heute alle Anforderungen, die erwartungsgemäß zukünftig an die Kompetenzen prüfender Stelle gestellt werden:
- zusätzliche Prüfverfahrenskompetenz für §8a BSIG
- Kompetenz einer akkreditierten Stelle für die IT-Sicherheitskatalog gemäß §11 Abs. 1a/b EnWG

Wie läuft eine SzA-Nachweisprüfung ab?
Die Prüfung Ihrer eingesetzten Systeme zur Angriffserkennung durch die DQS basiert auf der OH-SzA (Version 1.0 vom 26.09.2022). Neben allgemeinen Anforderungen werden die drei Bereiche Protokollierung, Detektion und Reaktion geprüft – und zwar sowohl bezogen auf die organisatorischen Regelungen als auch die technische Umsetzung.
Unser Angebot ist entsprechend diesen Vorgaben aufgebaut. Die Prüfaufwände bemessen sich angemessen am Prüfumfang, mit dem Ziel ist, einen für das BSI nachvollziehbaren, konformen SzA-Prüfnachweis bestätigen zu können.
Fragen Sie unsere Mitarbeiter nach den Möglichkeiten zur Durchführung der SzA-Prüfung, egal ob Sie bereits DQS-Kunde sind oder nicht. Teilen Sie uns mit, ob diese als Einzelprüfung oder in ein Zertifizierungs-/Nachweisverfahren eingebunden durchgeführt werden soll. Wir erstellen Ihnen gerne unser unverbindliches Angebot.
Wenn Sie die DQS mit dem SzA-Nachweis (BSI) beauftragen, erhalten Sie in der Regel vor Durchführung der Prüfung unseren Prüfkatalog, um Ihre unternehmensspezifischen Dokumente und Nachweise vorab einzutragen.
Unsere erfahrenen und neutralen Prüfer bewerten vor Ort objektiv die Anforderungen zur Planung und Umsetzung Ihrer Angriffserkennungssysteme und identifizieren gemeinsam mit Ihnen Sicherheitsmängel bzw. unterstützen Sie bei der Festlegung geeigneter Umsetzungspläne.
Im ersten Zyklus der SzA-Nachweiserbringung ist ein Umsetzungsgrad der Stufe 3 hinreichend, d.h. Erfüllung aller 68 MUSS-Anforderungen unseres Prüfkatalogs auf Basis der OH-SzA. Die Durchführung der SzA-Prüfung wir Ihnen in jedem Fall mit dem Nachweisdokument P* zur Vorlage beim BSI von uns bestätigt.
Der Nachweis zum Einsatz von SzA ist ab dem 1. Mai 2023 alle zwei Jahre zu erneuern. Inwieweit sich das BSI die Nachhaltigkeit der Umsetzungsplanung zu identifizierten Mängeln vorbehält oder ob diese in der nachfolgenden Prüfung durch die prüfende Stelle geprüft wird, ist noch offen.

Was kostet der SzA-Prüfnachweis?
Die Vor-Ort-Aufwendungen bemessen wir je nach Option mit 0,5 bis 2,0 Personentagen. Analoges gilt für Nachweise gemäß § 8a Absatz 3 BSIG, die ab dem 01.05.2023 auch Aussagen zur Umsetzung des § 8a Abs. 1a enthalten müssen.

Das können Sie von uns erwarten
- Persönliche reibungslose Betreuung durch unsere Spezialisten – regional, national und international
- Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten