SzA Prüfnachweis im Sektor Energie

§11 Abs. 1f EnWG legt die Nachweispflicht gegenüber dem BSI bzw. nachgelagert der Bundesnetzagentur (BNetzA) erstmalig zum 01.05.2023 fest und danach alle zwei Jahre. Durch die gesetzlich festgelegte Frist ist eine generelle Fristverlängerung nicht absehbar.

Wenn es wegen der Anpassungen der Prüfmodalitäten durch das BSI zu Verzögerungen bei der ersten SzA-Nachweiserbringung kommen sollte, kann eine Fristverlängerung von wenigen Wochen gewährt werden.

Die eingesetzten Angriffserkennungssysteme müssen geeignet sein, kritische Infrastrukturen durch frühzeitige Erkennung von Cyberangriffen zu schützen und bei eingetretenen Störungen das Schadensausmaß zu begrenzen. Gefordert sind dabei technische Werkzeuge in Form entsprechender Tools, aber auch ein annähernd gleichwertiger Anteil an organisatorischen Maßnahmen.

Zum Einsatz kommen hostbasierte Detektionssysteme oder IT-/OT-netzbasierte Detektionssysteme. Die Vorgehensweise ist dabei immer ähnlich. Angriffserkennung ist immer der Abgleich der tatsächlich verarbeiteten Informationen und Daten mit erwarteten technischen Mustern, um Anomalien gegen diesen Standard zu detektieren. Angriffserkennung geht also über das Detektieren bekannter Gefahren hinaus.

Das BSI Umsetzungsgradmodell unterscheidet Stufe 0 bis Stufe 5 und lehnt sich an den IT-Grundschutz, da dieser gegenüber dem BSI den Stand der Technik beschreibt. Die OH-SzA differenziert MUSS-, SOLLTE- und KANN-Anforderungen in den Bereichen Protokollierung, Detektion und Reaktion, die für die technische Funktionalität eines SzA wesentlich sind.

Die Bewertung der eingesetzten Systeme erfolgt mit Hilfe des Umsetzungsgrads. Zur Erfüllung der Anforderungen nach § 8a Absatz 1a BSIG und § 11 Absatz 1e EnWG ist ein Umsetzungsgrad von mindestens Stufe 4 erforderlich. Im ersten, aktuell laufenden Nachweiszyklus 2023 wird ein Umsetzungsgrad der Stufe 3 als ausreichend akzeptiert.

Das BSI stellt in den geforderten Nachweisdokumenten aber auch klar, dass die Einschätzung des Prüfteams nach dem Umsetzungsgradmodell aus der OH-SzA ausschließlich oberflächlich und grob ist. Für die Stufe 3 des Umsetzungsgradmodells sind alle MUSS-Anforderungen in allen Prüfbereichen erfüllt und ein kontinuierlicher Verbesserungsprozess wurde etabliert oder ist in Planung.

Mit Blick auf die Gesamtheit aller Bereiche und Prozesse zur Angriffserkennung bedeutet dies für die Betreiber:

• alle notwendigen technischen, organisatorischen und personellen Rahmenbedingungen für eine systematische Angriffserkennung zu schaffen
• für die im Anwendungsbereich eingesetzten Systeme durchgehend Informationen zu aktuellen Angriffsmustern für technische Schachstellen einzuholen
• die für eine effektive Angriffserkennung erforderliche Hard- und Software jederzeit auf einem aktuellen Stand zu halten
• sicherstellen, dass die Signaturen der Detektionssysteme jederzeit aktuell sind
• alle relevanten Systeme so zu konfigurieren, dass der Versuch, bekannte Schwachstellen auszunutzen, in der Regel zuverlässig erkannt wird

Über die MUSS-Anforderungen hinaus werden in der OH-SzA des BSI weitere SOLLTE- und KANN-Anforderungen festgelegt. Deren Erfüllung sind für die Umsetzungsgrade der Stufe 4 und der Stufe 5 erforderlich. Mehr dazu erfahren Sie auf den Internetseiten des BSI.

Die DQS hat, angelehnt an die OH-SzA, einen Prüfkatalog erstellt, der konkrete Anforderungen zu den drei Bereichen enthält:

1. Protokollierung – fortlaufende Auswertung gesammelter Informationen
   Zu den Basisanforderungen zählen unter anderem Sicherheitsrichtlinien, Rollen und Verantwortlichkeiten, Konfiguration, Zeitsynchronisation und zentralisierte Protokollierungsinfrastrukturen.
2. Detektion – Erkennen sicherheitsrelevanter Ereignisse (SRE)
   Zu den Basisanforderungen zählen unter anderem Sensibilisierung, rechtliche Rahmenbedingungen, Meldewege für SRE, Einsatz von mitgelieferten Systemfunktionen, kontinuierliche Protokolldatenüberwachung, Auswertung von Informationen aus externen Quellen und die signaturbasierte Detektion (Hersteller, Behörden, Medien).
3. Reaktion – Behandlung von Sicherheitsvorfällen
   Zu den Basisanforderungen zählen unter anderem die Richtlinie zur Behandlung, Verantwortlichkeiten, Benachrichtigung betroffener Stellen und Vorfallmeldung an Behörden sowie die Wiederherstellung und Erhaltung der kritischen Dienstleistung.

BSI Nachweisdokument P* gemäß § 11 Absatz 1f EnWG enthält Angaben zur Prüfung und ist in die folgenden Abschnitte unterteilt:

• Angaben zur Durchführung der SzA Prüfung
• Angaben zum Prüfergebnis (mit Umsetzungsgrad der SzA) und Angaben zu den aufgedeckten Sicherheitsmängeln einschließlich Umsetzungsplan zur Behebung der Mängel
• Angaben zur prüfenden Stelle und zum Prüfteam

Zum Abstellen der in der Mängelliste identifizierten Mängel müssen die Betreiber eine Umsetzungsplanung mit Verantwortlichkeiten sowie mit Maßnahmen und Zieldaten einreichen. Die Erklärungen im Nachweisdokument P* sind mit Stempel und Unterschrift von der prüfenden Stelle zu bestätigen.

BSI Nachweisdokument KI* gemäß § 11 Absatz 1f EnWG ist vom Betreiber auszufüllen. Es beinhaltet Angaben zum geprüften Energieversorgungsnetz oder zur geprüften Energieanlage sowie zur Ansprechperson. Die Betreiber ID ist eine eindeutige, fünfstellige Zeichenfolge für registrierte Betreiber Kritischer Infrastrukturen bzw. für zukünftig im Melde- und Informationsportal (MIP) des BSI registrierte Institutionen.

Weitere, wichtige Anlagen zum Formular KI* sind:

• Nachweisdokument P* (inklusive Stempel/Unterschrift der prüfenden Stelle)
• Anlage PD.A Geltungsbereich
• Anlage PE.A Mängelliste inklusive Umsetzungsplan

Synergien zu den IT-Sicherheitskatalogen

Zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, liefern die sogenannten IT-Sicherheitskataloge (IT-SiKat) Mindeststandards. Sowohl Energienetzbetreiber (§11 Abs. 1a EnWG) als auch Energieanlagen (§11 Abs. 1b EnWG) sind zur Umsetzung eines vollumfänglichen Informationssicherheits-Managementsystems auf Basis der ISO-Normen 27001 und 27002 sowie der branchenspezifischen 27019 verpflichtet.

Die SzA-Prüfung kann künftig mit den regulären Audits zur Zertifizierung nach den IT-Sicherheitskatalogen kombiniert werden.

Mehr zur IT-Sicherheit im Energiesektor finden Sie auf der Homepage der Bundesnetzagentur.

Eine Selbstprüfung der Betreiber ist aufgrund der zwingend notwendigen Unabhängigkeit und Neutralität einer prüfenden Instanz nicht möglich.

Die Nachweisprüfung darf hingegen im ersten Nachweiszyklus 2023 von jedem, auch beratenden Unternehmen durchgeführt werden, solange die Grundsätze der Unabhängigkeit und Neutralität gewahrt bleiben und die Berater- und Prüferrolle in persona voneinander getrennt sind.

Die DQS bringt diese Grundanforderungen in die SzA-Nachweisprüfung mit ein und erfüllt darüber hinaus schon heute alle Anforderungen, die erwartungsgemäß zukünftig an die Kompetenzen prüfender Stelle gestellt werden:

• zusätzliche Prüfverfahrenskompetenz für §8a BSIG
• Kompetenz einer akkreditierten Stelle für die IT-Sicherheitskatalog gemäß §11 Abs. 1a/b EnWG

Die Vor-Ort-Aufwendungen bemessen wir je nach Option mit 0,5 bis 2,0 Personentagen. Analoges gilt für Nachweise gemäß § 8a Absatz 3 BSIG, die ab dem 01.05.2023 auch Aussagen zur Umsetzung des § 8a Abs. 1a enthalten müssen.