SzA-Prüf­nach­weis für die En­er­gie­wirt­schaft und KRI­TIS-Be­trei­ber

Stich­tag 1. Mai 2023: Im Rahmen des IT-Si­cher­heits­ge­set­zes 2.0 ver­pflich­tet der Ge­setz­ge­ber Be­trei­ber von En­er­gie­ver­sor­gungs­net­zen, kri­ti­schen En­er­gie­an­la­gen und KRI­TIS-Be­trei­ber, Systeme zur An­griffs­er­ken­nung (SzA) einzuführen und dies gegenüber dem Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) erst­ma­lig bis zum Stichtag bzw. ab diesem nach­zu­wei­sen.

Der Nachweis ist im Rahmen einer Prüfung durch eine unabhängige und neutrale prüfende Stelle zu er­brin­gen. Die DQS unterstützt Sie mit kom­pe­ten­ten, zu­ge­las­se­nen Au­di­to­ren, den SzA-Prüfnachweis frist­ge­recht zu er­brin­gen.

Erfüllung der Anforderungen aus dem IT-SiG 2.0

Konformer Prüfnachweis zum Einsatz von SzA

Nachweis durch Einzelprüfung, im Rahmen einer KRITIS-Prüfung oder SiKat-Zertifizierung

Durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse

Beschreibung Standard/Regelwerk
Loading...

Wen betrifft die SzA-Nach­weis­pflicht?

Die ge­setz­li­che Ver­pflich­tung zum Einsatz und Nachweis von An­griffs­er­ken­nungs­sys­te­men betrifft neben Be­trei­bern Kri­ti­scher In­fra­struk­tu­ren gemäß §8a BSI-Ge­setz auch alle Be­trei­ber von En­er­gie­ver­sor­gungs­net­zen und kri­ti­schen En­er­gie­an­la­gen (§11 Abs. 1e/f EnWG). Bei Nicht­um­set­zung der Si­cher­heits­vor­keh­run­gen drohen Be­trei­bern gemäß § 14 BSIG im schlimms­ten Fall Bußgelder in Höhe von bis zu 10 Mil­lio­nen Eu­ro.

Gesetze
Loading...

SzA im En­er­gie­sek­tor – ge­setz­li­che Grund­la­gen

Recht­li­che Grund­la­ge zur Gewährleistung von Cy­ber­si­cher­heit in Deutsch­land ist das Gesetz zur Erhöhung der Si­cher­heit in­for­ma­ti­ons­tech­ni­scher Systeme (IT‐Sicherheitsgesetz, IT-SiG) aus dem Jahr 2015. Das zuletzt im Mai 2021 überarbeitete IT-SiG 2.0 sieht eitere ver­pflich­ten­de Maßnahmen vor, unter anderem den Einsatz von SzA.

Für kri­ti­sche Anlagen im En­er­gie­sek­tor regelt das En­er­gie­wirt­schafts­ge­setz (EnWG) mit §11 den an­ge­mes­se­nen Schutz gegen Be­dro­hun­gen für Te­le­kom­mu­ni­ka­ti­ons- und elek­tro­ni­sche Da­ten­ver­ar­bei­tungs­sys­te­me, die für einen sicheren Netz- und An­la­gen­be­trieb not­wen­dig sind.

§11 Abs. 1f EnWG legt die Nach­weis­pflicht gegenüber dem BSI bzw. nach­ge­la­gert der Bun­des­netz­agen­tur (BNetzA) erst­ma­lig zum 01.05.2023 fest und danach alle zwei Jahre. Durch die ge­setz­lich fest­ge­leg­te Frist ist eine ge­ne­rel­le Fristverlängerung nicht ab­seh­bar.

Wenn es wegen der An­pas­sun­gen der Prüfmodalitäten durch das BSI zu Verzögerungen bei der ersten SzA-Nach­wei­ser­brin­gung kommen sollte, kann eine Fristverlängerung von wenigen Wochen gewährt wer­den.

mehr anzeigen
weniger anzeigen
Anforderungen
Loading...

An­for­de­run­gen im Bereich An­griffs­er­ken­nung

Das BSI-Ge­setz de­fi­niert SzA als „durch tech­ni­sche Werk­zeu­ge und or­ga­ni­sa­to­ri­sche Ein­bin­dung unterstützte Prozesse zur Er­ken­nung von An­grif­fen auf in­for­ma­ti­ons­tech­ni­sche Systeme“ (§ 2 Absatz 9b BSIG). Wie so oft, geht es dem Ge­setz­ge­ber also weniger darum, eine ver­bind­li­che tech­no­lo­gi­sche Vorgabe zu treffen, als einen qua­li­ta­ti­ven Rahmen zu schaf­fen, in­ner­halb dessen die be­trof­fe­nen Un­ter­neh­men zwischen mehreren gleich­wer­ti­gen und an­ge­mes­se­nen Al­ter­na­ti­ven wählen können.

Die ein­ge­setz­ten An­griffs­er­ken­nungs­sys­te­me müssen geeignet sein, kri­ti­sche In­fra­struk­tu­ren durch frühzeitige Er­ken­nung von Cy­ber­an­grif­fen zu schützen und bei ein­ge­tre­te­nen Störungen das Schadensausmaß zu be­gren­zen. Ge­for­dert sind dabei tech­ni­sche Werk­zeu­ge in Form ent­spre­chen­der Tools, aber auch ein annähernd gleich­wer­ti­ger Anteil an or­ga­ni­sa­to­ri­schen Maßnahmen.

Zum Einsatz kommen host­ba­sier­te De­tek­ti­ons­sys­te­me oder IT-/OT-netz­ba­sier­te De­tek­ti­ons­sys­te­me. Die Vor­ge­hens­wei­se ist dabei immer ähnlich. An­griffs­er­ken­nung ist immer der Abgleich der tatsächlich ver­ar­bei­te­ten In­for­ma­tio­nen und Daten mit er­war­te­ten tech­ni­schen Mustern, um An­oma­lien gegen diesen Standard zu de­tek­tie­ren. An­griffs­er­ken­nung geht also über das De­tek­tie­ren be­kann­ter Gefahren hin­aus.

mehr anzeigen
weniger anzeigen
Grundsätze
Loading...

BSI-Ori­en­tie­rungs­hil­fe als SzA-Prüf­grund­la­ge

Im Herbst 2022 hat das BSI die „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ (OH-SzA) in der Version 1.0 vom 26.09.2022 vor­ge­legt. Mit der OH-SzA wer­deen­den Stellen liefert die OH-SzA eine sys­te­matn den Be­trei­bern Kri­ti­scher In­fra­struk­tu­ren Aus­gangs­punk­te und Rah­men­be­din­gun­gen für eine in­di­vi­du­el­le Um­set­zung der SzA-Vor­keh­run­gen an die Hand gegeben. Für die prüfische Be­wer­tungs­grund­la­de für die Ein­satz­an­for­de­run­gen an SzA und gewährleistet durch die Einführung eines Um­set­zungs­grad­mo­dells eine ein­heit­li­che Nach­wei­ser­brin­gung.

Das BSI Um­set­zungs­grad­mo­dell un­ter­schei­det Stufe 0 bis Stufe 5 und lehnt sich an den IT-Grund­schutz, da dieser gegenüber dem BSI den Stand der Technik be­schreibt. Die OH-SzA dif­fe­ren­ziert MUSS-, SOLLTE- und KANN-An­for­de­run­gen in den Be­rei­chen Pro­to­kol­lie­rung, De­tek­ti­on und Re­ak­ti­on, die für die tech­ni­sche Funktionalität eines SzA we­sent­lich sind.

Die Be­wer­tung der ein­ge­setz­ten Systeme erfolgt mit Hilfe des Um­set­zungs­grads. Zur Erfüllung der An­for­de­run­gen nach § 8a Absatz 1a BSIG und § 11 Absatz 1e EnWG ist ein Um­set­zungs­grad von min­des­tens Stufe 4 er­for­der­lich. Im ersten, aktuell lau­fen­den Nach­weis­zy­klus 2023 wird ein Um­set­zungs­grad der Stufe 3 als aus­rei­chend ak­zep­tiert.

Das BSI stellt in den ge­for­der­ten Nach­weis­do­ku­men­ten aber auch klar, dass die Einschätzung des Prüfteams nach dem Um­set­zungs­grad­mo­dell aus der OH-SzA ausschließlich oberflächlich und grob ist. Für die Stufe 3 des Um­set­zungs­grad­mo­dells sind alle MUSS-An­for­de­run­gen in allen Prüfbereichen erfüllt und ein kon­ti­nu­ier­li­cher Ver­bes­se­rungs­pro­zess wurde eta­bliert oder ist in Pla­nung.

Mit Blick auf die Ge­samt­heit aller Bereiche und Prozesse zur An­griffs­er­ken­nung bedeutet dies für die Be­trei­ber:

  • al­le not­wen­di­gen tech­ni­schen, or­ga­ni­sa­to­ri­schen und per­so­nel­len Rah­men­be­din­gun­gen für eine sys­te­ma­ti­sche An­griffs­er­ken­nung zu schaffen
  • für die im An­wen­dungs­be­reich ein­ge­setz­ten Systeme durch­ge­hend In­for­ma­tio­nen zu ak­tu­el­len An­griffs­mus­tern für tech­ni­sche Schach­stel­len ein­zu­ho­len
  • die für eine ef­fek­ti­ve An­griffs­er­ken­nung er­for­der­li­che Hard- und Software je­der­zeit auf einem ak­tu­el­len Stand zu hal­ten
  • si­cher­stel­len, dass die Si­gna­tu­ren der De­tek­ti­ons­sys­te­me je­der­zeit aktuell sind
  • al­le re­le­van­ten Systeme so zu kon­fi­gu­rie­ren, dass der Versuch, bekannte Schwach­stel­len aus­zu­nut­zen, in der Regel zuverlässig erkannt wird

Über die MUSS-An­for­de­run­gen hinaus werden in der OH-SzA des BSI weitere SOLLTE- und KANN-An­for­de­run­gen fest­ge­legt. Deren Erfüllung sind für die Um­set­zungs­gra­de der Stufe 4 und der Stufe 5 er­for­der­lich. Mehr dazu erfahren Sie auf den In­ter­net­sei­ten des BSI.

Die DQS hat, an­ge­lehnt an die OH-SzA, einen Prüfkatalog er­stellt, der konkrete An­for­de­run­gen zu den drei Be­rei­chen enthält:

  1. Protokollierung fort­lau­fen­de Aus­wer­tung ge­sam­mel­ter In­for­ma­tio­nenZu den Ba­sis­an­for­de­run­gen zählen unter anderem Si­cher­heits­richt­li­ni­en, Rollen und Ver­ant­wort­lich­kei­ten, Kon­fi­gu­ra­ti­on, Zeit­syn­chro­ni­sa­ti­on und zen­tra­li­sier­te Pro­to­kol­lie­rungs­in­fra­struk­tu­ren.
  2. De­tek­ti­on – Er­ken­nen si­cher­heits­re­le­van­ter Er­eig­nis­se (SRE)Zu den Ba­sis­an­for­de­run­gen zählen unter anderem Sen­si­bi­li­sie­rung, recht­li­che Rah­men­be­din­gun­gen, Mel­de­we­ge für SRE, Einsatz von mit­ge­lie­fer­ten Sys­tem­funk­tio­nen, kon­ti­nu­ier­li­che Protokolldatenüberwachung, Aus­wer­tung von In­for­ma­tio­nen aus externen Quellen und die si­gna­tur­ba­sier­te De­tek­ti­on (Her­stel­ler, Behörden, Me­di­en).
  3. Re­ak­ti­on – Be­hand­lung von SicherheitsvorfällenZu den Ba­sis­an­for­de­run­gen zählen unter anderem die Richt­li­nie zur Be­hand­lung, Ver­ant­wort­lich­kei­ten, Be­nach­rich­ti­gung be­trof­fe­ner Stellen und Vor­fall­mel­dung an Behörden sowie die Wie­der­her­stel­lung und Er­hal­tung der kri­ti­schen Dienst­leis­tung.
mehr anzeigen
weniger anzeigen
Qualität
Loading...

SzA-Nach­wei­ser­brin­gung ge­gen­über dem BSI

Zur SzA-Nach­wei­ser­brin­gung hat das BSI ent­spre­chen­de Nach­weis­do­ku­men­te be­reit­ge­stellt, die vom je­wei­li­gen Ge­neh­mi­gungs­in­ha­ber beim BSI ein­ge­reicht werden müssen. Da sich die Prüfungen für zukünftige, alle zwei Jahre fällige Nach­wei­se gut in die Zer­ti­fi­zie­rungs­au­dits nach den IT‑Sicherheitskatalogen in­te­grie­ren lassen, bietet sich die DQS mit ihren Ak­kre­di­tie­run­gen als prüfende Stelle an.

BSI Nach­weis­do­ku­ment P* gemäß § 11 Absatz 1f EnWG enthält Angaben zur Prüfung und ist in die fol­gen­den Ab­schnit­te un­ter­teilt:

  • An­ga­ben zur Durchführung der SzA Prüfung
  • Angaben zum Prüfergebnis (mit Um­set­zungs­grad der SzA) und Angaben zu den auf­ge­deck­ten Sicherheitsmängeln einschließlich Um­set­zungs­plan zur Behebung der Mängel
  • Angaben zur prüfenden Stelle und zum Prüfteam

Zum Ab­stel­len der in der Mängelliste iden­ti­fi­zier­ten Mängel müssen die Be­trei­ber eine Um­set­zungs­pla­nung mit Ver­ant­wort­lich­kei­ten sowie mit Maßnahmen und Ziel­da­ten ein­rei­chen. Die Erklärungen im Nach­weis­do­ku­ment P* sind mit Stempel und Un­ter­schrift von der prüfenden Stelle zu bestätigen.

BSI Nach­weis­do­ku­ment KI* gemäß § 11 Absatz 1f EnWG ist vom Be­trei­ber auszufüllen. Es be­inhal­tet Angaben zum geprüften En­er­gie­ver­sor­gungs­netz oder zur geprüften En­er­gie­an­la­ge sowie zur An­sprech­per­son. Die Be­trei­ber ID ist eine ein­deu­ti­ge, fünfstellige Zei­chen­fol­ge für re­gis­trier­te Be­trei­ber Kri­ti­scher In­fra­struk­tu­ren bzw. für zukünftig im Melde- und In­for­ma­ti­ons­por­tal (MIP) des BSI re­gis­trier­te In­sti­tu­tio­nen.

Wei­te­re, wichtige Anlagen zum Formular KI* sind:

  • Nach­weis­do­ku­ment P* (in­klu­si­ve Stem­pel/Un­ter­schrift der prüfenden Stel­le)
  • An­la­ge PD.A Gel­tungs­be­reich
  • An­la­ge PE.A Mängelliste in­klu­si­ve Um­set­zungs­plan

Syn­er­gien zu den IT-Si­cher­heits­ka­ta­lo­gen

Zum Schutz gegen Be­dro­hun­gen für Te­le­kom­mu­ni­ka­ti­ons- und elek­tro­ni­sche Da­ten­ver­ar­bei­tungs­sys­te­me, die für einen sicheren Netz­be­trieb not­wen­dig sind, liefern die so­ge­nann­ten IT-Si­cher­heits­ka­ta­lo­ge (IT-Si­Kat) Min­dest­stan­dards. Sowohl En­er­gie­netz­be­trei­ber (§11 Abs. 1a EnWG) als auch En­er­gie­an­la­gen (§11 Abs. 1b EnWG) sind zur Um­set­zung eines vollumfänglichen In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems auf Basis der ISO-Normen 27001 und 27002 sowie der bran­chen­spe­zi­fi­schen 27019 ver­pflich­tet.

Die SzA-Prüfung kann künftig mit den regulären Audits zur Zer­ti­fi­zie­rung nach den IT-Sicherheitskatalogen kom­bi­niert wer­den.

Mehr zur IT-Si­cher­heit im En­er­gie­sek­tor finden Sie auf der Homepage der Bundesnetzagentur.

mehr anzeigen
weniger anzeigen
Partner
Loading...

Wer darf eine SzA-Prü­fung durch­füh­ren?

Die An­for­de­run­gen an Prüfer und Prüfstellen für die Durchführung einer SzA-Prüfung gemäß § 11 Abs. 1f EnWG haben in einer ersten Fest­le­gung die Ak­kre­di­tie­rung für die IT-Si­cher­heits­ka­ta­lo­ge gemäß § 11 Abs. 1a/b EnWG ge­for­dert. Mitt­ler­wei­le müssen prüfende Stellen und Prüfer le­dig­lich die not­wen­di­ge Unabhängigkeit und Neutralität einer prüfenden Instanz haben. Das BSI ver­zich­tet für den ersten Turnus der SzA-Prüfungen gemäß § 11 EnWG in 2023 auf die Vorgabe von weiteren An­for­de­run­gen.

Eine Selbstprüfung der Be­trei­ber ist aufgrund der zwingend not­wen­di­gen Unabhängigkeit und Neutralität einer prüfenden Instanz nicht möglich.

Die Nachweisprüfung darf hingegen im ersten Nach­weis­zy­klus 2023 von jedem, auch be­ra­ten­den Un­ter­neh­men durchgeführt werden, solange die Grundsätze der Unabhängigkeit und Neutralität gewahrt bleiben und die Berater- und Prüferrolle in persona von­ein­an­der getrennt sind.

Die DQS bringt diese Grund­an­for­de­run­gen in die SzA-Nachweisprüfung mit ein und erfüllt darüber hinaus schon heute alle An­for­de­run­gen, die erwartungsgemäß zukünftig an die Kom­pe­ten­zen prüfender Stelle gestellt werden:

  • zusätzliche Prüfverfahrenskompetenz für §8a BSIG
  • Kom­pe­tenz einer ak­kre­di­tier­ten Stelle für die IT-Si­cher­heits­ka­ta­log gemäß §11 Abs. 1a/b EnWG
mehr anzeigen
weniger anzeigen
Business28.png
Loading...

Wie läuft eine SzA-Nach­weis­prü­fung ab?

Die Prüfung Ihrer eingesetzten Systeme zur Angriffserkennung durch die DQS basiert auf der OH-SzA (Version 1.0 vom 26.09.2022). Neben allgemeinen Anforderungen werden die drei Bereiche Protokollierung, Detektion und Reaktion geprüft – und zwar sowohl bezogen auf die organisatorischen Regelungen als auch die technische Umsetzung.

Unser Angebot ist entsprechend diesen Vorgaben aufgebaut. Die Prüfaufwände bemessen sich angemessen am Prüfumfang, mit dem Ziel ist, einen für das BSI nachvollziehbaren, konformen SzA-Prüfnachweis bestätigen zu können.

Fragen Sie unsere Mitarbeiter nach den Möglichkeiten zur Durchführung der SzA-Prüfung, egal ob Sie bereits DQS-Kunde sind oder nicht. Teilen Sie uns mit, ob diese als Einzelprüfung oder in ein Zertifizierungs-/Nachweisverfahren eingebunden durchgeführt werden soll. Wir erstellen Ihnen gerne unser unverbindliches Angebot.

Wenn Sie die DQS mit dem SzA-Nachweis (BSI) beauftragen, erhalten Sie in der Regel vor Durchführung der Prüfung unseren Prüfkatalog, um Ihre unternehmensspezifischen Dokumente und Nachweise vorab einzutragen.

Unsere erfahrenen und neutralen Prüfer bewerten vor Ort objektiv die Anforderungen zur Planung und Umsetzung Ihrer Angriffserkennungssysteme und identifizieren gemeinsam mit Ihnen Sicherheitsmängel bzw. unterstützen Sie bei der Festlegung geeigneter Umsetzungspläne.

Im ersten Zyklus der SzA-Nachweiserbringung ist ein Umsetzungsgrad der Stufe 3 hinreichend, d.h. Erfüllung aller 68 MUSS-Anforderungen unseres Prüfkatalogs auf Basis der OH-SzA. Die Durchführung der SzA-Prüfung wir Ihnen in jedem Fall mit dem Nachweisdokument P* zur Vorlage beim BSI von uns bestätigt.

Der Nachweis zum Einsatz von SzA ist ab dem 1. Mai 2023 alle zwei Jahre zu erneuern. Inwieweit sich das BSI die Nachhaltigkeit der Umsetzungsplanung zu identifizierten Mängeln vorbehält oder ob diese in der nachfolgenden Prüfung durch die prüfende Stelle geprüft wird, ist noch offen.

Banking13.png
Loading...

Was kostet der SzA-Prüf­nach­weis?

Der Aufwand für die Nach­wei­ser­brin­gung hängt maßgeblich vom Zeit­punkt der Prüfung ab und von den Vor­kennt­nis­sen der DQS zu Ihrem In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem. Aktuell un­ter­schei­den wir 3 Optionen:

  • SzA-Prüfung zeit­gleich mit einem IT-Si­Kat-Au­dit (Bestandskunden)
  • SzA-Prüfung als Einzelprüfung (Bestandskunden)
  • SzA-Prüfung als Einzelprüfung (Neu­kun­den)

Die Vor-Ort-Auf­wen­dun­gen bemessen wir je nach Option mit 0,5 bis 2,0 Per­so­nen­ta­gen. Analoges gilt für Nach­wei­se gemäß § 8a Absatz 3 BSIG, die ab dem 01.05.2023 auch Aussagen zur Um­set­zung des § 8a Abs. 1a ent­hal­ten müssen.

mehr anzeigen
weniger anzeigen
Business2.png
Loading...

Das können Sie von uns erwarten

  • Mehr als fünfunddreißig Jahre Er­fah­rung in der Zer­ti­fi­zie­rung von Ma­nage­ment­sys­te­men und Pro­zes­sen
  • Bran­chen­er­fah­re­ne Au­di­to­ren und Experten mit ausgeprägter Fachkenntnis
  • Wertschöpfende Ein­bli­cke in die In­for­ma­ti­ons­si­cher­heit Ihres Un­ter­neh­mens
  • Ak­kre­di­tier­te Zer­ti­fi­ka­te mit in­ter­na­tio­na­ler Akzeptanz
  • Persönliche rei­bungs­lo­se Be­treu­ung durch unsere Spe­zia­lis­ten – re­gio­nal, national und in­ter­na­tio­nal
  • In­di­vi­du­el­le Angebote mit fle­xi­blen Ver­trags­lauf­zei­ten ohne ver­steck­te Kosten

 

 

 

mehr anzeigen
weniger anzeigen
philipp tesar-dqs-contact person
Loading...

An­ge­bots­an­fra­ge

Ihr An­sprech­part­ner Philipp Tesar

„Gerne er­stel­len wir Ihnen ein maßgeschneidertes Angebot für einen SzA-Prüfnachweis.“

Systeme zur An­griffs­er­ken­nung

Jetzt kos­ten­freie DQS-Web­i­nar­auf­zeich­nung her­un­ter­la­den. Re­fe­rent: Markus Jegelka, DQS-Fach­ex­per­te für Informationssicherheitsmanagementsysteme. 

Zur DQS-Web­i­nar­auf­zeich­nung