Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen FAQ zum Einsatz von Systemen zur Angriffserkennung aktualisiert und einige Punkte weiter konkretisiert. Es ist wichtig, dass Betreiber von Kritischen Infrastrukturen die neuen Anforderungen und Nachweispflichten kennen und sicherstellen, dass sie angemessene Systeme zur Angriffserkennung einsetzen und dies nachweisen können. Der aktualisierte FAQ kann für die Betreiber von Kritischen Infrastrukturen eine nützliche Informationsquelle sein, um sich über die genauen Anforderungen zu informieren:
(Linkdatum: 15.02.2023)
Wie sehen Sie dem Fristende am 01.05.2023 entgegen?
- Fristgerechte Nachweiserbringung, Reifegrad 3 oder höher
- Fristgerechte Nachweiserbringung, Reifegrad unter 3
- Verspätete Nachweiserbringung, wegen laufender Umsetzung
- Verspätete Nachweiserbringung, wegen Prüfdienstleister
Auszüge aus dem aktualisierten FAQ SzA:
Können Nachweise zur Umsetzung von § 8a Absatz 1 BSIG und § 8a Absatz 1a BSIG gemeinsam erbracht werden?
Der § 8a Absatz 1a modifiziert die Anforderungen des § 8a Absatz 1 BSIG. Dementsprechend sind die Nachweise für § 8a Absatz 1 und Absatz 1a auch grundsätzlich gemeinsam beim BSI einzureichen. Dokumente, die nach dem 1. Mai 2023 als Nachweis beim BSI eingereicht werden und nicht auch den angemessenen Einsatz von Systemen zur Angriffserkennung im Sinne des Absatzes 1a nachweisen, stellen nach neuer Gesetzeslage keinen vollständigen Nachweis im Sinne des § 8a Absatz 3 BSIG dar."
Gilt die Pflicht zur Nachweiserbringung über den Einsatz auch für Betreiber von Energieversorgungsnetzen und kritischen Energieanlagen?
Auch das EnWG sieht die Pflicht vor, parallel zu den Vorschriften aus § 8a Absatz 1, 3 BSIG, erstmalig am 1. Mai 2023 und danach alle zwei Jahre den Einsatz der Angriffserkennungssysteme beim BSI nachzuweisen. Der dafür aufgenommene § 11 Absatz 1f EnWG verweist seit der letzten Ergänzung des EnWG auf die Registrierungspflicht in § 11 Absatz 1d EnWG, dabei handelt es sich jedoch um ein redaktionelles Versehen des Gesetzgebers, der den Verweis auf den ehemaligen Absatz 1d, nun Absatz 1e, nicht angepasst hat (Bundestagsdrucksache 20/1599, Seite 10). Dass sich die Nachweispflicht dennoch, einheitlich zu den sonstigen gesetzlichen Vorschriften, auf den Einsatz der Systeme zur Angriffserkennung bezieht, ergibt sich unmittelbar aus Bundestagsdrucksache 19/26106, Seite 27.
Das Energieversorgungsnetz erreicht nicht den Schwellenwert aus der BSI-Kritisverordnung. Welche Regelungen gelten?
Gemäß § 11 Absatz 1d EnWG sind Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur bestimmt wurden, dazu verpflichtet, Ihre Anlagen beim BSI zu registrieren und eine Kontaktstelle zu benennen. Auf Basis dieser Registrierung müssen die Betreiber dem BSI IT-Störungen melden (vgl. § 11 Absatz 1c EnWG) und erstmalig zum 1. Mai 2023 nachweisen, dass Systeme zur Angriffserkennung eingesetzt werden (vgl. § 11 Absatz 1e EnWG). Diese Verpflichtungen betreffen alle Betreiber von Energieversorgungsnetzen, unabhängig von den in der BSI-Kritisverordnung genannten Schwellenwerten.
Die Betriebsführung ist an Dritte ausgelagert. Welche Regelungen gelten?
Der Nachweis über den Einsatz von Systemen zur Angriffserkennung ist immer vom jeweiligen Genehmigungsinhaber zu erbringen. Eine Übertragung der Betriebsführung an Dritte ist dabei irrelevant. Natürlich wird der Betriebsführer den Genehmigungsinhaber bei der Erbringung der Nachweise unterstützen müssen, da die Auditoren seine Systeme und Prozesse werden prüfen müssen.
Die Bundesnetzagentur hat in einer Mitteilung von März 2022 den Termin 31.03.2024 für die Nachweiseinreichung genannt. Entfällt damit der vom BSI genannte Termin 01.05.2023?
Nein, die Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog § 11 Abs. 1a und 1b EnWG im Fall einer Betriebsführung durch Dritte ist ein Dokument der Bundesnetzagentur und beinhaltet Informationen dazu, dass sich die Netzbetreiber und die Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen in der Konstellation „Betriebsführung durch Dritte“ selbst zu zertifizieren haben. Für die Nachweiserbringung hat die Bundesnetzagentur eine angemessene Frist bis zum 31.03.2024 gewährt. Die Nachweiserbringung für dieses Zertifikat erfolgt gegenüber der BNetzA. Davon zu unterscheiden ist die gesetzliche Pflicht zur Erbringung von Nachweisen über die Einführung und den Betrieb von Systemen zur Angriffserkennung gemäß § 11 Abs. 1e und f EnWG. Dieser Nachweis ist erstmalig spätestens zum 01.05.2023 gegenüber dem BSI zu erbringen.
Kann der Nachweis über den Einsatz von Systemen zur Angriffserkennung zusammen mit der Zertifizierung gemäß IT-Sicherheitskatalog erbracht werden, auch wenn dieser Termin nach dem 1. Mai 2023 liegt?
Nein, der Nachweis über den Einsatz von Systemen zur Angriffserkennung muss dem BSI erstmalig zum 1. Mai 2023 vorgelegt werden.
Welche Änderung gibt es hinsichtlich der Anforderungen an Prüfstellen für Prüfungen gemäß § 11 Absatz 1f EnWG bei Betreibern von Energieversorgungsnetzen und Energieanlagen?
Nachweise über den Einsatz von Systemen zur Angriffserkennung sollen grundsätzlich durch Prüfstellen erstellt werden, die für die Durchführung von Prüfungen gemäß § 11 Absatz 1a und Absatz 1b EnWG akkreditiert sind. Für den aktuellen Prüfturnus sieht das BSI von der Beschränkung auf akkreditierte prüfende Stellen ab, um den rechtzeitigen Abschluss der Prüfungen zu gewährleisten. Das BSI empfiehlt, sich zur Festlegung der Prüfbedingungen an den Kriterien zur Zertifizierung nach den IT-Sicherheitskatalogen der Bundesnetzagentur zu orientieren.
