Neue zusätzliche Prüfverpflichtung nach IT-Sicherheitsgesetz 2.0 für alle Betreiber von Energieversorgungsnetzen und Energieanlagen – keine Berücksichtigung von Schwellenwerten
Betreiber Kritischer Infrastrukturen haben die Verpflichtung, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Das BSIG benennt nach Umsetzung des 2. IT-Sicherheitsgesetzes im neuen § 8a Absatz 1a BSIG nun auch ausdrücklich den Einsatz von Systemen zur Angriffserkennung (SzA). Das IT-SiG 2.0 definiert Angriffserkennungssysteme als „durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme.
Derartige Systeme stellen eine effektive Maßnahme zur (frühzeitigen) Erkennung von Cyber-Angriffen dar und unterstützen insbesondere die Schadensreduktion und Schadensvermeidung.
Die Betreiber von Energieversorgungsnetzen und Energieanlagen müssen bereits einen von der Bundesnetzagentur veröffentlichten IT-Sicherheitskatalog umsetzen. Nun werden sie durch eine Ergänzung im EnWG zusätzlich zum Einsatz von Systemen zur Angriffserkennung und zu einem entsprechenden Nachweis gegenüber dem BSI verpflichtet. Gemäß § 11 Absatz 1f EnWG müssen sie dem BSI erstmalig am 1. Mai 2023 und danach alle zwei Jahre die Erfüllung der Anforderungen nach § 11 Absatz 1e EnWG nachzuweisen.
Mit dem System zur Angriffserkennung (SzA) nach IT-Sicherheitsgesetz 2.0 müssen Betreiber kritischer Infrastrukturen ihre Cybersicherheit weiter erhöhen und nachweisen.
KRITIS-Unternehmen müssen ein „System zur Angriffserkennung“ (SzA) in ihre IT-Systeme implementieren und dies dem BSI (Bundesamt für Informationstechnik) nachweisen.
Ab dem 1. Mai 2023 besteht eine Verpflichtung zum Einsatz von Systemen zur Angriffserkennung und muss in KRITIS-Prüfungen ab dann auch explizit nachgewiesen werden.
Für Betreiber von Energieversorgungsnetzen und Energieanlagen besteht die Nachweispflicht bereits zum 1. Mai 2023!
Betroffen sind alle Unternehmen und Organisationen, die kritische Infrastrukturen betreiben.
Zu den Bertreibern kritischer Infrastrukturen zählen Unternehmen und Organisationen, die eine wichtige Bedeutung für das staatliche Gemeinwesen haben. Dazu gehören die Sektoren Energie, Wasser, Transport, Verkehr, Ernährung, Gesundheit, Finanz- und Versicherungswesen, Telekommunikation und Informationstechnik. Der Sektor der Siedlungsabfallentsorgung gilt neuerdings ebenfalls als KRITIS-Betreiber. „Unternehmen im besonderen öffentlichen Interesse“ und deren Zulieferer sind mit dem Einsatz von Systemen zur Angriffserkennung nach IT-SiG 2.0 ebenfalls neu hinzugekommen.
Betreiber von Energieversorgungsnetzen und Energieanlagen, die nach der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur gelten, haben gemäß § 11 Absatz 1e EnWG dem BSI erstmalig am 1. Mai 2023 und danach alle zwei Jahre die Erfüllung der Anforderungen nach § 11 Absatz 1f EnWG nachzuweisen.
Für Energienetzbetreiber und -anlagenbetreiber besteht daher eine neue Prüfverpflichtung. Die Prüfung der Systeme zur Angriffserkennung ist nicht in die Zertifizierungsverfahren nach dem IT-Sicherheitskatalog integriert. Vielmehr ist eine zusätzliche Prüfung notwendig.
Auch kleine und mittelgroße Stadtwerke als Betreiber von Energieversorgungsnetzen, die unterhalb der Schwellenwerte gemäß BSI-KritisV liegen, müssen dies Anforderung umsetzen und nachweisen, denn die Schwellenwerte finden keine Berücksichtigung.
Das BSI hat auf ihrer Webseite eine neue Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA) veröffentlicht.
FOX Certification GmbH erfüllt als DAkkS-akkreditierte Zertifizierungsstelle für ISO/IEC 27001:2013 die Anforderungen einer prüfenden Stelle nach BSI.
Wir haben Püfer:innen mit langjähriger Erfahrung in der Auditierung von Managementsystemen und Anlagen kritischer Infrastrukturen. Sie verfügen zusätzlich über die entsprechende Prüfverfahrenskompetenz für § 8a (3) BSIG. Branchenexperten runden unser Profil ab.
Wir erbringen für Ihr Unternehmen den Prüfnachweis für Systeme zur Angriffserkennung nach IT-Sicherheitsgesetz 2.0 termingerecht. Sprechen Sie uns jetzt, erhalten Sie zeitnah ein Angbeot und halten Sie die Frist bis zum 01.05.2023.