IT-Sicherheitsgesetz: Fristen und Pflichten
Die Zeit drängt: Das IT-Sicherheitsgesetz (IT-SiG) ist im Juli in Kraft getreten. Alle Unternehmen, deren Infrastrukturen als kritisch eingestuft werden, müssen nun zügig ihre IT-Sicherheitstechnik auf Vordermann bringen. Wer betroffen ist, worauf die Firmen achten müssen und welche Fristen gelten, sagen QSC-Consultant Dr. Katja Siegemund und Detlev Tong, Leiter Business Consulting & Services der QSC AG. Sie unterstützen die betroffenen Unternehmen dabei, die neuen Sicherheitsvorschriften korrekt umzusetzen.
Frau Dr. Siegemund, Herr Tong, am 25. Juli 2015 ist das IT-Sicherheitsgesetz (IT-SiG) in Kraft getreten. Wie lauten die Kernforderungen des Gesetzes?
Siegemund: Das IT-SiG fordert von Betreibern kritischer Infrastrukturen (KRITIS) die Umsetzung branchenspezifischer Mindeststandards für ihre IT-Sicherheit.
Weiterhin verlangt es die Meldung erheblicher IT-Störungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI), falls diese zu einem Ausfall oder einer Beeinträchtigung der Kritischen Infrastruktur führen können oder gar geführt haben.
Gibt es denn eine Liste der Unternehmen, die als Betreiber Kritischer Infrastruktur eingestuft werden?
Siegemund: Nein. Eine solche Liste wird es auch nicht geben. Stattdessen werden Schwellenwerte für die einzelnen Branchen definiert, ab denen die Regelungen des IT-Sicherheitsgesetzes gelten.
Diese Schwellenwerte sollen zum Jahresende 2015 in einer Rechtsverordnung zum §10 BSI-Gesetz festgelegt werden, in der so genannten BSI-KRITIS-VO. Mit Veröffentlichung dieser Verordnung müssen Unternehmen prüfen, ob sie die Schwellenwerte erreichen.
Haben Sie als IT-Experten für die Energiewirtschaft bereits Anhaltspunkte dafür, welche Unternehmen dieser Branche betroffen sein werden?
Tong: Ja, denn für die Energiewirtschaft wurde schon im Energiewirtschaftsgesetz (EnWG) in der Fassung aus dem Jahr 2011 festgelegt, dass die Bundesnetzagentur (BNetzA) einen IT-Sicherheitskatalog ausarbeiten muss.
Das erfolgte in Zusammenarbeit mit dem BSI. Der IT-Sicherheitskatalog stand daraufhin ab Dezember 2013 zur Konsultation zur Verfügung.
Am 12. August 2015 wurde dieser Sicherheitskatalog in seiner endgültigen Fassung von der BNetzA veröffentlicht. Er ist somit der branchenspezifische Standard für die Energiewirtschaft und bereits jetzt für sämtliche Strom- und Gasnetzbetreiber verpflichtend. Sie müssen den Katalog unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden erfüllen.
Für weitere Energieunternehmen ist zu analysieren, inwieweit deren Telekommunikations- und EDV-Systeme zu einem sicheren Netzbetrieb beitragen oder dafür wesentlich sind. Das betrifft im Besonderen Betreiber von Anlagen zur Erzeugung oder Speicherung von Energie – aber auch Unternehmen, deren Tätigkeiten Einfluss auf die Netzsteuerung nehmen, wie zum Beispiel die Marktgebietsverantwortlichen im Gassektor.
Rechtlich sieht das übrigens so aus: Das IT-SiG ist ein sogenanntes Artikelgesetz. Das heißt, es zieht Änderungen in anderen Gesetzen nach sich, z.B. im BSI-Gesetz, aber auch im EnWG. So sind alle neuen Regelungen zur IT-Sicherheit für Unternehmen der Energiebranche im EnWG verankert, im Wesentlichen in § 11 Abs. 1a bis 1c EnWG.
Was fordert dieser IT-Sicherheitskatalog von den betroffenen Firmen der Energiewirtschaft?
Siegemund: Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung durch eine hierfür zugelassene, unabhängige Stelle.
Damit soll ein angemessener Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, sichergestellt werden.
Außerdem muss der Bundesnetzagentur ein Ansprechpartner für die IT-Sicherheit benannt werden. Bei Strom- und Gasnetzbetreibern muss dies bereits bis zum 30. November 2015 erfolgen.
Tong: Auch zu beachten ist, dass der Netzbetreiber auch dann die Verantwortung für Anwendungen, Systeme und Komponenten trägt, wenn diese von einem externen Dienstleister bedient werden, beispielsweise im Rahmen von Outsourcing.
Informationssicherheits-Managementsystem – ein langes Wort. Was genau verbirgt sich dahinter?
Siegemund: Ein ISMS definiert Regeln und Prozesse, die der Steuerung, Kontrolle, Wahrung und fortlaufenden Optimierung der Informationssicherheit im Unternehmen dienen. Die Einführung eines zertifizierungsfähigen ISMS ist ein längerer Prozess und besteht aus mehreren Teilaufgaben.
Die KRITIS-Unternehmen haben rund zwei Jahre für die Einführung und Zertifizierung Zeit. Das heißt konkret: Sie müssen der Bundesnetzagentur bis zum 31. Januar 2018 die Umsetzung des IT-Sicherheitskataloges durch die Vorlage einer Kopie des ISO-27001-Zertifikats mitteilen.
Das ist recht knapp bemessen, wenn man berücksichtigt, wie viel Zeit allein für die Ressourcenabschätzung, Mittelanforderung und Umsetzungsentscheidungen im Vorfeld benötigt wird.
Welche Ressourcen benötigt man für die Einführung eines ISMS?
Tong: Wenn alles im eigenen Unternehmen geleistet werden soll, muss dafür im Durchschnitt eine Vollzeitstelle für ein Jahr eingeplant werden. Danach ist das ISMS fortzuführen, allerdings reduziert sich der Aufwand in der Folgezeit um etwa 50 Prozent.
Unternehmen haben natürlich auch die Möglichkeit, einen externen Dienstleister hinzuzuziehen und nur einen Teil der Arbeit selbst durchzuführen.
Sinnvoll kann zum Beispiel sein, die IT-Sicherheitsanalyse und deren Auswertung oder auch die regelmäßigen Sicherheitsüberprüfungen von einem externen Unternehmen leisten zu lassen. So wird gleichzeitig die Objektivität der Ergebnisse gewährleistet.
Als dritte Alternative bietet sich eine vollständige externe Unterstützung an. Dies ist insbesondere dann angemessen, wenn das Unternehmen nicht über eine eigene IT-Fachabteilung und damit entsprechende Ressourcen und Know-how verfügt. Dann könnte die Schaffung einer entsprechenden Stelle unter Umständen teurer sein als der Einkauf einer Dienstleistung.
Der Zeitplan zum IT-Sicherheitsgesetz (IT-SiG):
25.07.2015 > IT-SiG in Kraft getreten.
12.08.2015 > IT-Sicherheitskatalog der Bundesnetzagentur für die Energiewirtschaft veröffentlicht.
Bis 30.11.2015 > Strom- und Gasnetzbetreiber müssen Ansprechpartner für IT-Sicherheit benennen.
Bis 31.12.2015 > Rechtsverordnung zum BSI-Gesetz definiert Schwellenwerte dafür, welche weiteren Unternehmen zu KRITIS zählen.
Bis 31.01.2018 > Alle KRITIS-Unternehmen der Energiebranche müssen ein Informationssicherheits-Managementsystem eingeführt und die Zertifizierung dafür erhalten haben.
Für die übrigen Branchen / Sektoren gelten die Termine anhand der zum Jahresende 2015 erscheinenden Rechtsverordnung.
Und was müssen Unternehmen beachten, für die noch nicht feststeht, ob sie den IT-Sicherheitskatalog erfüllen müssen?
Tong: Das wesentliche Kriterium ist, ob die Unternehmen eine Kritische Infrastruktur im Sinne des EnWG besitzen. Sie müssen sich fragen:
- Hätte die Beeinträchtigung oder der Ausfall der unternehmenseigenen IT weitreichende gesellschaftliche Folgen?
- Würde dies zu erheblichen Versorgungsengpässen führen oder die öffentliche Sicherheit gefährden?
- Sprich: Beeinflusst ein Ausfall oder eine Störung der eigenen Systeme den Netzbetrieb derart, dass die vorgenannten Folgen nicht ausgeschlossen werden können?
Wenn die Unternehmen mindestens eine dieser Fragen mit „Ja“ beantworten, ist die Wahrscheinlichkeit sehr hoch, als KRITIS definiert zu werden. Dann sollten sie zumindest eine Vorab-Analyse durchführen. Diese zeigt die möglichen Lücken auf, die zur Umsetzung eines ISMS fehlen.
Wie reagieren Ihre Kunden auf den IT-Sicherheitskatalog?
Tong: Einige unserer Kunden haben bereits damit begonnen, sich intensiver damit zu befassen oder sogar schon eine erste Analyse durchgeführt.
Wir wurden und werden nach wie vor häufig um eine erste Hilfestellung gebeten. Gefragt sind ein detaillierter Einblick in das Thema Informationssicherheit, Informationen zur Umsetzung eines ISMS sowie rechtliche Hintergründe und Forderungen.
Und wie sieht es mit der IT-Sicherheit bei QSC aus?
Tong: Als Betreiber eines bundesweiten Telekommunikationsnetzes war man sich hier bereits frühzeitig der damit verbundenen Verantwortung bewusst: Letztlich dient ein ISMS nicht in erster Linie der Erfüllung einer gesetzlichen Anforderung, sondern ist ein wesentlicher Beitrag zur Gewährleistung der Sicherheit der TK- und EDV-Systeme.
Aus diesem Grund hat QSC schon im Jahr 2005 damit begonnen, ein eigenes ISMS aufzubauen, das nach ISO 27001 zertifiziert ist. Über die Jahre haben wir unseren ISMS-Prozess immer weiter optimiert und die Zertifizierung nach und nach auf alle zwölf Unternehmensstandorte ausgeweitet.
Aufgrund dieser langjährigen Erfahrung haben wir uns auch entschlossen, unseren Kunden eine umfangreiche Beratung und eine Umsetzungsunterstützung bei der ISMS-Einführung anzubieten.
Weitere Informationen:
- QSC-Blog: IT-Sicherheitsgesetz passiert den Bundesrat
- QSC-Blog: IT-Sicherheitsgesetz: Problematische Haftungsrisiken
- QSC-Website: ITK-Services für die Energiewirtschaft
Interesse an einer Beratung?
Wenn Sie detaillierte Informationen zum Thema IT-Sicherheit, zum IT-Sicherheitsgesetz oder über die ISMS-Einführung benötigen, kontaktieren Sie uns gerne:
Dr. Katja Siegemund Business Consultant E-Mail: email hidden; JavaScript is required Telefon: 040-27136-8364 |
Britta Wells Direkter Vertrieb Energie & Public E-Mail: email hidden; JavaScript is required Telefon: 040-27136-9026 |
---|