Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ ist in Kraft getreten. Damit sind Betreiber kritischer Infrastrukturen zur Gewährleistung eines Mindeststandards an IT-Sicherheit verpflichtet. Auch Energieversorger sind betroffen. Die Arbeitsgemeinschaft für sparsame Energie- und Wasserverwendung (ASEW) rät zu rascher Vorbereitung auf die kommenden Verpflichtungen.
Das IT-Sicherheitsgesetz bringt zunächst verschärfte Anforderungen für Kernkraftwerksbetreiber und Telekommunikationsunternehmen mit sich. Diese müssen „erhebliche“ IT-Sicherheitsvorfälle beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Außerdem ist alle zwei Jahre ein Nachweis über die Erfüllung der Sicherheitsstandards zu erbringen.
Für alle anderen Energieversorger gelten die Regelungen erst, wenn eine Rechtsverordnung in Kraft tritt, die Einzelheiten regelt. Das Bundesinnenministerium erarbeitet aktuell einen Entwurf. Parallel werden gemeinsam mit der Wirtschaft Mindeststandards zur IT-Sicherheit entwickelt.
Pflichten zeichnen sich ab
Auch wenn die Rechtsverordnung noch nicht in Kraft ist, zeichnen sich die weitergehenden Pflichten bereits ab. So sind Unternehmen mit weniger als zehn Mitarbeitern und einem Jahresumsatz oder einer Bilanzsumme von weniger als zwei Millionen Euro (Kleinstunternehmen) von den Melde- und Auditierungspflichten ausgenommen. Nach Inkrafttreten der Verordnung haben die betroffenen Unternehmen zwei Jahre Zeit, um den Anforderungen gerecht zu werden.
Gerade Stadtwerke sollten sich nunmehr informieren und erste Schritte zur Erfüllung der kommenden Verpflichtungen einleiten. „Auch wenn zwei Jahre nach viel Zeit klingt, ist die Umsetzung von Maßnahmen doch komplex“, sagt David Schymczyk, Kunden- und Produktmanager bei der ASEW. „Gerade die Implementierung eines entsprechenden Informationssicherheitsmanagementsystems (ISMS), das den Forderungen nach regelmäßiger Überprüfung der Sicherheitsanforderungen genügt, erfordert gute Planung und damit Zeit. Eine Befassung mit den Anforderungen ist also in jedem Fall anzuraten. Wir erarbeiten derzeit ein Angebot, das Stadtwerke hierbei unterstützen wird.“
Plattform soll KMU unterstützen
Die ASEW ist aktuell am Projekt SIDATE (Sichere Informationsnetze bei kleinen und mittleren Energieversorgern) beteiligt. Ziel des vom Bundesforschungsministerium geförderten Projektes ist die Entwicklung einer Plattform, die besonders kleine und mittlere Unternehmen bei der effizienten Verwaltung und Absicherung ihrer IT-Infrastrukturen unterstützt. Darüber hinaus soll die Entwicklung von angepassten Maßnahmen (Guidelines) bei der Erfüllung der neuen rechtlichen Verpflichtungen helfen. Ein Arbeitskreis IT-Sicherheit befindet sich im Aufbau. Dieser soll den Austausch intensivieren sowie die Arbeit rund um das Thema IT-Sicherheit bündeln helfen.