Navigation und Service

Um die Bearbeitung zu vereinfachen, ist die Einreichung der Nachweisunterlagen über das Melde- und Informationsportal (kurz MIP) möglich.

Dort kann der Nachweis über den Einsatz von Systemen zur Angriffserkennung als eigenständiger Nachweis für Betreiber, die nach EnWG zum Nachweis verpflichtet sind eingereicht werden. Das Formular „Nachweiseinreichung gem. § 11 Abs. 1f EnWG“ finden Sie im MIP nach dem Login im Reiter „Meldungen“ über den Button „Neue Meldung erstellen“ und die anschließende Auswahl der Meldestelle „KRITIS“.

Eine zusätzliche Übersendung der Nachweisunterlagen auf dem Postweg oder per E-Mail ist nicht erforderlich.

Das IT-SiG 2.0 definiert Angriffserkennungssysteme als „durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme“.

Wie in § 8 a Absatz 1a BSIG definiert, müssen die eingesetzten Systeme zur Angriffserkennung geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.

Der Begriff "Angriffserkennungssysteme" bezieht sich damit auf eine große Bandbreite an technischen und organisatorischen Maßnahmen, die zur Angriffserkennung dienen.

Weitere Informationen finden Sie in der Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung.

Das BSI hat eine neue Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung veröffentlicht. Nach einer öffentlichen Kommentierungsrunde steht die finale Fassung als Version 1.0 zur Verfügung. Diese liefert Anhaltspunkte für die Anforderungen an Betreiber Kritischer Infrastrukturen sowie Betreiber von Energieanlagen und Energieversorgungsnetzen sowie prüfende Stellen.

Weitere Orientierung bieten folgende Bausteine des IT-Grundschutz: Intrusion Detection/Intrusion Prevention Systeme (IDS/IPS) werden z. B. in den Bausteinen OPS.1.1.4 Schutz vor Schadprogrammen, OPS.1.1.5 Protokollierung bzw. NET.3.2 Firewall sowie DER.1 Detektion von sicherheitsrelevanten Ereignissen thematisiert.

Das BSI hat zudem bereits als weiterführendes Dokument zum Themenfeld Intrusion Detection den BSI-Leitfaden zur Einführung von Intrusion-Detection-Systemen, Version 1.0 veröffentlicht.

Die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung besteht gemäß dem Gesetzeswortlaut ab dem 1. Mai 2023.

Nach dem BSIG regulierte Betreiber müssen dem BSI alle zwei Jahre ihre Nachweise gemäß § 8a Absatz 3 BSIG einreichen. Nachweise, die dem BSI ab dem 1. Mai 2023 vorgelegt werden, müssen auch Aussagen zur Umsetzung des Absatzes 1a, also zum Einsatz von Angriffserkennungssystemen, enthalten.

Der § 8a Absatz 1a modifiziert die Anforderungen des § 8a Absatz 1 BSIG. Dementsprechend sind die Nachweise für § 8a Absatz 1 und Absatz 1a auch grundsätzlich gemeinsam beim BSI einzureichen. Dokumente, die nach dem 1. Mai 2023 als Nachweis beim BSI eingereicht werden und nicht auch den angemessenen Einsatz von Systemen zur Angriffserkennung im Sinne des Absatzes 1a nachweisen, stellen nach neuer Gesetzeslage keinen vollständigen Nachweis im Sinne des § 8a Absatz 3 BSIG dar.

Betreiber von Energieversorgungsnetzen und Energieanlagen, die nach der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur gelten, haben gemäß § 11 Absatz 1f EnWG dem Bundesamt für Sicherheit in der Informationstechnik erstmalig am 1. Mai 2023 und danach alle zwei Jahre die Erfüllung der Anforderungen nach § 11 Absatz 1e EnWG nachzuweisen.

Ab dem 01. Mai 2023 sind die Betreiber Kritischer Infrastrukturen durch Inkrafttreten des IT-SiG 2.0 dazu verpflichtet, Systeme zur Angriffserkennung nach dem geltenden Stand der Technik einzusetzen und dies gegenüber dem BSI nachzuweisen. Somit sind, zusätzlich zu den gegenüber der BNetzA erbrachten Nachweisen zur Umsetzung des IT-Sicherheitskatalogs, weitere Nachweise gegenüber dem BSI zu erbringen.

Auch das EnWG sieht die Pflicht vor, parallel zu den Vorschriften aus § 8a Absatz 1, 3 BSIG, erstmalig am 1. Mai 2023 und danach alle zwei Jahre den Einsatz der Angriffserkennungssysteme beim BSI nachzuweisen. Der dafür aufgenommene § 11 Absatz 1f EnWG verweist seit der letzten Ergänzung des EnWG auf die Registrierungspflicht in § 11 Absatz 1d EnWG, dabei handelt es sich jedoch um ein redaktionelles Versehen des Gesetzgebers, der den Verweis auf den ehemaligen Absatz 1d, nun Absatz 1e, nicht angepasst hat (Bundestagsdrucksache 20/1599, Seite 10). Dass sich die Nachweispflicht dennoch, einheitlich zu den sonstigen gesetzlichen Vorschriften, auf den Einsatz der Systeme zur Angriffserkennung bezieht, ergibt sich unmittelbar aus Bundestagsdrucksache 19/26106, Seite 27.

Gemäß § 11 Absatz 1d EnWG sind Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur bestimmt wurden, dazu verpflichtet, Ihre Anlagen beim BSI zu registrieren und eine Kontaktstelle zu benennen. Auf Basis dieser Registrierung müssen die Betreiber dem BSI IT-Störungen melden (vgl. § 11 Absatz 1c EnWG) und erstmalig zum 1. Mai 2023 nachweisen, dass Systeme zur Angriffserkennung eingesetzt werden (vgl. § 11 Absatz 1e EnWG). Diese Verpflichtungen betreffen alle Betreiber von Energieversorgungsnetzen, unabhängig von den in der BSI-Kritisverordnung genannten Schwellenwerten.

Der Nachweis über den Einsatz von Systemen zur Angriffserkennung ist immer vom jeweiligen Genehmigungsinhaber zu erbringen. Eine Übertragung der Betriebsführung an Dritte ist dabei irrelevant. Natürlich wird der Betriebsführer den Genehmigungsinhaber bei der Erbringung der Nachweise unterstützen müssen, da die Auditoren seine Systeme und Prozesse werden prüfen müssen.

Sofern Ihr Unternehmen eine Kontaktstelle gemäß § 11 Absatz 1d EnWG registriert hat, füllen Sie bitte ebenfalls das Formular im Melde- und Informationsportal aus. Dort gibt es die Möglichkeit das Vorliegen einer Nichtabwendbarkeitsbescheinigung anzugeben.

Entfällt

Entfällt

Die Betreiber sind aufgefordert ihre Nachweise über das Melde- und Informationsportal (kurz MIP) zu erbringen, zu dem alle Betreiber bei initialer Registrierung Zugang erhalten. Im MIP steht den Betreibern das verkürzte Formular „Nachweiseinreichung gem. § 11 Abs. 1f EnWG“ zur Ausfüllung und direkten Übermittelung an das BSI zur Verfügung. Weitere Unterlagen werden dem BSI nur auf direkte Aufforderung übermittelt. Eine Bestätigung zur Einreichung ist direkt im MIP herunterladbar. Das BSI bittet darum von einer Einreichung der Unterlagen via BundesPortal, E-Mail oder auf postalischem Wege abzusehen.

Betreiber von Energieanlagen, die keinen Nachweis gemäß § 8a Absatz 1 BSIG erbringen müssen verwenden bitte das im Melde- und Informationsportal hinterlegte Nachweisformular „Nachweiseinreichung gem. § 11 Abs. 1f EnWG“.

Prüfer und Prüfstellen müssen die notwendige Unabhängigkeit und Neutralität einer prüfenden Instanz haben. Zudem sollten Sie fachlich in der Lage sein die Anforderungen zu prüfen. Eine Selbstprüfung oder simple Selbstauskunft wird das BSI daher nicht akzeptieren.

Die Eignungsfeststellung von branchenspezifischen Sicherheitsstandards (B3S) erfolgt regelmäßig für zwei Jahre. Bis zur Vorlage der Orientierungshilfe sowie für B3S, die zu den Anforderungen nach § 8a Absatz 1a BSIG keine ausreichenden Vorgaben machen, kann das BSI jedoch die Eignung für die Umsetzung von § 8a Absatz 1a BSIG nicht feststellen. Die Eignungsfeststellung ist insoweit auf § 8a Absatz 1 BSIG beschränkt und nimmt Absatz 1a aus. Betreiber Kritischer Infrastrukturen müssen dann, wie sonst bei Nicht-Vorliegen eines B3S, individuell, z. B. mittels anderer Standards, angemessene technische und organisatorische Vorkehrungen treffen und nachweisen.

Betriebsführer müssen den Genehmigungsinhaber bei der Erbringung der Nachweise unterstützen, da die Auditoren deren Systeme und Prozesse werden prüfen müssen.

Der Nachweis über den Einsatz von Systemen zur Angriffserkennung ist immer vom jeweiligen Genehmigungsinhaber zu erbringen. Eine Übertragung der Betriebsführung an Dritte ist dabei irrelevant. Natürlich wird der Betriebsführer den Genehmigungsinhaber bei der Erbringung der Nachweise unterstützen müssen, da die Auditoren seine Systeme und Prozesse werden prüfen müssen. Wurde der Betriebsführer bereits auditiert, so kann er die Ergebnisse der bereits erfolgten Auditierung dem Genehmigungsinhaber für den SzA-Nachweis zur Verfügung stellen.

Nein, eine Selbstprüfung ist aufgrund der zwingend notwendigen Unabhängigkeit und Neutralität einer prüfenden Instanz nicht gültig/möglich.

Sofern es aufgrund der notwendigerweise erfolgten Anpassungen der Prüfmodalitäten durch das BSI zu Verzögerungen im Rahmen der ersten SzA-Nachweiserbringung kommen sollte, kann bei entsprechender Begründung eine Fristverlängerung von wenigen Wochen gewährt werden. Die Unternehmen sollten hierfür darlegen können, dass die Verspätung ursächlich durch die seitens des BSI vorgenommenen Änderungen der Prüfmodalitäten zustande kommt.

Das BSI wird es in der ersten Runde der Prüfungen gemäß § 11 EnWG akzeptieren, dass die Prüfung durch Unternehmen erfolgt, die auch bereits als Berater auftraten. Allerdings sind die Grundsätze der Unabhängigkeit und Neutralität insoweit zu wahren, dass die Berater- und Prüferrolle in persona voneinander getrennt werden.