Fragen und Antworten zum Einsatz von Systemen zur Angriffserkennung
Das IT-SiG 2.0 definiert Angriffserkennungssysteme als „durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme“.
Wie in § 8 a Absatz 1a BSIG definiert, müssen die eingesetzten Systeme zur Angriffserkennung geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.
Der Begriff "Angriffserkennungssysteme" bezieht sich damit auf eine große Bandbreite an technischen und organisatorischen Maßnahmen, die zur Angriffserkennung dienen. Das BSI wird zur Definition eine Orientierungshilfe herausgeben, welche allgemein und branchenübergreifend beschreibt, was unter einem System zur Angriffserkennung zu verstehen ist. Eventuell branchenspezifisch notwendige Definitionen des Stands der Technik plant das BSI, in Kooperation mit den Betreibern zu erarbeiten.
Das BSI hat eine neue Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung veröffentlicht. Nach einer öffentlichen Kommentierungsrunde steht die finale Fassung als Version 1.0 zur Verfügung. Diese liefert Anhaltspunkte für die Anforderungen an Betreiber Kritischer Infrastrukturen sowie Betreiber von Energieanlagen und Energieversorgungsnetzen sowie prüfende Stellen.
Die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung besteht gemäß dem Gesetzeswortlaut ab dem 1. Mai 2023.
Nach dem BSIG regulierte Betreiber müssen dem BSI alle zwei Jahre ihre Nachweise gemäß § 8a Absatz 3 BSIG einreichen. Nachweise, die dem BSI ab dem 1. Mai 2023 vorgelegt werden, müssen auch Aussagen zur Umsetzung des Absatzes 1a, also zum Einsatz von Angriffserkennungssystemen, enthalten.
Der § 8a Absatz 1a modifiziert die Anforderungen des § 8a Absatz 1 BSIG. Dementsprechend sind die Nachweise für § 8a Absatz 1 und Absatz 1a auch grundsätzlich gemeinsam beim BSI einzureichen. Dokumente, die nach dem 1. Mai 2023 als Nachweis beim BSI eingereicht werden und nicht auch den angemessenen Einsatz von Systemen zur Angriffserkennung im Sinne des Absatzes 1a nachweisen, stellen nach neuer Gesetzeslage keinen vollständigen Nachweis im Sinne des § 8a Absatz 3 BSIG dar.
Betreiber von Energieversorgungsnetzen und Energieanlagen, die nach der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur gelten, haben gemäß § 11 Absatz 1f EnWG dem Bundesamt für Sicherheit in der Informationstechnik erstmalig am 1. Mai 2023 und danach alle zwei Jahre die Erfüllung der Anforderungen nach § 11 Absatz 1e EnWG nachzuweisen.
Ab dem 01. Mai 2023 sind die Betreiber Kritischer Infrastrukturen durch Inkrafttreten des IT-SiG 2.0 dazu verpflichtet, Systeme zur Angriffserkennung nach dem geltenden Stand der Technik einzusetzen und dies gegenüber dem BSI nachzuweisen. Somit sind, zusätzlich zu den gegenüber der BNetzA erbrachten Nachweisen zur Umsetzung des IT-Sicherheitskatalogs, weitere Nachweise gegenüber dem BSI zu erbringen.
Auch das EnWG sieht die Pflicht vor, parallel zu den Vorschriften aus § 8a Absatz 1, 3 BSIG, erstmalig am 1. Mai 2023 und danach alle zwei Jahre den Einsatz der Angriffserkennungssysteme beim BSI nachzuweisen. Der dafür aufgenommene § 11 Absatz 1f EnWG verweist seit der letzten Ergänzung des EnWG auf die Registrierungspflicht in § 11 Absatz 1d EnWG, dabei handelt es sich jedoch um ein redaktionelles Versehen des Gesetzgebers, der den Verweis auf den ehemaligen Absatz 1d, nun Absatz 1e, nicht angepasst hat (Bundestagsdrucksache 20/1599, Seite 10). Dass sich die Nachweispflicht dennoch, einheitlich zu den sonstigen gesetzlichen Vorschriften, auf den Einsatz der Systeme zur Angriffserkennung bezieht, ergibt sich unmittelbar aus Bundestagsdrucksache 19/26106, Seite 27.
Gemäß § 11 Absatz 1d EnWG sind Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur bestimmt wurden, dazu verpflichtet, Ihre Anlagen beim BSI zu registrieren und eine Kontaktstelle zu benennen. Auf Basis dieser Registrierung müssen die Betreiber dem BSI IT-Störungen melden (vgl. § 11 Absatz 1c EnWG) und erstmalig zum 1. Mai 2023 nachweisen, dass Systeme zur Angriffserkennung eingesetzt werden (vgl. § 11 Absatz 1e EnWG). Diese Verpflichtungen betreffen alle Betreiber von Energieversorgungsnetzen, unabhängig von den in der BSI-Kritisverordnung genannten Schwellenwerten.
Der Nachweis über den Einsatz von Systemen zur Angriffserkennung ist immer vom jeweiligen Genehmigungsinhaber zu erbringen. Eine Übertragung der Betriebsführung an Dritte ist dabei irrelevant. Natürlich wird der Betriebsführer den Genehmigungsinhaber bei der Erbringung der Nachweise unterstützen müssen, da die Auditoren seine Systeme und Prozesse werden prüfen müssen.
Sofern Ihr Unternehmen eine Kontaktstelle gemäß § 11 Absatz 1d EnWG registriert hat, senden Sie die Bescheinigung bitte an kritische.infrastrukturen@bsi.bund.de. Nicht registrierte Unternehmen müssen keine Nichtanwendbarkeitsbescheinigung einreichen.
Nein, die Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog § 11 Abs. 1a und 1b EnWG im Fall einer Betriebsführung durch Dritte ist ein Dokument der Bundesnetzagentur und beinhaltet Informationen dazu, dass sich die Netzbetreiber und die Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen in der Konstellation „Betriebsführung durch Dritte“ selbst zu zertifizieren haben. Für die Nachweiserbringung hat die Bundesnetzagentur eine angemessene Frist bis zum 31.03.2024 gewährt. Die Nachweiserbringung für dieses Zertifikat erfolgt gegenüber der BNetzA.
Davon zu unterscheiden ist die gesetzliche Pflicht zur Erbringung von Nachweisen über die Einführung und den Betrieb von Systemen zur Angriffserkennung gemäß § 11 Abs. 1e und f EnWG. Dieser Nachweis ist erstmalig spätestens zum 01.05.2023 gegenüber dem BSI zu erbringen.
Nein, der Nachweis über den Einsatz von Systemen zur Angriffserkennung muss dem BSI erstmalig zum 1. Mai 2023 vorgelegt werden.
Die Formulare zur Erbringung von Nachweisen gemäß § 8a Absatz 3 BSIG für KRITIS-Betreiber wurden um einen Abschnitt zu Systemen zur Angriffserkennung ergänzt.
Für Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die als Kritische Infrastruktur gelten (Nachweise gemäß § 11 Absatz 1f EnWG), hat das BSI eigene Nachweis-Formulare veröffentlicht.
Die genannten Formulare und Informationen zur verschlüsselten Kommunikation mit dem BSI finden Sie auf der KRITIS-Downloadseite.
Betreiber von Energieanlagen, die keinen Nachweis gemäß § 8a Absatz 1 BSIG erbringen müssen verwenden bitte die Formulare KI* und P*.
Prüfer und Prüfstellen müssen die notwendige Unabhängigkeit und Neutralität einer prüfenden Instanz haben. Zudem sollten Sie fachlich in der Lage sein die Anforderungen zu prüfen. Eine Selbstprüfung oder simple Selbstauskunft wird das BSI daher nicht akzeptieren.
Das BSI wird für den ersten Turnus der Prüfungen gemäß § 11 EnWG auf die Vorgabe von weiteren Anforderungen an die prüfenden Stellen und Prüfer verzichten.
Die Eignungsfeststellung von branchenspezifischen Sicherheitsstandards (B3S) erfolgt regelmäßig für zwei Jahre. Bis zur Vorlage der Orientierungshilfe sowie für B3S, die zu den Anforderungen nach § 8a Absatz 1a BSIG keine ausreichenden Vorgaben machen, kann das BSI jedoch die Eignung für die Umsetzung von § 8a Absatz 1a BSIG nicht feststellen. Die Eignungsfeststellung ist insoweit auf § 8a Absatz 1 BSIG beschränkt und nimmt Absatz 1a aus. Betreiber Kritischer Infrastrukturen müssen dann, wie sonst bei Nicht-Vorliegen eines B3S, individuell, z. B. mittels anderer Standards, angemessene technische und organisatorische Vorkehrungen treffen und nachweisen.
Betriebsführer müssen den Genehmigungsinhaber bei der Erbringung der Nachweise unterstützen, da die Auditoren deren Systeme und Prozesse werden prüfen müssen.
Der Nachweis über den Einsatz von Systemen zur Angriffserkennung ist immer vom jeweiligen Genehmigungsinhaber zu erbringen. Eine Übertragung der Betriebsführung an Dritte ist dabei irrelevant. Natürlich wird der Betriebsführer den Genehmigungsinhaber bei der Erbringung der Nachweise unterstützen müssen, da die Auditoren seine Systeme und Prozesse werden prüfen müssen.
Nein, eine Selbstprüfung ist aufgrund der zwingend notwendigen Unabhängigkeit und Neutralität einer prüfenden Instanz nicht gültig/möglich.
Sofern es aufgrund der notwendigerweise erfolgten Anpassungen der Prüfmodalitäten durch das BSI zu Verzögerungen im Rahmen der ersten SzA-Nachweiserbringung kommen sollte, kann bei entsprechender Begründung eine Fristverlängerung von wenigen Wochen gewährt werden. Die Unternehmen sollten hierfür darlegen können, dass die Verspätung ursächlich durch die seitens des BSI vorgenommenen Änderungen der Prüfmodalitäten zustande kommt.
Das BSI wird es in der ersten Runde der Prüfungen gemäß § 11 EnWG akzeptieren, dass die Prüfung durch Unternehmen erfolgt, die auch bereits als Berater auftraten. Allerdings sind die Grundsätze der Unabhängigkeit und Neutralität insoweit zu wahren, dass die Berater- und Prüferrolle in persona voneinander getrennt werden.
Bei der Betriebsführung durch Dritte wird unterschieden zwischen
Genehmigungsinhabern die über keine eigene IT verfügen, die vom Geltungsbereich des IT-Sicherheitskatalogs erfasst ist und
Genehmigungsinhabern die über IT verfügen, die vom Geltungsbereich des IT-Sicherheitskatalogs erfasst ist.
Zu 1)
Genehmigungsinhaber die über keine eigene IT verfügen, die vom Geltungsbereich des IT-Sicherheitskatalogs erfasst ist müssen für einen Nachweis gemäß § 11 Absatz 1 EnWG folgende Dokumente im BSI einreichen:
Nachweisdokument KI*
(ausgefüllt und unterschrieben vom Genehmigungsinhaber, da dieser verantwortlich ist)
Nachweisdokument P*
mit den Angaben des Betriebsführers inklusive des für den Genehmigungsinhaber relevanten Geltungsbereichs und zugehöriger Mängelliste
Zu 2)
Genehmigungsinhaber die über eigene IT verfügen, die vom Geltungsbereich des IT-Sicherheitskatalogs erfasst ist müssen für einen Nachweis gemäß § 11 Absatz 1 EnWG folgende Dokumente im BSI einreichen:
Nachweisdokument KI*
(ausgefüllt und unterschrieben vom Genehmigungsinhaber, da dieser verantwortlich ist)
Nachweisdokument P*
mit den Angaben des Genehmigungsinhabers inkl. relevantem Geltungsbereich und zugehöriger Mängelliste
Nachweisdokument P*
mit den Angaben des Betriebsführers inklusive des für den Genehmigungsinhaber relevanten Geltungsbereichs und zugehöriger Mängelliste
HINWEISE
In beiden o.g. Fällen muss aus den Dokumenten klar hervorgehen, dass die für die Betriebsführung beim Genehmigungsinhaber relevanten Systeme im Geltungsbereich des Betriebsführers enthalten sind und geprüft wurden. Im Zweifelsfall ist eine Bestätigung des Betriebsführers hierüber erforderlich.
Sofern in der Prüfung keine Mängel festgestellt wurden, ist dies durch Ankreuzen des explizit hierfür vorgesehenen Feldes im Nachweisdokument P* zu bestätigen (bitte keine leeren Mängellisten einreichen).