3 / IT-Sicherheit für KRITIS-Unternehmen in der digitalen Energiewirtschaft
2.1 Betreiber Kritischer Infrastruktur
Unter einer Kritischen Infrastruktur versteht man Einrichtungen, Anlagen oder Teile für bestimmte Sektoren im öffentlichen Interesse, bei denen ein Ausfall weitreichende und schwerwiegende Auswirkungen auf die Gesellschaft haben könnte.
Nach § 2 Abs. 10 BSIG werden sieben Sektoren als kritisch eingestuft. Dazu zählen:
↳der Energiesektor
↳der Wassersektor
↳der Ernährungssektor
↳die Informationstechnik und Telekommunikation
↳der Gesundheitssektor
↳das Finanz- und Versicherungswesen sowie
Anlagenkategorie Bemessungskriterium Schwellenwert
Verteilernetz
Messstelle
Durch Letztverbraucher/Weiterverteiler entnommene Jahresarbeit
Leistung der angeschlossenen Verbrauchsstelle bzw. Einspeisung Anlage zur Steuerung/
Bündelung elektrische
Leistung Installierte Netto-Nennleistung 420 MW
420 MW Übertragungsnetz Durch Letztverbraucher/Weiterverteiler
entnommene Jahresarbeit 3.700 GWh/Jahr
3.700 GWh/Jahr Zentrale Anlage und Systeme
für den Stromhandel Handelsvolumen an der Börse 200 TWh/Jahr
Erzeugungsanlage Installierte Netto-Nennleistung 420 MW
Dezentrale
Erzeugungsanlage Installierte Netto-Nennleistung 420 MW
KWK-Anlage Installierte Netto-Nennleistung 420 MW
Speicheranlage Installierte Netto-Nennleistung 420 MW
Tabelle: Stromversorgung - Anlagenkategorien und Schwellenwerte,
Schwellenwerte für Betreiber Kritischer Infrastruktur in der Stromversorgung:
↳der Transport- und Verkehrssektor
Damit Einrichtungen, Anlagen oder Teile dieser Sektoren im Sinne des ITSicherheitsgesetzes als Kritische Infrastruktur betrachtet werden, müssen zusätzliche Bedingungen erfüllt sein.
In der Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIG (auch BSIKritis
verordnung oder kurz BSIKritisV genannt) sind messbare Kriterien (Schwellenwerte) definiert worden, welche es den Betreibern erleichtern zu überprüfen, ob ihre Anlagen in den Regelungsbe
reich des ITSicherheitsgesetzes fallen oder nicht.
Im Zuge dieses Beitrags werden im Folgenden ausschließlich die Schwellenwerte für die Energie
versorgung betrachtet. Die Kriterien der anderen kritischen Sektoren werden nicht berücksichtigt.
Quelle: BSI-KritisV Anhang 1 Teil 3
3 / IT-Sicherheit für KRITIS-Unternehmen in der digitalen Energiewirtschaft
Anlagenkategorie Bemessungskriterium Schwellenwert
Gasverteilernetz
Gasförderanlage Energie des geförderten Gases 5.190 GWh/Jahr
5.190 GWh/Jahr
Gasspeicher Entnommene Arbeit 5.190 GWh/Jahr
Fernleitungsnetz Durch Letztverbraucher/Weiterverteiler 5.190 GWh/Jahr
entnommene Jahresarbeit Entnommene Arbeit
Schwellenwerte für Betreiber Kritischer Infrastruktur in der Gasversorgung:
Tabelle 1: Gasversorgung - Anlagenkategorien und Schwellenwerte,
Schwellenwerte für Betreiber Kritischer Infrastruktur in der Kraftstoff- und Heizölversorgung:
Tabelle 2: Kraftstoff- und Heizölversorgung - Anlagenkategorien und Schwellenwerte,
Anlagenkategorie Bemessungskriterium Schwellenwert
Raffinerie
Mineralölfernleitung
Ölförderanlage Gefördertes Rohöl 4,4 Mio. Tonnen/Jahr
Anlage zur
standort-übergreifenden Steuerung Verteilte Menge Heizöl 620.000 Tonnen/Jahr
420.000 Tonnen/Jahr 620.000 Tonnen/Jahr 4,4 Mio. Tonnen/Jahr Erzeugter Kraftstoff
Erzeugtes Heizöl
Transportierte Rohöl- oder Produktenmenge
Öl- und Produktenlager
Anlage zur standort-übergreifenden Steuerung
Anlage zum Vertrieb von Kraftstoff und Heizöl
Umgeschlagene Rohölmenge Umgeschlagene Menge Kraftstofft Umgeschlagene Menge Heizöl
420.000 Tonnen/Jahr 620.000 Tonnen/Jahr 4,4 Mio. Tonnen/Jahr
4,4 Mio. Tonnen/Jahr Transportierte Rohöl- oder
Produktenmenge
Umgeschlagene Rohölmenge Umgeschlagene Menge Kraftstofft Umgeschlagene Menge Heizöl
420.000 Tonnen/Jahr 620.000 Tonnen/Jahr Verteilte Menge Kraftstoff
Verteilte Menge Heizöl
420.000 Tonnen/Jahr
620.000 Tonnen/Jahr Anlage zum Vertrieb von
Kraftstoff und Heizöl
Verteilte Menge Kraftstoff Verteilte Menge Heizöl Verteilte Menge Heizöl
420.000 Tonnen/Jahr 620.000 Tonnen/Jahr 620.000 Tonnen/Jahr 4,4 Mio. Tonnen/Jahr
Quelle: BSI-KritisV Anhang 1 Teil 3
Quelle: BSI-KritisV Anhang 1 Teil 3
3 / IT-Sicherheit für KRITIS-Unternehmen in der digitalen Energiewirtschaft
der Kritischen Infrastruktur führen könnte.4 Weiterhin schreibt der Gesetzgeber vor, dass eine Meldung Angaben zu:
↳der Störung,
↳den möglichen grenzübergreifenden Auswirkungen,
↳den technischen Rahmenbedingungen,
↳den vermuteten oder tatsächlichen Ursachen,
↳der betroffenen Informationstechnik,
↳der Art der betroffenen Einrichtung oder Anlage,
↳der erbrachten kritischen Dienstleistung und
↳den Auswirkungen der Störung auf diese Dienstleistung
enthalten muss.
Die Regelungen des BSIG greifen jedoch nach
§ 8d Abs. 2 Satz 2 BSIG nicht für „Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes (EnWG) [..],
4 Siehe § 8b Abs. 4 S. 1,2 BSIG.
2.2 Pflichten für KRITIS- Betreiber nach BSIG
Erreicht bzw. überschreitet ein Unternehmen die Schwellenwerte aus der BSIKritisverordnung, ist es gesetzlich dazu verpflichtet, nach § 8a Abs.1 BSIG angemessene, organisatorische und techni
sche Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme zu treffen. Hierfür sollen sich die Betreiber an dem aktuellen Stand der Technik orientieren oder sie schlagen branchenspezifische Sicherheits
standards zur Gewährleistung der Anforderungen selbst vor (§ 8a Abs.2 BSIG). Diese müssen zunächst jedoch durch das BSI geprüft werden.
Anschließend schreibt der Gesetzgeber in
§ 8a Abs.3 BSIG eine regelmäßige Überprüfung zur Erfüllung der Anforderungen aus § 8a Abs.1 BSIG vor und kann die Nachweise, welche in Form von Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen können, durch das BSI auch per Gesetz vom Unternehmen einfordern.
Der § 8b verpflichtet Betreiber Kritischer Infra
strukturen des Weiteren zur Benennung einer Kontaktstelle für das BSI und zu Meldungen im Störungsfall. Hierzu zählen Störungen der Ver
fügbarkeit, Integrität, Authentizität und Vertrau
lichkeit der ITSysteme, Komponenten oder Pro zesse, die zu einem Ausfall oder zu einer er
heblichen Beeinträchtigung der Funktionsfähigkeit
Anlagenkategorie Bemessungskriterium Schwellenwert
Heizwerk Gasspeicher Fernleitungsnetz
Ausgeleitete Wärmeenergie 2.300 GWh/Jahr
2.300 GWh/Jahr 250.000 Ausgeleitete Wärmeenergie
Ausgeleitete Wärmeenergie
Schwellenwerte für Betreiber Kritischer Infrastruktur in der Fernwärmeversorgung:
Tabelle 3: Fernwärmeversorgung - Anlagenkategorien und Schwellenwerte, Quelle: BSI-KritisV Anhang 1 Teil 3
3 / IT-Sicherheit für KRITIS-Unternehmen in der digitalen Energiewirtschaft
Weiterhin müssen Meldungen ebenso Angaben zu:
↳der Störung,
↳den möglichen grenzübergreifenden Auswirkungen,
↳den technischen Rahmenbedingungen,
↳den vermuteten oder tatsächlichen Ursachen und
↳der betroffenen Informationstechnik enthalten.