In Umsetzung des seit 2021 gültigen IT-Sicherheitsgesetzes 2.0 müssen KRITIS-Betreiber erstmalig am 1. Mai 2023 und danach alle zwei Jahre die Erfüllung der Anforderungen und damit die Einführung und den Betrieb von Systemen zur Angriffserkennung nachweisen.

In diesem Zusammenhang wird vielfach auf die „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ des BSI, die Ausführungen zu häufig gestellten Fragen auf der Website des BSI sowie die vom BSI bereitgestellten Formulare zur Nachweiseinreichung hingewiesen.

Die Arbeitsgruppe „OT-Sicherheit“ des vgbe hat sich intensiv mit dieser Thematik beschäftigt.

Die gesetzliche Verpflichtung ergibt nicht zwingend die vollständige Anwendung/Umsetzung der „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ des BSI, die nur eine Empfehlung ist. Die gesetzliche Verpflichtung umfasst insbesondere den angemessenen Einsatz von Systemen zur Angriffserkennung um fortwährend Bedrohungen zu identifizieren, zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen und die Erfüllung der Umsetzung auch im erforderlichen Maße gegenüber dem BSI bzw. der BNetzA nachzuweisen.

Insbesondere die nach dem EnWG regulierten Energieanlagen-Betreiber sind mit den bereits länger bestehenden Vorgaben zum Einsatz eines ISMS und den damit verbunden Nachweisen nach den Normen der ISO 27000-er Reihe sowie des IT-Sicherheitskataloges der BNetzA sehr eng mit der Anwendung internationaler Normen verbunden. Deswegen sollten Prüfungen an den Anforderungen aus der ISO27001:2022 ausgerichtet werden, die in der aktuellen Fassung auch Vorgaben zur Prüfung von Angriffserkennungssystemen formuliert. Hier geben insbesondere die Punkte 8.15 und 8.16 wesentliche Sicherheitsaspekte für die Bewertung der Systeme zur Angriffserkennung im Rahmen der Protokollierung und der Zielrichtung der System-Überwachung vor:

• Aus 8.15 ergibt sich die Verpflichtung zur Protokollierung, mithin Erstellung, Speicherung und Analyse der Aktivitäten, Ausnahmen, Fehler und anderen relevanten Ereignissen.
• 8.16 verpflichtet zur Überwachung der Kontrollnetzwerke, -systeme und -anwendungen auf Unregelmäßigkeiten und zum Ergreifen von angemessenen Maßnahmen, um potentielle IT-Sicherheitsvorfälle zu ermitteln.

Schließlich sollte die Prüfung auch die Handhabung von Informationssicherheitsvorfällen und Verbesserungen als Reaktion beinhalten. Dabei soll die konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschließlich der Benachrichtigung über Sicherheitsereignisse und Schwächen auch weiterhin gemäß den Punkten 5.24. bis 5.28 und 6.8 (ISO27001:2022) sichergestellt werden.

Der vgbe sieht hier den Ermessensspielraum für die Betreiber von Energieanlagen, der gesetzlichen Verpflichtung auch ohne vollständige Anwendung/Umsetzung der „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ des BSI nachzukommen. Die genannten normativen Grundlagen und geeignete unabhängige neutrale Prüfer können aus Sicht des vgbe die gleiche Wirksamkeit hinsichtlich Schutzzielerreichung und Gesetzeskonformität erreichen und eine wirtschaftlich angemessene Lösung darstellen.