Erstmal muss unterschieden werden zwischen allgemeinen KRITIS-Betreibern und Energieversorgern und -erzeugern, da bei letzterem andere Regulierungen gelten. Für Kritische Infrastrukturen allgemein gilt der §8a, Absatz 1a BSIG, der die Verpflichtung zur Implementierung von Systemen zur Angriffserkennung bis spätestens 01.05.23 vorsieht, was auch alle zwei Jahre geprüft und somit nachgewiesen werden muss. Dafür werden Nachweispflichten, die KRITIS-Betreiber ohnehin schon haben, um die SzA-Prüfung ergänzt. Im Prinzip kommt somit keine komplett neue Prüfung auf die Unternehmen zu, die bestehende wird nur umfangreicher.
In dem Fall werden auch die SzA erst mit der nächsten regulären Prüfung nachgewiesen. Wichtig ist aber, dass die Implementierung trotzdem bis zum 1. Mai 2023 stattgefunden haben muss. Kommen KRITIS-Betreiber dem nicht pünktlich nach, kann das BSI entsprechende Sanktionen verhängen. Und wenn tatsächlich nach dem Stichtag ein Cyberangriff mit möglichem Datendiebstahl stattfindet und dieser durch ein SzA hätte verhindert werden können, stellt sich zumindest die Frage einer Organhaftung wegen grober Fahrlässigkeit, weil man eine Rechtspflicht nicht umgesetzt hat. Man sollte in dem Zusammenhang aber auch erwähnen, dass der überwiegende Teil der Unternehmen dies sehr ernst nimmt und der Verpflichtung bereits frühzeitig nachgekommen ist. Wir haben bereits viele Rückmeldungen unserer KRITIS-Kunden bekommen, dass sie mit ihren implementierten SzA sehr gute Erfahrungen gemacht haben. Uns sind inzwischen Angriffe bekannt, die tatsächlich frühzeitig erkannt und erfolgreich eingedämmt werden konnten.
Bei diesen Unternehmen ist die Rechtslage etwas anders, denn sie sind nach dem Energiewirtschaftsgesetz (EnWG) reguliert. Dieses wurde ebenfalls durch das IT-Sicherheitsgesetz 2.0 geändert, indem die Implementierung von Systemen zur Angriffserkennung ergänzt wurde. Auch hier gilt der 1. Mai 2023 als Stichtag für die Einführung. Anders als bei allgemeinen KRITIS-Betreibern muss der erste Nachweis dem BSI gegenüber aber bis zu diesem Stichtag erfolgen.
Bei insgesamt mehr als 1.500 Energieversorgern in Deutschland stauen sich so kurz vor dem Stichtag bei Prüfunternehmen wie der TÜV TRUST IT natürlich die Anfragen. Zudem herrscht bei vielen betroffenen Betreibern Unklarheit über die Anforderungen an die Prüfung, weil diese sich zwischenzeitlich mehrfach geändert haben. Klar ist: Eine Selbstprüfung ist nicht zulässig. Prüforganisationen haben aber definitiv nicht genug Kapazitäten, um bis zum 1. Mai alle Prüfungen abzunehmen. Daher ist es Energieversorgern und -erzeugern ausnahmsweise möglich, eine Fristverlängerung beim BSI zu erwirken, wenn nachweislich kein Prüftermin bis zum Stichtag angeboten werden konnte. Hier unterstützen wir auch gerne bei der Kommunikation mit dem BSI. Wichtig ist aber zu beachten, dass durch diese Ausnahmeregelung die Verpflichtung zur Implementierung eines SzA trotzdem unverändert bestehen bleibt.
Unternehmen, die aus unterschiedlichsten Gründen bisher kein SzA etabliert haben und das jetzt noch in Angriff nehmen wollen, bieten wir in Zusammenarbeit mit unserem Joint Venture, der Certified Security Operations Center GmbH (CSOC), auch kurzfristig die Implementierung von Systemen zur Angriffserkennung an. Diese Lösung ist insbesondere auch für kleine und mittelständische Energieversorger bestens geeignet. Außerdem führen wir Workshops inklusive einer individuellen Analyse im Unternehmen durch und geben auf Basis der Analyseergebnisse Ratschläge für notwendige und sinnvolle Maßnahmen. Auch bei der Anbieterauswahl stehen wir unseren Kunden gerne zur Seite. Und letztlich führen wir auch die Nachweisprüfungen im Rahmen von §8a bei allgemeinen KRITIS-Anbietern durch. Bei den Energieversorgern sind grundsätzlich die Zertifizierungsstellen auf Grundlage der Konformitätsbewertungsprogramms der Bundesnetzagentur (BNetzA) zuständig. Aufgrund der Engpässe kurz vor dem Stichtag verzichtet das BSI in diesem Jahr aber auf diese Anforderung und wir können auch hier unterstützen.
Prüfer müssen generell unabhängig und neutral sein sowie die nötige Fachkompetenz mitbringen. Allgemein kann man sagen, wer berechtigt ist, die §8a-Prüfung durchzuführen, der kann auch die Anforderungen an ein SzA prüfen. Als BSI-zertifizierter IT-Sicherheitsdienstleister haben wir unsere Kompetenz auf dem Gebiet bereits nachgewiesen. Es ist aber damit zu rechnen, dass das BSI in absehbarer Zeit seine Anforderungen verschärft und eine Akkreditierung für Prüfer auf dem Gebiet eingeführt wird. Wir bleiben hier natürlich am Ball und werden auch künftig alle nötigen Anforderungen erfüllen, um unsere Kunden nicht im Regen stehen zu lassen.
Axel Amelung
ist Senior Account Manager bei der TÜV TRUST IT Unternehmensgruppe TÜV AUSTRIA.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.