Überarbeitung der IT-Sicherheitskataloge (IT-SiKat)
Die Bundesnetzagentur hat ein Verfahren zur Erstellung eines neuen IT-Sicherheitskatalogs eingeleitet. Stellungnahmen sind noch bis zum 11. Juni 2025 möglich.
Die IT-Sicherheitskataloge der Bundesnetzagentur (BNetzA) für Netzbetreiber (nach §11 Abs. 1a EnWG) und Anlagenbetreiber (nach §11 Abs. 1b EnWG) verpflichten die Betreiber, Mindeststandards der IT-Sicherheit umzusetzen. Veröffentlicht in 2015 bzw. 2018, will die BNetzA diese nun erneuern. Begrüßenswert ist hierbei das Ziel, eine Doppelregulierung zu vermeiden, u.a. mit einem zukünftigen KRITIS-Dachgesetz und dem NIS-2-Umsetzungsgesetz.
Alle nachfolgenden Punkte sind noch mit Vorsicht zu betrachten, da sich in einem so frühen Stadium des Verfahrens noch vieles bis zum Inkrafttreten ändern kann.
Neue Struktur
Beide Kataloge sollen inhaltlich aneinander angeglichen werden. Es sollen nur noch regelnde Elemente enthalten sein und Erklärungen an anderen Stellen veröffentlich werden. So wird etwa auch die Mitteilung zu Betriebsführern in den neuen Katalog eingearbeitet.
Neue Anforderungen
Lag bisher das Augenmerk nur auf der Informationstechnik, so soll zukünftig ein Allgefahrenansatz in der Risikobetrachtung erfolgen und nur noch abstrahierte Anforderungen im IT-SiKat formuliert werden. Auch soll ein Business-Continuity-Management (BCM) zukünftig fest vorgeschrieben werden.
Da sich nicht alle Risiken restlos aus der Welt schaffen lassen, sollen die Auswirkungen von Restrisiken so gering wie möglich gehalten werden. Betreiber, die auch schon einen KRITIS-Nachweis nach §8a BSIG erbringen müssen, kennen diese Vorgabe bereits.
Der Umfang des Geltungsbereichs der Regulierung soll mit der Neuauflage etwa auf dem jetzigen Niveau bleiben, der Fokus jedoch stärker auf Prozessen liegen. In der öffentlichen Fragestunde am 26.05.2025 zum aktuellen Stand der Konsultation hat sich in der Diskussion der interessierten Parteien bereits gezeigt, dass hier auf Seiten der BNetzA noch nachgeschärft werden muss, um dieses Ziel zu erreichen.
Änderungen in der Zertifizierung
Soweit zu diesem frühen Zeitpunkt der Konsultation schon absehbar, werden zukünftig sowohl das IT-SiKat-Zertifikat als auch die dazugehörige Anwendbarkeitserklärung (Statement of Applicability – SoA) bei der BNetzA eingereicht werden müssen. Außerdem überlegt die Behörde, wie ein ebenso einzureichender Nachweis zur Bestimmung des Geltungsbereichs aussehen könnte.
Ein Schritt in die richtige Richtung ist das Angleichen von Übergangsfristen an die Regeln der ISO-Normen, in dem zukünftig grundsätzlich ein Zeitraum von 18 Monaten vorgesehen wird. Auch das Konformitätsbewertungsprogramm (KBP) für die Zertifizierungsstellen soll angepasst werden und neue Regelungen der ISO/IEC 27006:2024 berücksichtigen. So kommen auch auf die Schulungsinhalte der GUTcert Akademie zum IT-SiKat bald Neuerungen zu.
Bis zum 11. Juni 2025 haben interessierte Parteien noch die Gelegenheit, in der ersten von zwei Konsultationsrunden aktiv an der Ausgestaltung mitzuwirken.
Haben Sie Fragen oder Hinweise zum IT-Sicherheitskatalog? Wenden Sie sich gerne an Tim Stauffenberg.