Nach der ersten Rechtsverordnung des IT-Sicherheitsgesetzes, die am 3. Juni 2016 in Kraft trat, stellt der Energiesektor mit 320 Anlagen oder Betrieben die bisher größte Zahl an Installationen aller vom Gesetz betroffenen Branchen. Die Betreiber dieser Kritischen Infrastrukturen (KRITIS) müssen zukünftig besondere Meldepflichten von Cyber-Sicherheitsvorfällen sowie IT-Sicherheitsstandards erfüllen.
Was dies für die Energiebranche in der Praxis bedeutet, darüber diskutierten wir im Rahmen unseres Cyber-Frühstücks „Energieversorger im Fokus: Praxisherausforderung IT-Sicherheitsgesetz“ am Freitag den 3. Juni 2016, mit dem zuständigen Referatsleiter des Bundesinnenministeriums Andreas Reisen (Referatsleiter IT II 2 „Kritische IT-Infrastrukturen; sichere Informationstechnik“) zu Gast beim Landesbetrieb Berlin Energie in der Berliner Senatsverwaltung für Stadtentwicklung und Umwelt.
In seinem Impulsstatement hob Herr Reisen hervor, dass eine praktikable Umsetzung des IT-Sicherheitsgesetzes sowohl für die Verwaltung als auch für die betroffenen Unternehmen notwendig ist. Während der anschließenden sehr regen Diskussion mit den Teilnehmenden wurden insbesondere die technologischen und organisatorischen Herausforderungen deutlich, die mit der Implementierung der Vorschriften des Gesetzes bei den KRITIS-Betreibern einhergehen. Diese müssen bis zum 31. Januar 2018 sogenannte Information Security Management Systeme (ISMS) installieren, sind aber mit einem Mangel an verfügbaren dazu nötigen IT-Fachkräften konfrontiert. Letztendlich waren sich Redner und Teilnehmer einig, dass der übergreifende diesbezügliche Austausch – wie im Rahmen des Frühstücks – unabdingbar dafür ist, diese Herausforderungen zu meistern.
[shariff]