15. Oktober 2021. Das Ministerium für Klima und Umwelt hat Empfehlungen für Maßnahmen zur Stärkung der Cybersicherheit im Energiesektor und sektorale Leitlinien für die Meldung von Sicherheitsvorfällen vorgelegt. Die auf der Grundlage von Art. 42 Absatz 1 Ziff. 5 des Gesetzes über das nationale Cybersicherheitssystem vom 5. Juli 2018 entwickelten Empfehlungen wurden im Wege von Konsultationen mit dem Computersicherheits-Ereignis- und Reaktionsteam (CSIRT) des Wissenschaftlichen und Akademischen Computernetzwerks (CSIRT NASK), der Agentur für Innere Sicherheit (CSIRT GOV), des Ministeriums für Nationale Verteidigung (CSIRT MON) und den Betreibern wesentlicher Dienste im Energiesektor erstellt.

Bei den Empfehlungen des Ministeriums für Klima und Umwelt handelt es sich um eine Sammlung guter Praktiken, die von Unternehmen des Energiesektors, insbesondere von Einrichtungen mit dem Status von Betreibern wesentlicher Dienste, eingeführt werden sollten, um eine Möglichkeit zu schaffen, umfassende Regeln für viele Bereiche der Organisation zum Schutz ihrer IT-Ressourcen zu erarbeiten.

Die Empfehlungen gelten u.a. für folgende Bereiche:

  • Erarbeitung von Risikomanagementverfahren,
  • Verwendung der Dienstleistungen der Lieferanten,
  • Sensibilisierung des Personals,
  • Durchführung von Sicherheitsaudits,
  • Gewährleistung der Kontinuität des Geschäftsbetriebs, insbesondere der Kontinuität wesentlicher Dienste,
  • Physische Sicherheit und Sicherheit der Netze und Informationssysteme oder
  • Grundsätze der Meldung und Behandlung von Sicherheitsvorfällen.

Jeder der im Dokument des Ministeriums beschriebenen Bereiche enthält Empfehlungen, die die Besonderheiten des Energiesektors berücksichtigen.

Aus der Sicht von IT-Anbietern, die Dienstleistungen für Energieunternehmen erbringen, sind die Leitlinien, die sich mit der Nutzung von Dienstleistungen Dritter durch Unternehmen des Energiesektors befassen, am wichtigsten. Die Empfehlungen konzentrieren sich insbesondere auf Fragen, die in die Verträge mit IT-Lieferanten aufgenommen werden sollten, um die Cybersicherheitsrisiken zu mindern. Darüber hinaus weist das Ministerium auf die Notwendigkeit hin, dass die Unternehmen aus dem Energiesektor interne Regelungen schaffen, um die Leistungen der IT-Anbieter besser überwachen zu können.

Es ist erwähnenswert, dass das Ministerium in den vorgelegten Empfehlungen die Frage der Nutzung von Cloud-Lösungen betont, die von externen Einrichtungen bereitgestellt werden. Laut Empfehlungen des Ministeriums sollen die Energieunternehmen bei der Wahl von Cloud-Dienstleistungen besondere Sicherheitsmaßnahmen treffen, die sich u.a. auf die Art und Weise der Sicherung der in der Cloud verarbeiteten Daten oder die Risikobewertung bei der Verwendung solcher Lösungen beziehen.