IT-Infrastrukturen effektiv schützen: Relevante Vorschriften automatisch auf Rechtskataster-Online
Das Compliance-Werkzeug „Rechtskataster-Online“ unterstützt KRITIS-Betreiber bei der Optimierung ihrer IT-Sicherheit. Um IT-Infrastrukturen vor Cyberangriffen zu schützen, müssen die Betreiber Systeme zur Angriffserkennung (SzA) implementieren und beim Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig Nachweise über ihre IT-Sicherheitsmaßnahmen erbringen. Um für genau diese Nachweise stets alle relevanten Gesetze und Vorschriften automatisch im Blick zu haben, nutzen viele KRITIS-Betreiber bereits die cloudbasierte Plattform „Rechtskataster-Online“. Sie fasst für die Rechtsbereiche Energie-, Umwelt- und Arbeitsschutzmanagement sowie Datenschutz die rechtlichen Anforderungen zusammen und ermöglicht es, deren Einhaltung zu überprüfen und zu dokumentieren.
Die besonderen Pflichten für die IT-Sicherheit sind in § 8a BSIG festgelegt. Darin ist geregelt, dass Betreiber Kritischer Infrastruktur verpflichtet sind, angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen in der von ihnen betriebenen Infrastrukturen zu vermeiden. Dabei ist der gesetzlich definierte „Stand der Technik“ zu beachten. Die Vorkehrungen gelten als angemessen, wenn der Aufwand im Hinblick auf die Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Infrastruktur verhältnismäßig ist. Oberste Priorität hat dabei immer, dass die Bevölkerung versorgt bleibt.
Regelmäßige Nachweispflicht
KRITIS-Betreiber mussten die SzA bereits Ende Mai 2023 nachweisen. Die IT-Sicherheitsmaßnahmen in ihren Anlagen und Systemen müssen sie nun alle zwei Jahre beim BSI belegen. Hierzu existieren Meldepflichten gegenüber dem Bundesamt für Informationssicherheit. Das Bundesamt kann Kontrollen durchführen und Verstöße mit Bußgeldern ahnden. Um für einen erneuten Nachweis alle relevanten Gesetze und Vorschriften automatisch im Blick zu haben, nutzen bereits viele KRITIS-Betreiber ein Rechtkataster. Das Compliance-Werkzeug „Rechtskataster-Online“ fasst für die Rechtsbereiche Energie-, Umwelt- und Arbeitsschutz-management sowie Datenschutz die rechtlichen Anforderungen zusammen.
Zertifizierung nach 27001
Das BSIG verweist zwar nicht explizit auf eine Zertifizierung nach ISO 27001, jedoch kann diese unter bestimmten Voraussetzungen ein wesentlicher „Bestandteil eines Nachweises“ gemäß § 8a Absatz 3 sein. Die alleinige Vorlage eines solchen Zertifikates reicht allerdings als Nachweis nicht aus. „Wer bei Rechtskataster-Online die Rechtsbereiche Energie und Datenschutz bucht, erhält die für die Zertifizierung relevanten Gesetze und Vorschriften im Überblick. Sie können nachverfolgt, bewertet und je nach Relevanz in das unternehmenseigene Rechtskataster übernommen werden, um letztlich die im Gesetz geforderten‚ angemessenen und organisatorischen Vorkehrungen zu erfüllen“, sagt Johann Breiter, Fachverantwortlicher Rechtskataster-Online bei der SR Managementberatung.
Internationalisierung des Cybersicherheitsrechts: NIS-2-Richtlinie
Eine Regelung, die demnächst Auswirkungen auf das BSIG haben wird, ist die NIS-2-Richtlinie (Network Information Security). Diese gilt EU-weit als übergeordnete Rechtsgrundlage und muss bis spätestens Mitte Oktober 2024 in nationales Recht umgesetzt sein. Die NIS-2-Richtlinie ist bereits im Rechtskataster eingepflegt. Sie zielt darauf ab, ein gleichmäßig hohes Sicherheitsniveau in kritischen Infrastrukturen in der gesamten Europäischen Union zu gewährleisten und legt Mindestanforderungen für die Sicherheit von kritischen Infrastrukturen, digitalen Diensten und Online-Plattformen fest. Die strengeren Vorgaben in Bezug auf Cybersicherheit treffen dann auch Firmen ab 50 Mitarbeitern oder einem Jahresumsatz ab zehn Millionen Euro.
Mit der Umsetzung werden voraussichtlich Anpassungen am BSIG vorgenommen, um die neuen Anforderungen und Bestimmungen zu berücksichtigen. „Genau vor diesem Hintergrund ist es wichtig, mit einem Rechtskataster alle relevanten Änderungen stets im Blick zu haben. Damit wird nicht nur die Resilienz gegenüber Cyberbedrohungen gestärkt, sondern auch eine zukunftsorientierte Sicherheitsstrategie gefördert“, fügt Johann Breiter abschließend hinzu.
Über Rechtskataster-Online
Rechtskataster-Online ist ein Projekt der SR Managementberatung GmbH und der ITC AG. Anwender können unternehmensrelevante Vorschriften aus den Rechtsbereichen Energie, Umwelt, Arbeitsschutz und Datenschutz ermitteln, bewerten und deren Einhaltung dokumentieren.
www.rechtskataster-online.de/
Über die SR Managementberatung
Die SR Managementberatung GmbH bietet individuelle modulare Dienstleistungen in den Bereichen Managementsysteme und Prozessmanagement. Die Kernbereiche umfassen das Energiemanagement, Umweltmanagement, Qualitätsmanagement, Datenschutz und den Arbeits- und Gesundheitsschutz. www.sr-managementberatung.de
Kommunales Energiemanagement: SW Böhmetal nutzen ITC-Software
Mit der Einführung eines Energiemanagementsystems nach ISO 50001 haben die niedersächsischen Stadtwerke Böhmetal sich bereits 2016 das Leitziel gesetzt, ihren Energieverbrauch nachhaltig zu reduzieren. Da den Stadtwerken neben der Versorgung mit Strom, Gas und Wasser auch die Betriebsführung kommunaler Liegenschaften obliegt, wurde frühzeitig nach einer geeigneten Lösung gesucht, eine Vielzahl verteilter Messstellen zu verwalten und die Datenerfassung zu zentralisieren. Bei der Energiemanagement-Lösung der ITC AG wurden die Stadtwerke fündig. Seit 2018 ist die Software ITC PowerCommerce® EnMS nun schon im Einsatz.
Die Stadtwerke Böhmetal sahen sich bei Einführung des Energiemanagementsystems vor eine besondere Herausforderung gestellt. Denn neben den eigenen Standorten verantworten sie weitere Liegenschaften verbundener kommunaler Unternehmen – unter anderem der Bädergesellschaft Böhmetal und des Wasserverbandes Heidekreis. Für die Datenerfassung bedeutete das: viele verteilte Liegenschaften, heterogene Zählerlandschaften und Datenquellen sowie unterschiedliche Akteure. Mit einfachen Office-Anwendungen waren die Grenzen des Machbaren schnell erreicht.
Mit diesem Hintergrund waren die Projektziele für die Stadtwerke Böhmetal Ende 2018 ganz klar definiert: Prozesse zentralisieren, manuellen Bearbeitungsaufwand reduzieren und Datenqualität steigern. „Wir waren damals auf der Suche nach einer Lösung, die wir möglichst schnell einführen konnten und die verschiedene Schnittstellen sowie Möglichkeiten zur Datenerfassung mitbringt“, sagt Ralf Coors, Sachgebietsleiter Kundenservice, Netznutzung und Regulierungsmanagement der Stadtwerke Böhmetal. Die Entscheidung fiel dann auf die Energiemanagement-Software ITC PowerCommerce® EnMS.
Verbesserung der Datenqualität
Vor der Einführung der Software war die Ermittlung der Messdaten müßig und sehr zeitaufwändig: händisch wurden an verschiedenen Standorten jeweils Listen mit relevanten Ablesedaten geführt und dann am Jahresende in einer zentralen Excel-Liste zusammengeführt. Das erforderte viel Zeit und war fehleranfällig. „Daher brauchten wir eine Lösung, mit der wir diese Probleme umgehen konnten“, betont Coors: „Besonders die Verbesserung der Datenqualität stand im Fokus, da eine verlässliche Datenbasis Voraussetzung für ein wirksames Energiemanagement ist. Wir benötigen konsistente und valide Daten, um den energetischen Ist-Zustand zu bewerten und Einsparungen nachzuweisen.“
Alle energierelevanten Daten im Blick
Inzwischen sind rund 700 Hauptzähler und deren Untermessungen in das Energiemanagement eingebunden. Erfasst werden alle Medienverbräuche der Sparten Strom, Wasser, Erdgas, Wärme und sonstige Brennstoffe sowie darüber hinaus auch energetische Bezugsgrößen wie Flächendaten oder gefahrene Kilometer. Die überwachten Liegenschaften sind dabei genauso vielfältig wie die jeweils zugrunde liegenden Datenquellen. So werden beispielsweise Hallenbäder, Erzeugungsanlagen, Bauhöfe, Wasserwerke, Verwaltungsstandorte, Erdgasstationen uvm. in ihrer Anwendung überwacht. Mitunter verfügen größere Verbraucher wie Kläranlagen, Pumpen, Ladesäulen und Gebäude auch über separate Messeinrichtungen. Messwerte werden entweder manuell in der Anwendung erfasst oder über Schnittstellen automatisiert aus Drittsystemen importiert. Angebunden wurden unter anderem das EDM-System sowie die Data Intelligence-Lösung der Stadtwerke Böhmetal.
Die energierelevanten Daten werden nun zentral in der Anwendung verwaltet, analysiert und verdichtet. Auf Basis der erfassten Daten berechnet die Anwendung fortwährend zuvor festgelegte Energiekennzahlen und erstellt aktuelle Energiebilanzen. „Mit Hilfe der Software konnten wir die Datenerfassung und -überwachung deutlich verschlanken. Die Anwendung benachrichtigt uns nun automatisch, sobald Messwerte fehlen oder berechnete Energiekennzahlen aus dem Korridor laufen“, ergänzt Ralf Coors: „Damit müssen wir seltener nachfassen, wenn Daten fehlen oder Werte nicht plausibel sind.“
Nachweis der Grundwasserförderung
Ein weiterer Anwendungsfall, der bei den Stadtwerken Böhmetal in der ITC Software abgebildet wird, ist die Überwachung der Einhaltung von Grenzwerten bei der Entnahme von Grundwasser im Rahmen wasserrechtlicher Genehmigungen. So gilt es, die von der unteren Wasserbehörde (uWB) festgelegten, stunden-, tages- und jahresbezogenen Förderhöchstmengen nicht zu überschreiten. Die tatsächlichen Förderhöchstmengen sind dazu jeweils messtechnisch zu erfassen und jährlich an die uWB des Landkreises zu berichten. „Durch die kontinuierliche Überwachung der Fördermengen unserer Wasserbrunnen können wir nun kurzfristig auf Abweichungen reagieren und die Information an Techniker vor Ort weiterleiten. Auch das Berichtwesen haben wir damit massiv optimiert“, fügt Ralf Coors hinzu.
Professionelle Software mit vielen Werkzeugen
„Wir standen von Anfang an in sehr engem Austausch mit den Stadtwerken, um die Anwendung möglichst rasch und unkompliziert in die vorhandene System- und Prozesslandschaft zu integrieren. Genau für diesen Anwendungsfall ist die Software konzipiert. Denn die modulare Architektur unserer Lösung erlaubt es, individuelle Anpassungen vorzunehmen und weitere Datenquellen einzubinden“, sagt Steve Pater, der die Einführung der Software als zuständiger IT-Projektleiter der ITC AG betreut. Im Projektverlauf wurde dann ein weiteres Tool der ITC AG, und zwar Rechtskataster-Online, an den Start gebracht. Das Werkzeug dient der Dokumentation und der Überwachung der Einhaltung relevanter Rechtsvorschriften – unter anderem aus dem Energie- und Umweltrecht. „Damit konnten wir einen weiteren Beitrag zur Erfüllung der Normanforderungen bei den Stadtwerken Böhmetal leisten und dort zeitintensive Dokumentations- und Pflegeaufwände minimieren.“
Erfolgreiche Zusammenarbeit
Die Zusammenarbeit zwischen den Stadtwerken Böhmetal und der ITC AG war in den vergangenen Jahren sehr konstruktiv. „Ich konnte mich stets auf eine kompetente Beratung und Umsetzungen unserer Anforderungen verlassen. An dieser Stelle möchte ich mich für diese professionelle Herangehensweise bedanken“, betont Ralf Coors abschließend.
Über die Stadtwerke Böhmetal GmbH
Die Stadtwerke Böhmetal GmbH versorgt die Region um Walsrode mit Strom, Erdgas und Trinkwasser und übernimmt die technische sowie kaufmännische Betriebsführung für den Wasserverband Heidekreis. So fallen unter anderem der Stadthallenbetrieb in Walsrode, fünf Bäder sowie ein Blockheizkraftwerk in den Zuständigkeitsbereich. Ebenso übernommen werden die Bereiche Abwässer, Stadtentwässerung, Stadtforsten, Straßen- und Grundstückspflege für die Stadt Walsrode sowie teilweise für die Samtgemeinde Rethem und die Gemeinde Hodenhagen. Das Unternehmen beschäftigt rund 80 Mitarbeiter.