Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 25. Juli 2023 den vom BDEW entwickelten und nun aktualisierten branchenspezifischen IT-Sicherheitsstandard für „Anlagen zur Steuerung/Bündelung elektrischer Leistung“ (B3S) erneut offiziell anerkannt.
Der B3S kann damit ab sofort in der Version 1.2 durch Betreiber Kritischer Infrastrukturen (KRITIS) bis zum 27. Juli 2025 als Nachweis der Gewährleistung der IT-Sicherheitsanforderungen nach § 8a Absatz 1 BSI-Gesetz herangezogen werden.
Sogenannte Aggregatoren oder auch virtuelle Kraftwerke zählen gemäß Verordnung des Bundesministeriums des Innern, für Bau und Heimat (BMI) zu den Kritischen Infrastrukturen, die eine wichtige Bedeutung für das Gemeinwesen haben, wenn diese folgende Schwellenwerte überschreiten:
Ein Ausfall oder die Beeinträchtigung Kritischer Infrastrukturen könnte nachhaltig wirkende Versorgungspässe und erhebliche Störungen der öffentlichen Sicherheit zur Folge haben. Im Zuge der zunehmenden Dezentralisierung der Erzeugung sowie der Digitalisierung und Vernetzung der Energiewirtschaft wächst die Bedeutung von Aggregatoren, da auf ihrer Basis beispielsweise neue Geschäftsmodelle in der Direkt- und Flexibilitätsvermarktung erschlossen werden können.
Zur Vermeidung von Missbrauch oder Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionstätigkeit der Aggregatoren maßgeblich sind, sind Betreiber von Aggregatoren im Bereich Kritischer Infrastrukturen daher gesetzlich verpflichtet, angemessene organisatorische und technische Vorkehrungen umzusetzen und dem BSI entsprechende Nachweise vorzulegen.
Eine BDEW-Arbeitsgruppe entwickelte den B3S für Aggregatoren in enger Abstimmung mit dem BSI.
Wesentliche Aktualisierungen des B3S für Aggregatoren sind dabei:
- Ersetzung der Normen-Verweisungen der ISO/IEC 27001, ISO/IEC 27002, ISO/IEC-27019
- Ergänzung um ein Kapitel zu Systemen zur Angriffserkennung
- Berücksichtigung von Entwicklungen bei Cloud-Technologien (insbesondere Kriterienkatalog C5)
Der B3S für Aggregatoren dient als Umsetzungshilfe für betroffene Unternehmen mit dem Ziel, Rechtssicherheit zu schaffen. Der B3S zeigt auf, wie sich Unternehmen auf eine erfolgreiche Sicherheitszertifizierung vorbereiten können. Es obliegt jedoch den Unternehmen, ob sie den Branchenstandard anwenden oder andere geeignete Nachweise vorlegen.
Der neue Sicherheitsstandard für Aggregatoren steht weiter unten zum Download bereit.