Cybersicherheit in der Energieversorgung

Regulatorische Anforderungen und Handlungsempfehlungen für die Strom- und Gasbranche

Für die Strombranche ist seit dem 1. Juli 2024 der IKT-Minimalstandard obligatorisch, während dies für die Gasbranche ab dem 1. Juli 2025 gilt. Ergänzend trat am 1. April 2025 eine Meldepflicht für Cyberangriffe in Kraft. Diese zunehmende Regulierung unterstreicht die kritische Rolle der Strom- und Gasversorgung für die nationale Versorgungssicherheit.

Der IKT-Minimalstandard dient als Rahmenwerk zur Erhöhung der Informations- und Kommunikationssicherheit bei Betreibern kritischer Infrastrukturen. Er ist für die Strombranche seit Juli 2024, für die Gasbranche ab Juli 2025 verpflichtend. Die StromVV (Anhang 1a) definiert Schutzstufen und Reifegrade für Schutzmassnahmen, die im Dokument G1008 (Gas, Mai 2024) ähnlich geregelt sind.

Erfolgsrezept für die Implementierung: Strategie und Assessment

Die Umsetzung des IKT-Minimalstandards stellt jedoch eine Herausforderung hinsichtlich organisatorischer, prozessualer und technischer Massnahmen dar. Erfahrungsgemäss fällt Energieversorgern die Implementierung der organisatorischen und prozessualen Massnahmen oft schwerer als die technischen Aspekte.

Für eine erfolgreiche Implementierung der Massnahmen des IKT-Minimalstandards empfehlen wir folgende strategische Schritte:

• Governance etablieren: Die Geschäftsleitung definiert die Sicherheitsziele und Verantwortlichkeiten. Basierend auf den Sicherheitszielen werden Weisungen für IT-Endbenutzer und Administratoren erstellt.
• Inventarisierung: Erstellen, überarbeiten oder vervollständigen Sie ihr Inventar aller IT-Systeme und Daten.
• Risikoanalyse: Identifizieren und bewerten Sie kritische Prozesse, Funktionen und Fähigkeiten im Unternehmen.
• Schutzmassnahmen ableiten: Definieren und implementieren Sie Schutzmassnahmen basierend auf der Risikoanalyse (zum Beispiel Netzwerkzonierung, Backup-Strategien).
• Detektionsmechanismen implementieren: Etablieren Sie ein Sicherheitsmonitoring-System (zum Beispiel EDR, IDS, SIEM).
• Reaktionsfähigkeit sicherstellen: Entwickeln Sie einen Incident-Response-Plan und erstellen Sie Playbooks für spezifische Angriffsszenarien.
• Wiederherstellung planen: Erstellen Sie Notfall- und Wiederherstellungspläne und sorgen Sie für regelmässige Backups (auch offline).

Auch wenn der IKT-Minimalstandard bereits implementiert wurde, empfiehlt sich die regelmässige Durchführung eines Self-Assessments oder die Beauftragung eines externen Assessments. Externe Assessments bieten den Vorteil, dass Fachexperten wertvolle Inputs liefern und gegebenenfalls einen Branchen-Benchmark anbieten können, falls sie bereits Erfahrungen in der Energieversorgung gesammelt haben.

Meldepflicht für Cyberangriffe: Was ist zu tun?

Seit dem 1. April 2025 sind Betreiber der Strom- und Gasbranche verpflichtet, bestimmte Cyberangriffe innerhalb von 24 Stunden nach Entdeckung dem Bundesamt für Cybersicherheit (BACS) zu melden, wenn folgende Kriterien zutreffen:

• Die Funktionsfähigkeit der betroffenen kritischen Infrastruktur ist gefährdet – insbesondere, wenn Mitarbeitende oder Dritte von Systemunterbrüchen betroffen sind oder die Organisation ihre Tätigkeit nur noch mithilfe von Notfallplänen aufrechterhalten kann.
• Geschäftsrelevante Informationen wurden von Unbefugten eingesehen, verändert oder offengelegt (Achtung: Bei Betroffenheit von Personendaten ist zusätzlich eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖP) erforderlich).
• Der Angriff blieb über einen längeren Zeitraum unentdeckt, insbesondere bei Anzeichen für vorbereitende Massnahmen weiterer Cyberangriffe.
• Der Angriff ist mit Erpressung, Drohung oder Nötigung verbunden.

Inhalt der Meldung

Die Meldung an das BACS ist zunächst eine einfache Information über den Vorfall. Das Meldeformular des BACS gibt die Art des Angriffs vor. Zudem benötigt das BACS Informationen über die betroffenen Systeme und deren Kritikalität. Einen detaillierten Fragenkatalog finden Sie auf der Website des BACS.

Geltungsbereich der Meldepflicht

Es ist wichtig zu beachten, dass die Meldepflicht nicht ausschliesslich für die Strom- und Gasbranche gilt. Eine umfassende Auflistung der betroffenen Körperschaften findet sich im Bundesgesetz über die Informationssicherheit beim Bund (ISG) Art. 74b. Zu beachten gilt dabei, dass in der Verordnung über die Cybersicherheit (CSV) in Art. 12 Ausnahmen von der Meldepflicht festgelegt wurden. Für die Strombranche gilt die Meldepflicht nur für Organisationen mit dem Schutzniveau A und B. Für die Gasbranche gilt: Wenn eine Organisation über 400 Gigawattstunden pro Jahr transportiert, so untersteht diese der Meldepflicht.

Incident-Response-Plan als Schlüssel zur Einhaltung der Meldepflicht

Um der Meldepflicht des BACS effektiv nachzukommen, ist die Entwicklung und Dokumentation eines Incident-Response-Plans (Cybersicherheitsprozess) unerlässlich. Dieser Plan sollte klare Verantwortlichkeiten und Vorgehensweisen für den Fall eines Cybervorfalls definieren.

Der Plan sollte festlegen, welche internen (Geschäftsleitung, Kommunikationsabteilung, Datenschutzbeauftragter et cetera) und externen (EDÖB, BACS, Kunden, Lieferanten, Dienstleister et cetera) Stellen im Falle eines Vorfalls zu informieren sind.

Ein weiterer Aspekt nebst dem Incident-Response-Plan ist es, die eigenen Mitarbeitenden darüber zu informieren, an wen sie Cybervorfälle melden können.

Fazit

Die zunehmenden regulatorischen Anforderungen im Bereich der Cybersicherheit erfordern von der Strom- und Gasbranche eine proaktive und strukturierte Herangehensweise. Die konsequente Implementierung des IKT-Minimalstandards und die Etablierung eines durchdachten Incident-Response-Plans sind entscheidende Schritte, um den neuen gesetzlichen Verpflichtungen nachzukommen. Eine strategische Planung, die Einbeziehung von Experten und die kontinuierliche Überprüfung der getroffenen Massnahmen sind dabei erfolgsentscheidend.

Dieser Artikel erschien ursprünglich in der bauRUNDSCHAU 02/25.