Die Bundesnetzagentur hat in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und nach Konsultationen von Betreibern, dem TÜV und weiteren Beteiligten verbindliche IT-Schutzregeln beim Betrieb von Energieanlagen festgelegt, die als kritischen Infrastruktur gelten. In diese Klassifikation fallen laut BSI-Kritisverordnung BSI-KritisV (Kopie) von Mai 2016 all jene Energieanlagen, die ca. 500.000 Personen mit Strom versorgen:
Der Schwellenwert von 500.000 versorgten Menschen wurde deswegen gewählt, weil ein Ausfall oder eine Beeinträchtigung der Versorgung von 500.000 oder mehr Menschen mit einer (lebens-) wichtigen Dienstleistung (z. B. der Strom- oder Wasserversorgung) zu einer Versorgungskrise in der Bundesrepublik Deutschland führen könnte, die nicht ohne Weiteres gelöst werden kann. Ausfälle oder Beeinträchtigungen von Anlagen in dieser Größenordnung sind daher für Deutschland besonders „kritisch“ und sollen daher möglichst verhindert werden. (BSI Broschüre zu Kritischen Infrastrukturen / Kopie)
Für klassische Kraftwerke gilt damit laut Berechnungsgrundlagen des BSI-KritisV eine Leistungsschwelle von ca. 420 Megawatt.
Mit den neuen Regelungen (Kopie) wird der bereits seit 2015 für Strom- und Gasnetze bestehende IT-Sicherheitskatalog ergänzt und auf die Energieproduzenten ausgeweitet. Als zentrale Ziele des verpflichtenden Kataloges werden die folgenden drei Punkte formuliert, die bis 2021 im Rahmen von Zertifizierungsprozeßen umgesetzt und durch die Bundesnetzagentur geprüft werden und zu den Basis-Schutzzielen der IT-Sicherheit zählen:
- Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten
- Sicherstellung der Integrität der verarbeiteten Informationen und Systeme
- Gewährleistung der Vertraulichkeit der verarbeiteten Informationen
Grundlage der Umsetzung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN EN ISO/IEC 27001, das in Deutschland durch das BSI anhand der drei Maßnahmen-Pakete BSI-Standard 200-1, BSI-Standard 200-2 und BSI-Standard 200-3 (Kopie) spezifiziert ist. Die Maßnahmen widmen sich dabei sowohl Worst-Case-Szenarien wie Cyberangriffen, richten sich jedoch in gleicher Weise auch an den Schutz vor digitaler Spionage und dem klassischen Diebstahl von bewegbaren IT-Geräten, auch „höhere Gewalt, oder menschliches sowie technisches Versagen sei zu berücksichtigen“.