Neuerungen der revidierten StromVV 2024

Article Cyber Security & Privacy

Die revidierte Stromversorgungsverordnung (StromVV) soll per 1.7.2024 in Kraft treten. Sie stellt nun verbindliche Anforderungen an die Informationssicherheit in IT und OT der Schweizer Energieversorgungs-
unternehmen (EVUs), welche sich nun am IKT-Minimalstandard des BWL messen müssen.
Der folgende Zusammenzug gibt den CISOs der Schweizer EVUs eine konsistente und nachvollziehbare Aufbereitung der Neuerungen sowie der daraus folgenden Konsequenzen per März 2024 zur Hand.

Management Summary

  • Per 1. Juli 2024 treten soll das revidierte Bundesgesetz über die Stromversorgung (StromVG) und die Revision des Stromversorgungsverordnung (StromVV) in Kraft treten.
  • Mit dieser Änderung müssen Erzeuger, Netzbetreiber, Speicherbetreiber und Dienstleister in der Schweiz Minimalanforderungen zum Schutz vor Cyberbedrohungen erfüllen. Das zu erreichende Schutzniveau hängt von der Leistungsfähigkeit (GWh/Jahr bzw. MW) der Systeme ab. Im Scope ist damit auch die Operational Technology (OT).
  • Die Massnahmen zur Erreichung des Schutzniveaus werden aus dem IKT-Minimalstandard des BWL abgeleitet.
  • Der Eidgenössische Elektrizitätskommission (ElCom) obliegt die Überwachung der Massnahmenumsetzung. Sie erlaubt eine Übergangsfrist von maximal 24 Monaten nach Inkrafttreten des StromVG und der StromVV.
  • Für Netzbetreiber sind die Kosten für die Umsetzung von Cybersicherheits-Massnahmen anrechenbare Netzkosten. 

Wen betrifft die revidierte StromVV

Unternehmen folgender Kategorien:

  • Netzbetreiber,
  • Erzeuger,
  • Speicherbetreiber und
  • Dienstleister

Für den sicheren und stabilen Systembetrieb des Schweizer Stromnetzes bedeutet dies, dass die Information Technology¹ (IT) und insbesondere die Operational Technology² (OT) gegen diese Bedrohungen zu sichern sind.

Die Anforderungen gemäss der revidierten StromVV

Die Anforderungen an die Informatiksicherheit stammen direkt aus dem IKT-Minimalstandard des BWLs. Dieser ist nach NIST aufgebaut und ordnet den Fähigkeiten

  • Identifizieren (ID Identify),
  • Schützen (PR Protect),
  • Erkennen (DE Detect),
  • Reagieren (RS Respond) und
  • Wiederherstellen (RC Recover)

spezifische Aktivitäten zu, deren Umsetzung auf einer Maturitätsskala bewertet wird:

  • 0 nicht umgesetzt
  • 1 partiell umgesetzt, nicht vollständig definiert und abgenommen
  • 2 partiell umgesetzt, vollständig definiert und abgenommen
  • 3 umgesetzt, vollständig oder grösstenteils umgesetzt, statisch
  • 4 dynamisch, umgesetzt, kontinuierlich überprüft, verbessert
  • n/a Nicht anwendbar / Begründung notwendig

Die Systematik ist anhand des folgenden Beispiels eines Inventar Managements illustriert:

Das Schutzniveau eines Unternehmens hängt von dessen Energieproduktion bzw. Energieübertragungsleistung ab. Die Klassifizierung in die absteigenden Schutzniveaus A, B und C ist wie folgt gestaltet:

Abhängig vom Schutzniveau ihres Unternehmens muss der Maturitäts-Mittelwert der Aktivitäten zum Schutz vor Cyberbedrohungen in den jeweiligen Kategorien mindestens folgende Durchschnitts-Werte erreichen:

Zeitleiste zur Umsetzung der Massnahmen

Nach der reinen Gesetzgebung gibt es keine Übergangsfrist zur Erfüllung der IKT-Minimalstandard Anforderungen. Die ElCom als Aufsichtsorgan gibt den betroffenen Unternehmen eine Frist von 24 Monaten, ab Inkrafttreten der revidierten StromVV am 1. Juli 2024, zur Umsetzung der Vorgaben. Danach können begründete Ausnahmen durch die ElCom vergeben werden. Geplante, aber noch nicht umgesetzte Massnahmen sind gültig, sofern der Plan zur Umsetzung von der GL des EVUs unterschrieben ist.

Zeitachse bezüglich der Übergangsfrist zur Umsetzung der Schutzmassnahmen

Zeitachse bezüglich der Übergangsfrist zur Umsetzung der Schutzmassnahmen

Aufsicht durch die ElCom

Die ElCom hat den Auftrag die Umsetzung der Anforderungen zu beaufsichtigen. Dazu setzt sie gemäss ihrer Weisung auf drei Tools:

  • Jährliche Selbsteinschätzung im Rahmen einer Umfrage auf Basis des BWL-Assessment-Tools
  • Sensibilisierungsgespräche vor Ort bei Unternehmen mit besonderer Relevanz, auffälligen Antworten in der Umfrage oder Stichprobe
  • Audits zu technischen Aspekten bei Auffälligkeiten in Umfrage oder bei den Sensibilisierungsgesprächen

Aufwände

Für Netzbetreiber sind die Kosten für die Umsetzung von Cybersicherheits-Massnahmen anrechenbare Netzkosten, sofern sie die Anforderungen zur Anrechenbarkeit nach Artikel 15 Absatz 1 StromVG erfüllen. In der Mitteilung vom 28. September 2022 hat die ElCom die Anrechenbarkeit von Massnahmen zur Cybersicherheit präzisiert.

Übersicht Zuweisung Kosten Cybersicherheit in der Kostenrechnung ElCom

Übersicht Zuweisung Kosten Cybersicherheit in der Kostenrechnung ElCom

Wie Eraneos dabei unterstützen kann

Die Neuerungen führen bewusst zu einer gesteigerten Maturität der Informationssicherheit bei den Schweizer EVUs. Damit sind zusätzliche, kurz- bis mittelfristige Aufwände verbunden, welche innerhalb der gegenebenen Fristen zu Ressourcenengpässen bei Betrieb und bestehende Projektorganisationen führen können. Eraneos verfügt über ein kompetentes, leistungsstarkes Team mit OT-Praxiserfahrung in kritischen Infrastrukturen, Manufacturing und Logistik, welches sie hier gerne unterstützt. Seien es Assessments zum IKT-Minimalstandard sowie der IEC 62443, die Erarbeitung bzw. Erweiterung von Konzepten oder einfach nur die konkrete, hands-on Unterstützung von Betrieb und Projekten der in der Rolle eines (OT) ISO – fragen Sie uns gerne an.

1 Unter Information Technology fallen Technologien zur Datenverarbeitung, welche nicht direkt mit der Bereitstellung von Elektrizität zu tun haben
(z.B. Kundendatenmanagement, Personaldatenmanagement, Büroanwendungen).
²Unter Operational Technology fallen Technologien, welche direkt für die Bereitstellung oder Lieferung von Elektrizität notwendig sind (z.B. SCADA, PIA, Remote Access auf Installationen in Unterwerken, Rundsteuerung, Energiedatenmanagement (EDM), Smart-Meter, intelligente Steuer- und Regelsysteme).

Referenzen, Quellenangaben & weiterführende Links

Benedict Simlinger
By Benedict Simlinger
Managing Consultant , Energie- & Versorgungsunternehmen

15 Apr 2024
Knowledge Hub Übersicht