Die revidierte Stromversorgungsverordnung (StromVV) soll per 1.7.2024 in Kraft treten. Sie stellt nun verbindliche Anforderungen an die Informationssicherheit in IT und OT der Schweizer Energieversorgungs-
unternehmen (EVUs), welche sich nun am IKT-Minimalstandard des BWL messen müssen.
Der folgende Zusammenzug gibt den CISOs der Schweizer EVUs eine konsistente und nachvollziehbare Aufbereitung der Neuerungen sowie der daraus folgenden Konsequenzen per März 2024 zur Hand.
Management Summary
- Per 1. Juli 2024 treten soll das revidierte Bundesgesetz über die Stromversorgung (StromVG) und die Revision des Stromversorgungsverordnung (StromVV) in Kraft treten.
- Mit dieser Änderung müssen Erzeuger, Netzbetreiber, Speicherbetreiber und Dienstleister in der Schweiz Minimalanforderungen zum Schutz vor Cyberbedrohungen erfüllen. Das zu erreichende Schutzniveau hängt von der Leistungsfähigkeit (GWh/Jahr bzw. MW) der Systeme ab. Im Scope ist damit auch die Operational Technology (OT).
- Die Massnahmen zur Erreichung des Schutzniveaus werden aus dem IKT-Minimalstandard des BWL abgeleitet.
- Der Eidgenössische Elektrizitätskommission (ElCom) obliegt die Überwachung der Massnahmenumsetzung. Sie erlaubt eine Übergangsfrist von maximal 24 Monaten nach Inkrafttreten des StromVG und der StromVV.
- Für Netzbetreiber sind die Kosten für die Umsetzung von Cybersicherheits-Massnahmen anrechenbare Netzkosten.
Wen betrifft die revidierte StromVV
Unternehmen folgender Kategorien:
- Netzbetreiber,
- Erzeuger,
- Speicherbetreiber und
- Dienstleister
Für den sicheren und stabilen Systembetrieb des Schweizer Stromnetzes bedeutet dies, dass die Information Technology¹ (IT) und insbesondere die Operational Technology² (OT) gegen diese Bedrohungen zu sichern sind.
Die Anforderungen gemäss der revidierten StromVV
Die Anforderungen an die Informatiksicherheit stammen direkt aus dem IKT-Minimalstandard des BWLs. Dieser ist nach NIST aufgebaut und ordnet den Fähigkeiten
- Identifizieren (ID Identify),
- Schützen (PR Protect),
- Erkennen (DE Detect),
- Reagieren (RS Respond) und
- Wiederherstellen (RC Recover)
spezifische Aktivitäten zu, deren Umsetzung auf einer Maturitätsskala bewertet wird:
- 0 nicht umgesetzt
- 1 partiell umgesetzt, nicht vollständig definiert und abgenommen
- 2 partiell umgesetzt, vollständig definiert und abgenommen
- 3 umgesetzt, vollständig oder grösstenteils umgesetzt, statisch
- 4 dynamisch, umgesetzt, kontinuierlich überprüft, verbessert
- n/a Nicht anwendbar / Begründung notwendig
Die Systematik ist anhand des folgenden Beispiels eines Inventar Managements illustriert:
Das Schutzniveau eines Unternehmens hängt von dessen Energieproduktion bzw. Energieübertragungsleistung ab. Die Klassifizierung in die absteigenden Schutzniveaus A, B und C ist wie folgt gestaltet:
Abhängig vom Schutzniveau ihres Unternehmens muss der Maturitäts-Mittelwert der Aktivitäten zum Schutz vor Cyberbedrohungen in den jeweiligen Kategorien mindestens folgende Durchschnitts-Werte erreichen:
Zeitleiste zur Umsetzung der Massnahmen
Nach der reinen Gesetzgebung gibt es keine Übergangsfrist zur Erfüllung der IKT-Minimalstandard Anforderungen. Die ElCom als Aufsichtsorgan gibt den betroffenen Unternehmen eine Frist von 24 Monaten, ab Inkrafttreten der revidierten StromVV am 1. Juli 2024, zur Umsetzung der Vorgaben. Danach können begründete Ausnahmen durch die ElCom vergeben werden. Geplante, aber noch nicht umgesetzte Massnahmen sind gültig, sofern der Plan zur Umsetzung von der GL des EVUs unterschrieben ist.
Zeitachse bezüglich der Übergangsfrist zur Umsetzung der Schutzmassnahmen
Aufsicht durch die ElCom
Die ElCom hat den Auftrag die Umsetzung der Anforderungen zu beaufsichtigen. Dazu setzt sie gemäss ihrer Weisung auf drei Tools:
- Jährliche Selbsteinschätzung im Rahmen einer Umfrage auf Basis des BWL-Assessment-Tools
- Sensibilisierungsgespräche vor Ort bei Unternehmen mit besonderer Relevanz, auffälligen Antworten in der Umfrage oder Stichprobe
- Audits zu technischen Aspekten bei Auffälligkeiten in Umfrage oder bei den Sensibilisierungsgesprächen
Aufwände
Für Netzbetreiber sind die Kosten für die Umsetzung von Cybersicherheits-Massnahmen anrechenbare Netzkosten, sofern sie die Anforderungen zur Anrechenbarkeit nach Artikel 15 Absatz 1 StromVG erfüllen. In der Mitteilung vom 28. September 2022 hat die ElCom die Anrechenbarkeit von Massnahmen zur Cybersicherheit präzisiert.
Übersicht Zuweisung Kosten Cybersicherheit in der Kostenrechnung ElCom
Wie Eraneos dabei unterstützen kann
Die Neuerungen führen bewusst zu einer gesteigerten Maturität der Informationssicherheit bei den Schweizer EVUs. Damit sind zusätzliche, kurz- bis mittelfristige Aufwände verbunden, welche innerhalb der gegenebenen Fristen zu Ressourcenengpässen bei Betrieb und bestehende Projektorganisationen führen können. Eraneos verfügt über ein kompetentes, leistungsstarkes Team mit OT-Praxiserfahrung in kritischen Infrastrukturen, Manufacturing und Logistik, welches sie hier gerne unterstützt. Seien es Assessments zum IKT-Minimalstandard sowie der IEC 62443, die Erarbeitung bzw. Erweiterung von Konzepten oder einfach nur die konkrete, hands-on Unterstützung von Betrieb und Projekten der in der Rolle eines (OT) ISO – fragen Sie uns gerne an.
1 Unter Information Technology fallen Technologien zur Datenverarbeitung, welche nicht direkt mit der Bereitstellung von Elektrizität zu tun haben
(z.B. Kundendatenmanagement, Personaldatenmanagement, Büroanwendungen).
²Unter Operational Technology fallen Technologien, welche direkt für die Bereitstellung oder Lieferung von Elektrizität notwendig sind (z.B. SCADA, PIA, Remote Access auf Installationen in Unterwerken, Rundsteuerung, Energiedatenmanagement (EDM), Smart-Meter, intelligente Steuer- und Regelsysteme).
Referenzen, Quellenangaben & weiterführende Links
- Bundesamt für Energie (BFE) Publikationen Medienmitteilungen Vernehmlassungen
- Bundesamt für wirtschaftliche Landesversorgung (BWL) IKT-Minimalstandard
- Eidgenössische Elektrizitätskommission (ElCom) Newsletter
- Eidgenössische Elektrizitätskommission (ElCom) Weisungen
- Eidgenössische Elektrizitätskommission (ElCom) Mitteilungen
- Stromversorgungsgesetz (StromVG) Art 15 Anrechenbare Netzkosten