Artikel

Cyber Security für die Schweizer Stromversorgung

Wie ist der Stand der Cyber-Security in der Schweizer Stromversorgung und wie sieht die Strategie für ihre digitale Zukunft aus? Deloitte als Verfasser einer Grundlagenstudie im Auftrag des Bundesamtes für Energie (BfE).

Das Digital Innovation Office des Bundesamtes für Energie (BfE) beauftragte Deloitte mit dem Verfassen einer Grundlagenstudie, welche unter anderem den aktuellen Stand betreffend Cyber-Sicherheit und Resilienz innerhalb des Schweizer Stromsektors aufzeigt.

Weiter wird in der Studie ein gesamtheitliches Konzept vorgeschlagen, wie der Sektor künftig ein angemessenes Level an Cyber Sicherheit bei einer stark voranschreitenden Digitalisierung und stets ändernden Bedrohungslage gewährleisten kann.

Der durch das BfE publizierte, vollständige Bericht lässt sich hier abrufen.

Wir haben die wichtigsten Erkenntnisse der Arbeit hier nochmals in Kürze zusammengefasst:
 

1. Fortschreitende Digitalisierung und eine sich ändernde Bedrohungslage

Die Digitalisierung schreitet immer schneller voran und neue Technologien finden stetig ihren Weg in die Kraftwerke und Stromnetze der Schweiz.

Es werden vermehrt Cyber-Angriffe auf die Unternehmen des Stromsektors verzeichnet und die Cyber-Bedrohungslage für die Schweizer Stromversorgung befindet sich aktuell in einem starken Wandel.
 

2. Stark fragmentierte Gesetzeslandschaft für Cyber-Sicherheit und Resilienz im Stromsektor

Die Themen Cyber-Sicherheit und Resilienz sind derzeit für den Stromsektor weder einheitlich noch flächendeckend für alle relevanten Akteure geregelt.

Viele der bestehenden Vorgaben sind zudem auf freiwilliger Basis. Weiterführende, verpflichtende Vorgaben und Mindestanforderungen sind innerhalb des Sektors bisher ausstehend.
 

3. Der aktuelle Reifegrad für Cyber-Sicherheit innerhalb des Sektors ist derzeit tiefer als erwartet

Die Auswertung der als Teil der Studie durchgeführten E-Survey 2020 bezüglich IT-Sicherheits-Maturität der Schweizer Strommarktteilnehmer zeigt deutlich, dass die Akteure bisher noch nicht selbstständig und auf freiwilliger Basis alle notwendigen Massnahmen getroffen haben.

Ein Grossteil der Betriebe ist demnach der eigenen Branchenrichtlinie nicht nachgekommen und noch weit entfernt von dem eigens gesetzten Ziel eines durchschnittlichen Maturitätswerts von «2.6» über alle Bereiche des IKT Minimalstandards des Bundes.
 

4. Die Nachbarländer der EU haben derzeit einen Vorsprung

Die in der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken 2018-2022 (NCS) festgehaltenen Stossrichtungen des Bundes sind grösstenteils mit den Massnahmen der ersten Netz- und Informationssicherheit (NIS)-Richtlinie der EU kompatibel.

Der aktuelle Vorsprung der EU-Staaten im Bereich der Cyber Sicherheit und Resilienz ist derzeit jedoch beachtlich. Viele der für die Schweiz aktuell diskutierten Massnahmen sind aufgrund der NIS-Richtlinie andernorts in der EU bereits in der Praxis umgesetzt, operativ und längst etabliert.
 

5. Als Teil der Studie wurde ein klarer Handlungsbedarf identifiziert und ein Konzept zur Adressierung der offenen Punkte erarbeitet

In Anlehnung an den für die Schweiz identifizierten Handlungsbedarf fokussiert sich das in der Studie beschriebene, gesamtheitliche Konzept primär auf vier Handlungsbereiche: (1) Rahmenbedingungen, (2) Überprüfung, (3) Meldewesen und (4) Wissensaustausch.

Alle in der Arbeit beschriebenen Ansätze sollen in naher Zukunft systematisch innerhalb des Sektors weiter ausdefiniert und implementiert werden, so dass der Stromsektor Schweiz künftig ein angemessenes Level an Cyber Security bei einer stark voranschreitenden Digitalisierung und stets ändernden Bedrohungslage gewährleisten kann.

Fazit: Was heisst das für Unternehmen des Schweizer Energiesektors?

Der Bund arbeitet derzeit mit Hochdruck an der Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken 2018-2022 (NCS).
Betriebe innerhalb des Schweizer Stromsektors müssen entsprechend mit neuen Anforderungen und Veränderung des Status Quo in den Bereichen der Cyber-Sicherheit und Resilienz rechnen. Analog der Arbeit wären die wohl wichtigsten, möglichen künftigen Änderungen primär folgende:

  1. Das Vorhandensein eines vereinfachten Regulierungsumfelds betreffend Cyber-Sicherheit und Resilienz im Schweizer Stromsektor mit verpflichtenden Mindestanforderungen, sowie mehr Hilfestellungen durch den Bund
  2. Eine regelmässige, zentrale Überprüfung durch den Bund, ob die Einhaltung der Gesetzgebungen durch ein Unternehmen jeweils gegeben ist
  3. Die Pflicht zur Nominierung eines Cyber-Verantwortlichen innerhalb jeder Unternehmung des Schweizer Stromsektors, welche/r dieses gegenüber dem Kontrollorgan des Bundes vertritt
  4. Die Einführung einer Pflicht zur Meldung grösserer Cyber-Vorfälle an den Bund, sowie einfacherer Zugang an relevante Informationen betreffend aktueller Bedrohungslage (Threat Intelligence) für alle Betriebe des Stromsektors
Fanden Sie diese Seite hilfreich?