Das Büro für digitale Innovation des Bundesamts für Energie (BFE) beauftragte Deloitte mit der Erstellung einer Grundlagenstudie, die unter anderem den aktuellen Stand der Cybersicherheit und -resilienz im Schweizer Elektrizitätssektor aufzeigt.
Die Studie schlägt auch ein ganzheitliches Konzept vor, wie der Sektor angesichts der schnell fortschreitenden Digitalisierung und der sich ständig ändernden Bedrohungen in Zukunft ein angemessenes Niveau an Cybersicherheit gewährleisten kann.
Der vollständige Bericht des BFE kann unter here abgerufen werden.
Im Folgenden haben wir die wichtigsten Ergebnisse der Studie kurz zusammengefasst:
Das Tempo der Digitalisierung nimmt zu, und neue Technologien halten ständig Einzug in die Kraftwerke und Stromnetze der Schweiz.
Cyber-Angriffe auf Unternehmen im Stromsektor werden immer häufiger, und die Cyber-Bedrohung für die Stromversorgung in der Schweiz befindet sich derzeit in einem tiefgreifenden Wandel.
Derzeit sind die Themen Cybersicherheit und -resilienz nicht einheitlich oder umfassend für alle relevanten Akteure im Stromsektor geregelt.
Viele der bestehenden Richtlinien sind zudem freiwilliger Natur. Ausserdem gibt es in der Branche noch immer keine verbindlichen Spezifikationen und Mindestanforderungen.
Die Auswertung des im Rahmen der Studie durchgeführten E-Survey für 2020 hinsichtlich der IT-Sicherheit der Schweizer Strommarktteilnehmer zeigt deutlich, dass die Akteure noch nicht alle notwendigen Schritte auf eigenständiger und freiwilliger Basis unternommen haben.
Dementsprechend erfüllt die Mehrheit der Unternehmen noch nicht die eigenen Branchenrichtlinien und ist noch weit von dem Ziel eines durchschnittlichen Reifegrads von "2,6" entfernt, der speziell für alle Bereiche als IKT-Mindeststandard des Bundes festgelegt wurde.
Die meisten Prioritäten der Bundesregierung, die in der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken 2018-2022 (NCS) festgelegt sind, sind mit den Massnahmen der ersten EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS) kompatibel.
Allerdings scheinen die EU-Mitgliedstaaten derzeit einen beträchtlichen Vorsprung in Bezug auf Cybersicherheit und Widerstandsfähigkeit zu haben. Viele der Massnahmen, die derzeit für die Schweiz diskutiert werden, wurden in den EU-Ländern aufgrund der NIS-Richtlinie bereits in die Praxis umgesetzt und sind dort fest verankert.
Ausgehend von dem für die Schweiz identifizierten Handlungsbedarf konzentriert sich das in der Studie beschriebene ganzheitliche Konzept vor allem auf vier Handlungsfelder: (1) Rahmenbedingungen, (2) Überprüfung, (3) Berichterstattung und (4) Wissensaustausch.
Alle in der Studie beschriebenen Ansätze müssen in naher Zukunft systematisch weiter definiert und innerhalb des Sektors umgesetzt werden, damit die Schweizer Elektrizitätswirtschaft angesichts der rasch fortschreitenden Digitalisierung und der sich ständig ändernden Bedrohungen ein angemessenes Niveau an Cybersicherheit gewährleisten kann.
Die Bundesregierung arbeitet derzeit mit Hochdruck an der Umsetzung der nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken 2018-2022 (NCS).
Dementsprechend können die Unternehmen der Schweizer Elektrizitätswirtschaft mit neuen Anforderungen und Veränderungen des Status Quo in den Bereichen Cybersicherheit und Widerstandsfähigkeit rechnen. Laut der Studie sind die wichtigsten möglichen zukünftigen Änderungen die folgenden: