Die fortschreitende Digitalisierung in der Energieversorgung geht einher mit einer Fülle an Systemen zur Prozesssteuerung. Diese Systeme und ihre Einzelkomponenten müssen sicher geplant und betrieben werden, um die Versorgungssicherheit zu gewährleisten. Als Dachverband der Schweizer Strombranche definiert der VSE Anforderungen und Ausführungshinweise für die Produkt- und Systementwicklung auf Seiten der Hersteller und Lieferanten. Zudem macht er Empfehlungen, wie Anforderungen an Systeme seitens der Energieversorgungsunternehmen (EVU) in Planung, Betrieb und Wartung berücksichtigt werden sollen. Die Anforderungen des VSE betreffen Technologien aus folgenden Kategorien: Betriebsführungs-/Leitsysteme und Systembetrieb, Übertragungstechnik/ Sprachkommunikation sowie Sekundär-/Automatisierungs- und Fernwirktechnik.
Internationale Zusammenarbeit
Sowohl die Energieversorgung als auch Steuerungs- und Telekommunikationssysteme sind heute über Landesgrenzen hinweg vernetzt. Entsprechend stellen sich Risiken, Herausforderungen, Chancen und mögliche Lösungsansätze in ähnlicher Weise nicht nur in der Schweiz, sondern auch in unseren Nachbarländern. Der VSE pflegt deshalb einen engen Austausch mit seinen benachbarten Pendants. Im Rahmen dieser Zusammenarbeit haben der VSE, der BDEW Bundesverband der Energie- und Wasserwirtschaft e.V. und der Verband «Österreichs Energie» das BDEW-Whitepaper «Anforderungen an sichere Steuerungs- und Telekommunikationssysteme» überarbeitet, welches bereits 2007 erstmalig veröffentlicht sowie 2018 überarbeitet wurde. Die vollständig überarbeitete Neuauflage haben sie nun gemeinsam publiziert.
Fokus der Anforderungen
Im Whitepaper beschreiben die drei Verbände ihre allgemeinen sowie spezifische Anforderungen zu den Bereichen Projektorganisation, Basissystem, Netzwerk und Kommunikation, Anwendung, Entwicklung, Wartung sowie Datensicherung und Notfallplanung. Der Fokus liegt auf Anforderungen an technische Komponenten und Systeme, die im Rahmen von Beschaffungen zu berücksichtigen sind, sowie auf für die Projektabwicklung und Wartung relevanten Prozessen. Weitere sicherheitsrelevante Aspekte wie organisatorische, personelle und physische Sicherheitsmassnahmen im Unternehmen werden hingegen nicht behandelt. Internationale Normen und Standards werden im Whitepaper wo möglich referenziert, die Systematik des Whitepapers unterscheidet sich jedoch von der Normenreihe ISO/IEC 27000. Die referenzierten Norm-Controls decken deshalb unter Umständen nur Teile der jeweiligen Anforderung des Whitepapers ab.
Anwendungsbeispiele unterstützen EVU, Lieferanten und Hersteller
Das Best-Practice-Papier hat bewusst einen sehr breiten Anwendungsbereich in der Energieversorgung, sodass Unternehmen aus einem breiten Katalog die für sie relevanten Sicherheitsanforderungen wählen können. Es enthält zudem zahlreiche Umsetzungsbeispiele und Anwendungshinweise für unterschiedliche Technologiebereiche der Steuerung und Prozessautomatisierung. Da die Vernetzung auch in Zukunft perspektivisch zunehmen wird, müssen zudem die Sicherheitsanforderungen gemeinsam mit Herstellern regelmäßig auf den Prüfstand gestellt werden. Durch Anwendungsbeispiele werden im Whitepaper sowohl EVU als auch Lieferanten und Hersteller bei der Umsetzung der Anforderungen unterstützt.
Cybersicherheitsverordnung
Der VSE engagiert sich auch auf regulatorischer Ebene für die digitale Sicherheit des Schweizer Energiesystems. So hat er im September 2024 eine Stellungnahme zur Vernehmlassung zur Cybersicherheitsverordnung eingereicht. Die Verordnung gibt vor, wie die Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen umgesetzt werden soll, regelt die Organisation zur Umsetzung der Nationalen Cyberstrategie und spezifiziert die Aufgaben des neuen Bundesamts für Cybersicherheit (BACS). Sie legt zudem fest, welche Behörden und Unternehmen von der Meldepflicht ausgenommen sind. Der VSE hält die Meldepflicht für wichtig und unterstützt die Strategie des Bundes im Bereich Cybersicherheit sowie deren Steuerung durch die betroffenen Akteure. In diesem Zusammenhang hält der VSE für unabdingbar, dass die Vertreter der kritischen Infrastrukturen eine aktive Rolle im StA NCS (Art. 4 Zusammensetzung des StA NCS) wahrnehmen können. Betreffend die technische Analyse von Cybervorfällen und Cyberbedrohungen (Art. 7) plädiert der VSE für eine gemeinsame Präzisierung der Leistungen und der Zusammenarbeit zwischen BACS und privaten CERTs, sowie von der Meldepflicht betroffenen Unternehmen der kritischen Infrastrukturen. Die Meldepflicht sollte nach Ansicht des VSE zudem auch «angegriffene Systeme» umfassen (Art. 19 Abs.1).