Kata­log von Sicher­heits­an­for­de­run­gen zu §109 des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes

Die Anbie­ter von Tele­kom­mu­ni­ka­ti­ons­diens­ten und die Betrei­ber von öffent­li­chen Tele­kom­mu­ni­ka­ti­ons­net­zen sind nach § 109 Abs. 1 und 2 Tele­kom­mu­ni­ka­ti­ons­ge­setz (TKG) ver­pflich­tet, ange­mes­se­ne tech­ni­sche Vor­keh­run­gen und sons­ti­ge Maß­nah­men zum Schutz gegen schwer­wie­gen­de Stö­run­gen der Tele­kom­mu­ni­ka­ti­ons­net­ze und -diens­te zu tref­fen. Hier­zu zäh­len ins­be­son­de­re Maß­nah­men gegen uner­laub­te Zugrif­fe.

Im Zuge des Auf­baus des Mobil­funk­net­zes der fünf­ten Genera­ti­on (5G) strebt die Bun­des­netz­agen­tur (BNetzA) gemein­sam mit dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) und dem Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) die Über­ar­bei­tung des bestehen­den Kata­logs an Sicher­heits­an­for­de­run­gen an.[1]

Die BNetzA ver­folgt mit die­ser Aktua­li­sie­rung drei über­ge­ord­ne­te Zie­le:

  1. Schutz des Fern­mel­de­ge­heim­nis­ses,
  2. Schutz per­so­nen­be­zo­ge­ner Daten und
  3. Sicher­stel­lung der Ver­füg­bar­keit von Net­zen und Diens­ten.

Für uns ist ein leis­tungs­fä­hi­ges und siche­res 5G-Netz von zen­tra­ler Bedeu­tung, um die Wett­be­werbs­fä­hig­keit am Stand­ort Deutsch­land nach­hal­tig zu stär­ken. Gleich­zei­tig bedarf es eines zügi­gen Auf­baus der 5G-Netz­werk­in­fra­struk­tur. Hier­für ist Rechts­si­cher­heit, gera­de in Bezug auf die ein­setz­ba­ren Netz­werk­kom­po­nen­ten, ent­schei­dend.

Deutsch­land ist bei der digi­ta­len Trans­for­ma­ti­on auf tech­ni­sche Lösun­gen sowohl natio­na­ler als auch inter­na­tio­na­ler Unter­neh­men ange­wie­sen. Eine sys­te­ma­ti­sche Aus­gren­zung von inter­na­tio­na­len Anbie­tern beim Auf­bau digi­ta­ler Infra­struk­tu­ren oder bei End­ge­rä­ten wäre daher weder tech­no­lo­gisch, wirt­schaft­lich noch zeit­lich ziel­füh­rend. Digi­ta­le Sou­ve­rä­ni­tät darf nicht mit digi­ta­ler Aut­ar­kie ver­wech­selt wer­den.

Basie­rend auf der Stel­lung­nah­me „Daten-, Diens­te- und Netz­si­cher­heit im Bereich 5G sowie wei­ter­füh­ren­den Bera­tun­gen inner­halb sei­ner Mit­glied­schaft, kom­men­tiert Han­no­ver IT im Fol­gen­den die kon­kre­ten, von BNetzA, BSI und BfDI vor­ge­schla­ge­nen Sicher­heits­an­for­de­run­gen.

 

Anmer­kun­gen zum Aktua­li­sier­ten Kata­log an Sicher­heits­an­for­de­run­gen gem. §109 TKG

Han­no­ver IT begrüßt das grund­le­gen­de Vor­ha­ben der BNetzA, des BSI und des BfDI, die Sicher­heit von Daten, Diens­ten und Net­zen im Bereich der Telekommunikation/5G zu stär­ken. Wir benö­ti­gen in Zei­ten der Digi­ta­li­sie­rung mög­lichst schnell eine moder­ne, leis­tungs­fä­hi­ge und siche­re Netz­werk­in­fra­struk­tur.

Sicher­heit hat obers­te Prio­ri­tät und muss sowohl auf euro­päi­scher als auch auf natio­na­ler Ebe­ne gedacht wer­den. Für alle Her­stel­ler, unab­hän­gig von Pro­duk­ten, Ange­bo­ten und Her­kunft, müs­sen euro­pa­weit die glei­chen pro­dukt- und ange­bots­spe­zi­fi­schen Prüf­kri­te­ri­en, Regeln und Ver­fah­ren gel­ten.  Ein lex spe­cia­lis für ein­zel­ne Anbie­ter darf es nicht geben!

Maß­nah­men zur Erhö­hung der Sicher­heit in Tele­kom­mu­ni­ka­ti­ons­net­zen soll­ten min­des­tens auf euro­päi­scher Ebe­ne basie­rend auf Zer­ti­fi­zie­run­gen durch natio­na­le Prüf­stel­len ein­ge­führt wer­den. Natio­na­le Allein­gän­ge schwä­chen die wirt­schaft­li­che Ent­wick­lung und behin­dern die Inno­va­ti­ons­fä­hig­keit.

Zudem ist zu beach­ten, dass die in der Kon­sul­ta­ti­on auf­ge­führ­ten Maß­nah­men im Ein­klang mit ande­ren Geset­zen zur IT-Sicher­heit ste­hen. Dabei sind vor allem der EU Cyber­se­cu­ri­ty Act, die deut­schen IT-Sicher­heits­ge­set­ze 1.0 und 2.0 sowie die euro­päi­sche NIS-Richt­li­nie zu berück­sich­ti­gen.

 

Auf­fäl­lig­kei­ten im Netz­werk­ver­kehr moni­to­ren, Detek­ti­ons­maß­nah­men auf dem Stand der Tech­nik ein­füh­ren

wir begrü­ßen grund­sätz­lich das Vor­ha­ben, etwai­ge Daten­ab­flüs­se zu moni­to­ren und gege­be­nen­falls zu unter­bin­den. Der Abfluss von Know-How sowie Meta­da­ten ist unbe­dingt zu ver­mei­den. Die vor­ge­schla­ge­nen Anfor­de­run­gen erwei­tern die bestehen­de Ver­pflich­tung „9.2 Netz­ver­kehr beob­ach­ten und ana­ly­sie­ren (Netz­fo­ren­sik)“. Die Über­wa­chung ist der­zeit auf „Ver­kehrs­da­ten“ beschränkt und darf nur „im Rah­men der gesetz­li­chen Mög­lich­kei­ten und soweit dies für die Erbrin­gung des jewei­li­gen Diens­tes erfor­der­lich ist“ durch­ge­führt wer­den. Bei jeder Aus­wei­tung die­ser Ver­pflich­tung muss der Rechts­rah­men für den Daten­schutz und die Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on beach­tet wer­den, der in der All­ge­mei­nen Daten­schutz­ver­ord­nung der EU und der Daten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­ti­on fest­ge­legt ist.

Um etwai­ge Ano­ma­li­en auf­zu­de­cken bedarf es nach unse­rer Ansicht der Anwen­dung aktu­el­ler Sicher­heits­lö­sun­gen auf dem neu­es­ten Stand der Tech­nik. Die­se umfas­sen die Fähig­keit, fort­ge­schrit­te­ne Bedro­hun­gen mit Hil­fe von Algo­rith­men des maschi­nel­len Ler­nens zu über­wa­chen und zu erken­nen. Sol­che Lösun­gen sind sen­si­bel gegen­über Daten­schutz- und Ver­trau­lich­keits­be­den­ken.

Zudem gilt es zu kon­kre­ti­sie­ren, wel­che beson­de­ren (neu­en) Arten von Auf­fäl­lig­kei­ten im Fokus ste­hen sol­len. Der Netz­ver­kehr wird schon jetzt über die Netz- und Sys­tem­kom­po­nen­ten auf Auf­fäl­lig­kei­ten beob­ach­tet. Ins­be­son­de­re der Anwen­dungs­be­reich der Detek­ti­ons­maß­nah­me soll­te genau­er defi­niert wer­den. Zudem bedarf der Aus­druck „stän­dig“ eine genaue­re Defi­ni­ti­on.

 

Prü­fung und Zer­ti­fi­zie­rung sicher­heits­re­le­van­ter Netz- und Sys­tem­kom­po­nen­ten durch das BSI

Vor­weg muss zunächst der Begriff „kri­ti­sche Infra­struk­tu­ren“ in einem engen Aus­tausch mit Netz­aus­rüs­ter und Wirt­schaft geklärt und defi­niert wer­den. Zudem soll­te fest­ge­legt wer­den, wie eine Zusi­che­rung der Ver­trau­ens­wür­dig­keit in geeig­ne­ter Wei­se und rechts­si­cher erfol­gen soll.

Zer­ti­fi­zie­rung kann mit hohen Kos­ten und (zeit­li­chem) Auf­wand ver­bun­den sein. Des­halb soll­te auf jeden Fall eine Kos­ten-Nut­zen-Betrach­tung erfol­gen und das Ziel geklärt wer­den, das die BNetzA mit einer Zer­ti­fi­zie­rung errei­chen will. Unter kei­nen Umstän­den darf das Prü­fungs- und Zer­ti­fi­zie­rungs­ver­fah­ren ein Bot­t­len­eck für das Roll-Out von inno­va­ti­ven Tech­no­lo­gi­en dar­stel­len. Ins­be­son­de­re bei sicher­heits­kri­ti­schen Updates müs­sen Mög­lich­kei­ten zu deren raschen Umset­zung (im Ernst­fall auch ohne eine Vor­ab­zer­ti­fi­zie­rung) geschaf­fen wer­den. Die Cyber­re­si­li­enz deut­scher kri­ti­scher Infra­struk­tu­ren darf nicht durch büro­kra­ti­sche Vor­ga­ben geschwächt wer­den.

Eine mög­li­che Zer­ti­fi­zie­rung soll­te nicht zu einer natio­na­len und Deutsch­land spe­zi­fi­schen Son­der­lö­sung füh­ren, die die Ein­füh­rung von 5G in Deutsch­land ver­zö­gert und mit Mehr­kos­ten belas­tet. Daher hat sich Han­no­ver IT bereits in sei­ner Stel­lung­nah­me für die Aus­ar­bei­tung eines Cyber­si­cher­heits­zer­ti­fi­zie­rungs­rah­mens für 5G-Netz­werk­kom­po­nen­ten über den Euro­päi­schen Cyber­se­cu­ri­ty Act aus­ge­spro­chen. Ein euro­päi­sches Sche­ma für 5G-Netz­werk­kom­po­nen­ten, soll­te das Wech­sel­spiel von Hard- und Soft­ware sowie Pro­zes­se, wie das Updatema­nage­ment und die Nach­voll­zieh­bar­keit von Soft­ware­ent­wick­lun­gen, abde­cken.

Regio­na­le Sicher­heits­zer­ti­fi­zie­run­gen müs­sen auf inter­na­tio­na­len Nor­men basie­ren und mit inter­na­tio­na­len Rege­lun­gen zur gegen­sei­ti­gen Aner­ken­nung kom­pa­ti­bel sein. Um zu raschen Ergeb­nis­sen zu kom­men, soll­te die Exper­ti­se der Wirt­schaft in die Erar­bei­tung der Cyber­si­cher­heits­zer­ti­fi­zie­rungs­sche­ma­ta ein­be­zo­gen wer­den. Ziel muss es sein, ein Sche­ma aus­zu­ar­bei­ten, dass die Über­prü­fung und Über­prüf­bar­keit tech­ni­ka­gnos­tisch nach klar nach­voll­zieh­ba­ren und auch erfüll­ba­ren Kri­te­ri­en ermög­licht.

Das BSI benö­tigt sowohl die per­so­nel­len als auch finan­zi­el­len Res­sour­cen, um vor allem als kri­tisch ein­ge­stuf­te Tech­no­lo­gi­en nicht nur ein­ma­lig vor dem Roll-Out zu zer­ti­fi­zie­ren, son­dern auch kon­ti­nu­ier­lich über den gesam­ten Pro­dukt­le­bens­zy­klus zu über­prü­fen.

Tech­nik­be­zo­ge­ne Zer­ti­fi­zie­run­gen und Sicher­heits­über­prü­fun­gen dür­fen jedoch nie­mals die ein­zi­ge Dimen­si­on zur Stär­kung der Wider­stands­fä­hig­keit von Tele­kom­mu­ni­ka­ti­ons­net­zen dar­stel­len. Viel­mehr müs­sen sie Teil einer ganz­heit­li­chen Bedro­hungs­ana­ly­se sein. In die­se Prü­fung müs­sen auch gesetz­li­che Rah­men­be­din­gun­gen und gän­gi­ge Prak­ti­ken ein­be­zo­gen wer­den, denen die Anbie­ter auf ihrem Hei­mat­markt oder mit Toch­ter­ge­sell­schaf­ten in einem Dritt­staat aus­ge­setzt sind, die aber für ihre Tätig­keit in der EU rele­vant sind (bspw. ver­pflich­ten­de Wei­ter­ga­be von Daten an staat­li­che Stel­len).

 

Ein­ver­nehm­li­che Fest­le­gung der sicher­heits­re­le­van­ten Netz- und Sys­tem­kom­po­nen­ten durch BNetzA und BSI

Die Fest­le­gung sicher­heits­re­le­van­ter Kom­po­nen­te soll­te in einer gemein­sa­men Arbeits­grup­pe bestehend aus Behör­den, Tele­kom­mu­ni­ka­ti­ons­un­ter­neh­men und betrof­fe­nen Unter­neh­men unter Lei­tung der BNetzA erfol­gen. Die Nut­zer von sicher­heits­re­le­van­ten Kom­po­nen­ten kön­nen aus ihrer unter­neh­me­ri­schen Pra­xis Erfah­run­gen über den Ein­satz von Hard- und Soft­ware in die Bewer­tung ein­flie­ßen las­sen.

 

Prü­fung sicher­heits­re­le­van­ter Netz- und Sys­tem­kom­po­nen­ten über den gesam­ten Pro­dukt­le­bens­zy­klus

Han­no­ver IT begrüßt den Vor­stoß, sicher­heits­re­le­van­te Netz- und Sys­tem­kom­po­nen­ten über den gesam­ten Pro­dukt­le­bens­zy­klus zu prü­fen. Aus Sicht von Han­no­ver IT sind fol­gen­de Aspek­te bei der kon­kre­ten Aus­ge­stal­tung des Prü­fungs­ver­fah­rens zu berück­sich­ti­gen:

  • Sowohl Zyklus und Form als auch der Inhalt der regel­mä­ßi­gen Sicher­heits­über­prü­fun­gen sind schnellst­mög­lich fest­zu­le­gen. Idea­ler­wei­se soll­ten län­ge­ren Inter­val­len für kri­ti­sche Kern­kom­po­nen­ten im Ver­gleich zu beson­ders kri­ti­schen Kern­kom­po­nen­ten (vgl. Red­un­danz-Anfor­de­rung) ein­ge­führt wer­den.
  • Neben euro­pa­weit ein­heit­li­chen Sicher­heits­an­for­de­run­gen über ein Cyber­si­cher­heits­zer­ti­fi­zie­rungs­sche­ma­ta soll­ten auch Test­ver­fah­ren für kri­ti­sche Kom­po­nen­te idea­ler­wei­se euro­pa­weit ein­heit­lich ein- und durch­ge­führt wer­den.
  • Um den Schutz der Intel­lec­tu­al Pro­per­ty der Unter­neh­men gewähr­leis­ten zu kön­nen, soll­ten Test­ver­fah­ren in den Unter­neh­men nur durch die benann­te staat­li­che Stel­le unter Kon­trol­le des Her­stel­lers statt­fin­den.
  • Zudem ist zu gewähr­leis­ten, dass die EU-Mit­glieds­staa­ten ihre jewei­li­gen Sicher­heits­stan­dards gegen­sei­tig aner­ken­nen, um unnö­ti­ge Merhfach­zer­ti­fi­zie­rung zu ver­mei­den. Nur so kön­nen die 5G-Stan­dards wirk­sam, ska­lier­bar und effi­zi­ent ein­ge­führt wer­den.

 

Fach­per­so­nal

Hier bedarf es einer genau­en Begriffs­be­stim­mung von „sicher­heits­re­le­van­ten Berei­chen“ und „ver­tief­ter Sys­tem­kennt­nis“. Es bleibt zudem unklar, für wel­che Art Fach­per­so­nal die­se Anfor­de­rung bestehen soll.  Es ist essen­ti­ell, dass – wie im Vor­schlag der BNetzA vor­ge­se­hen – auch zukünf­tig geeig­ne­tes Dienst­leis­tungs­per­so­nal von Drit­ten (Unter­auf­trag­neh­mer) an den Arbei­ten betei­ligt wer­den dür­fen. Soll­te dies nicht der Fall sein, wäre es für zahl­rei­che Unter­neh­men nahe­zu unmög­lich den bestehen­den Fach­kräf­te­be­darf, der Unter­neh­men bereits jetzt vor gro­ße Her­aus­for­de­run­gen stellt, abzu­de­cken.

 

Ver­wen­dung geprüf­ter Hard­ware sicher­stel­len

Der Ein­satz geprüf­ter Hard- und Soft­ware wird von hoher Bedeu­tung sein, um das Ver­trau­en von Unter­neh­men, Pri­vat­per­so­nen und öffent­li­chen Stel­len in die digi­ta­le Infra­struk­tur zu gewähr­leis­ten.

Mit Blick auf digi­ta­le Infra­struk­tu­ren wäre es für die Stär­kung von Ver­trau­en in Anbie­ter ganz gleich wel­cher Pro­ve­ni­enz eine Opti­on, neben einer Über­prü­fung der Hard­ware­kom­po­nen­ten auch die Ein­sicht­nah­me in Quell­codes und Ent­wick­lungs­pro­zes­se durch Behör­den­ver­tre­ter in Unter­neh­men zu ermög­lich. Anschlie­ßend wäre eine Zer­ti­fi­zie­rung von Tech­no­lo­gi­en, die in beson­ders sicher­heits­re­le­van­ten Infra­struk­tu­ren – den soge­nann­ten Kri­ti­schen Infra­struk­tu­ren – (wie 5G-Net­zen) ver­wen­det wer­den, durch akkre­di­tier­te Zer­ti­fi­zie­rungs­stel­len und/oder Auf­sichts­be­hör­den wie das BSI denk­bar. Auch hier müss­te das Prin­zip „glei­che Pflich­ten für Glei­che“ gel­ten.

Grund­sätz­lich soll­ten die auf­ge­führ­ten Maß­nah­men schnellst­mög­lich defi­niert und klar­ge­stellt wer­den. Hier­bei gilt es aus Sicht von Han­no­ver IT unbe­dingt zu berück­sich­ti­gen:

  • dass das BSI aus­rei­chend Res­sour­cen zur Über­prü­fung der Quell­codes und Ent­wick­lungs­pro­zes­se von Soft- und Hard­ware hat,
  • wel­che Kon­se­quen­zen sich aus einer Prü­fung ohne Fund von Sicher­heits­schwach­stel­len, respek­ti­ve dem Fund von Schwach­stel­len erge­ben,
  • dass unbe­fug­te Drit­te über Test­ver­fah­ren oder Ähn­li­ches kei­nen Zugang zu Quell­codes sowie Infor­ma­tio­nen über Ent­wick­lungs­pro­zes­se bekom­men kön­nen,
  • dass durch ver­pflich­ten­de Test­ver­fah­ren, wie die Ein­sicht­nah­me in Quell­codes, für die Cyber­re­si­li­enz eines Pro­duk­tes kei­ne Nach­tei­le ent­ste­hen, weil bei­spiels­wei­se Emer­gen­cy-Updates nicht instal­liert wer­den kön­nen und
  • dass die Test­ver­fah­ren auf einem risi­ko­ba­sier­ten Ansatz beru­hen, der eine robus­te und dyna­mi­sche Schwach­stel­len­ana­ly­se beinhal­tet.

Ins­ge­samt gilt es zu berück­sich­ti­gen, wie oben dar­ge­legt, dass auch Firm­ware Updatezy­klen unter­liegt, um neue Fea­tures imple­men­tie­ren und poten­zi­el­le Feh­ler im Code behe­ben zu kön­nen. Einen bestimm­ten tech­ni­schen Stand fest­zu­schrei­ben wür­de die Ver­bes­se­rung der Pro­duk­te behin­dern. Viel­mehr soll­te der abge­nom­me­ne Stand und die vor­ge­nom­me­nen Wei­ter­ent­wick­lun­gen klar und trans­pa­rent doku­men­tiert wer­den. Auch gilt es, die Aus­wir­kun­gen der vor­ge­nom­me­nen Ver­än­de­run­gen zu ana­ly­sie­ren. Signa­tur­ba­sier­te Updateme­cha­nis­men kön­nen dabei hel­fen, Mani­pu­la­tio­nen zu ver­hin­dern.

 

Mul­ti-Ven­dor-Stra­te­gie imple­men­tie­ren

Grund­sätz­lich kann eine Mul­ti-Ven­dor-Stra­te­gie das Sicher­heits­ri­si­ko mini­mie­ren. Es ist aller­dings zu berück­sich­ti­gen, dass eine Mehr-Lie­fe­ran­ten-/ Her­stel­ler­stra­te­gie die Kom­ple­xi­tät erhöht und auch zu zusätz­li­chen Schwach­stel­len füh­ren kann. Eine Ent­schei­dung für oder gegen eine Mulit-Ven­dor-Stra­te­gie muss daher nach funk­tio­na­len, betrieb­li­chen und sicher­heits­tech­ni­schen Aspek­ten beleuch­tet wer­den. Soll­te sich die Bun­des­re­gie­rung für eine Mul­ti-Ven­dor-Stra­te­gie aus­spre­chen, so müss­te die­se gleich­sam für pri­vat­wirt­schaft­li­che Akteu­re als auch staat­li­che Stel­len gel­ten.

Die Mulit-Ven­dor-Stra­te­gie kann Sicher­heit nur dann erhö­hen, wenn die Pro­duk­te aller Anbie­ter glei­cher­ma­ßen ver­trau­ens­wür­dig sind. Hier­für gilt es, euro­pa­weit ein­heit­li­che Sicher­heits­an­for­de­run­gen für sicher­heits­kri­ti­sche Kom­po­nen­ten zu defi­nie­ren und umzu­set­zen.

In jedem Fall muss die Anfor­de­rung „Diver­si­tät“ mit der Anfor­de­rung „Red­un­danz“ abge­stimmt sein und somit den Grund­satz der Ange­mes­sen­heit mit Blick auf das TKG erfül­len.

 

Sicher­stel­lung aus­rei­chen­der Red­un­dan­zen

Zunächst soll­te sicher­ge­stellt wer­den, dass die „kri­ti­schen, sicher­heits­re­le­van­ten Netz- und Sys­tem­kom­po­nen­ten“ iden­tisch mit den oben genann­ten „kri­ti­schen Kern­kom­po­nen­ten“ sind. Es ist folg­lich zu defi­nie­ren, wie die­se Red­un­dan­zen bes­ten­falls abzu­bil­den sind.

Bereits heu­te ver­fol­gen die Netz­be­trei­ber eine Mulit-Ven­dor-Stra­te­gie. Zudem betrei­ben die Tele­kom­mu­ni­ka­ti­ons­un­ter­neh­men eige­ne Net­ze und wei­sen damit Red­un­dan­zen auf. Auch im 5G-Kon­text kann die­se Stra­te­gie die Sicher­heits­ri­si­ken mini­mie­ren.

Neben pri­vat­wirt­schaft­li­chen Initia­ti­ven müs­sen auch staat­li­che Stel­len ent­spre­chen­de Red­un­dan­zen für die von ihnen betrie­be­nen kri­ti­schen Infra­struk­tu­ren vor­hal­ten.

 

Gewähr­leis­tung natio­na­ler Sicher­heits­be­stim­mun­gen sowie Bestim­mun­gen zum Fern­mel­de­ge­heim­nis und zum Daten­schutz

Für uns ist es selbst­ver­ständ­lich, sich an gel­ten­des Recht, wie bei­spiels­wei­se natio­na­le Sicher­heits­be­stim­mun­gen, Bestim­mun­gen zum Fern­mel­de­ge­heim­nis und den Daten­schutz, zu hal­ten.

Die Ver­trau­ens­wür­dig­keit eines Lie­fe­ran­ten dürf­te sich pri­mär an der Qua­li­tät einer trans­pa­ren­ten und offe­nen Infor­ma­ti­ons­po­li­tik fest­ma­chen, die ein Lie­fe­rant bzgl. der Umset­zung der genann­ten Bestim­mun­gen und Geset­ze an den Tag legt sowie ent­spre­chen­der Erkennt­nis­se und Erfah­run­gen aus der Ver­gan­gen­heit.

 

[1] Am 7. März 2019 hat die BNetzA einen vor­läu­fi­gen Kata­log an zusätz­li­chen Sicher­heits­an­for­de­run­gen auf ihrer Web­site ver­öf­fent­licht. URL: https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/aktualisierung_sicherheitsanforderungen/aktualisierung_sicherheitsanforderungen-node.html

X