- RA Dr. Christian de Wyl, RA Dr. Michael Weise und RA Alexander Bartsch - *

Betreiber sog. „Kritischer Infrastrukturen“, darunter insbesondere auch aus der Energiewirtschaft, müssen nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und speziellen Regelungen im Energiewirtschaftsgesetz (EnWG) künftig einen Mindeststandard an IT-Sicherheit einhalten und IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Wer fällt genau darunter? Dazu hat die Bundesregierung am 13.04.2016 eine konkretisierende Rechtsverordnung beschlossen. Die gute Nachricht: Die Zahl der Anlagen, die betroffen sind, dürfte überschaubar sein. Die schlechte Nachricht: Es werden Widersprüchlichkeiten in den Regelungen erkennbar, Strom- und Gasnetzbetreiber sind stärker belastet als Unternehmen der anderen betroffenen Sektoren.

Vor dem geschilderten Hintergrund beleuchtet der vorliegende Aufsatz die gesetzlichen Änderungen, insbesondere des BSIG und des EnWG aus dem vergangenen Jahr (1.) und untersucht die Folgen für die Energiebranche (2.). Eingegangen wird sodann auf die Auswirkungen auf die Betreiber sonstiger Kritischer Infrastrukturen (3.) und auf die Festlegung Kritischer Infrastrukturen durch die BSI-KritisV (4.). Abschließend wird die Frage aufgeworfen, ob der IT-Sicherheitskatalog eine unverhältnismäßige Umsetzung der gesetzlichen Vorgaben für Strom- und Gasnetzbetreiber enthält (5.).

(…)

2. Folgen für die Energiebranche - Was müssen Betreiber von Energieversorgungsnetzen und Energieanlagen beachten?

a) Allgemeine Festlegungen im EnWG

Im EnWG ist vor allem § 11 zum Betrieb von Energieversorgungsnetzen durch das IT-Sicherheitsgesetz geändert und um zwei neue Absätze erweitert worden. Betreiber von Energieversorgungsnetzen sind danach insbesondere verpflichtet, die Vorgaben des von der Bundesnetzagentur (BNetzA) auf der Grundlage von § 11 Abs. 1a EnWG erstellten Sicherheitskatalogs umzusetzen. Mit der Gesetzesänderung wurden die Rechtspflichten insoweit verschärft, als der IT-Sicherheitskatalog nunmehr einen Mindeststandard darstellt, der verpflichtend von allen Strom- und Gasnetzbetreibern umzusetzen ist.1

Mit dem neu eingeführten § 11 Abs. 1b EnWG werden zusätzlich erstmals Betreiber von sonstigen Energieanlagen in die gesetzlichen Pflichten einbezogen. Hierzu wird die BNetzA zukünftig einen weiteren Sicherheitskatalog erstellen.

§ 11 Abs. 1c EnWG enthält eine neue Meldepflicht bei erheblichen Störungen, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen können oder bereits geführt haben.

b) Detailvorgaben im IT-Sicherheitskatalog der BNetzA

Kernforderung des von der BNetzA am 12.08.2015 auf ihrer Internetseite veröffentlichten IT-Sicherheitskatalogs2 ist die Einführung eines Informationssicherheitsmanagementsystems (ISMS) gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung durch eine unabhängige hierfür zugelassene Stelle.3 Da die Zertifizierung auch die Konformität des ISMS zu den Inhalten des IT-Sicherheitskatalogs belegen muss, hat die BNetzA kürzlich ein Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT- Sicherheitskatalog auf der Basis von ISO/IEC 27006 veröffentlicht. …