Das IT-Sicherheitsgesetz

Gemäß §§ 1 und 2 des Erneuerbare-Energien-Gesetzes 2014 („EEG 2014“) ist Zweck des EEG 2014, insbesondere im Interesse des Klima- und Umweltschutzes eine nachhaltige Entwicklung der Energieversorgung zu ermöglichen und dabei gleichzeitig die volkswirtschaftlichen Kosten der Energieversorgung zu verringern. Hierfür hat das Bundesministerium für Wirtschaft und Energie („BMWi“) unter anderem ein Regelungspaket erstellt, das für eine höchstmögliche Effizienz von Energieerzeugung und Energienutzung die digitale Vernetzung von Stromerzeugungsanlagen und Stromnetzen durch sogenannte intelligente Messsysteme ermöglichen soll. Durch diese sollen insbesondere Netzbetreibern und Erzeugern notwendige Verbrauchsinformationen und Netznutzungsdaten bereitgestellt und sichere und zuverlässige dafür notwendigen gesetzlichen Rahmenbedingungen hat das BMWi am 21. September 2015 einen Referentenentwurf für ein „Gesetz zur Digitalisierung der Energiewende“ vorgelegt.

1. Anwendungsbereich

Gemäß § 11 Abs. 1a des Energiewirtschaftsgesetzes („EnWG“) sind bereits seit längerem alle Strom- und Gasnetzbetreiber verpflichtet, die Sicherheit ihrer Netze zu gewährleisten. Durch das am 12. Juni 2015 vom Bundestag verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-Sicherheitsgesetz“) wurde diese im EnWG verankerte Pflicht für Energienetzbetreiber nun auch auf Betreiber von solchen Energieanlagen ausgeweitet, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Abs. 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik („BSIG“) als „Kritische Infrastruktur“ bestimmt werden und an ein Energieversorgungsnetz angeschlossen sind. Die für Betreiber von Energieanlagen äußerst relevante Rechtsverordnung zu § 10 BSIG, mit der festgelegt wird, welche Energieerzeugungsanlagen „Kritische Infrastrukturen“ sind, wird voraussichtlich Ende 2015 vorgelegt.

von Energieanlagen im Sinne des § 10 BSIG haben nach den Vorgaben des § 11 EnWG angemessene Schutzmaßnahmen gegen Bedrohungen für die Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Anlagenbetrieb notwendig sind, zu gewährleisten. Sie müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik („BSI“) melden.

2. Die Umsetzung der Mindeststandards

Die nunmehr geforderten Mindestanforderungen an die IT-Sicherheit hat die Bundesnetzagentur gemeinsam mit dem BSI in dem „IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz“ („IT-Sicherheitskatalog“) konkretisiert. Sofern die Anforderungen dieses IT-Sicherheitskatalogs eingehalten und in einem Informations-, Sicherheits- und Managementsystem gemäß DIN ISO/IEC 27001 („ISMS“) dokumentiert werden, wird zugunsten der jeweiligen Betreiber vermutet, dass ein angemessener Schutz des Betriebs der Netze sowie der Energieanlagen oder anderer Kritischer Infrastrukturen im obigen Sinne eingehalten ist. Die Einführung des ISMS und damit die Umsetzung der Vorgaben des IT-Sicherheitskatalogs muss mittels ISMS-Zertifikat bei der Bundesnetzagentur bis zum 31. Januar 2018 nachgewiesen werden. Die Betreiber von Energienetzen müssen darüber hinaus bereits bis zum 30. November 2015 einen Ansprechpartner für IT-Sicherheit der Bundesnetzagentur über ein auf der Webseite der Bundesnetzagentur bereitgestelltes Formular benennen.

Im September dieses Jahres hat der Verband kommunaler Unternehmen e.V. (VKU) gemeinsam mit dem Bitkom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. einen „Praxisleitfaden IT-Sicherheitskatalog“ herausgegeben, mit dem diese eine Anwendungshilfe zur Implementierung des ISMS bereitstellen.

3. Fazit

Die Einführung eines erhöhten Schutzes der zentralen Versorgungssysteme insbesondere im Bereich der Energieversorgung ist vor dem Hintergrund einer immer weiter voranschreitenden Digitalisierung der Versorgungssysteme begrüßenswert. Zunächst bleibt für die Betreiber von Energieanlagen aber abzuwarten und zu prüfen, ob sie die in der Verordnung noch zu definierenden Schwellenwerte zur Einordnung als Kritische Infrastruktur überhaupt erreichen und damit die Anforderungen des IT-Sicherheitskatalogs der Bundesnetzagentur zu erfüllen haben.

Sofern dies der Fall ist, obliegt es den betroffenen Betreibern von Energienetzen sowie von Energieanlagen, die als Kritische Infrastrukturen einzustufen sind, zunächst zu analysieren, welche „zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind“, Auswirkungen auf die Informationssicherheit haben und wie wahrscheinlich damit zusammenhängende Risiken sind, um dann im Folgenden zu bestimmen, welche Maßnahmen getroffen werden müssen, um die IT-Sicherheit des ISMS zu erfüllen und das entsprechende Zertifikat beizubringen.

Bei Fragen zum Thema kontaktieren Sie bitte: Dr. Maximilian Emanuel Elspas Alexandra Mützelburg