Ausnahmen vom IT-Sicherheitskatalog für Netzbetreiber: Es wird schwieriger
Am 19.1.2021 hat die Bundesnetzagentur (BNetzA) eine Mitteilung zur Zertifizierung nach dem IT-Sicherheitskatalog veröffentlicht, nach der die Nicht-Anwendbarkeit des IT-Sicherheitskatalogs für Netzbetreiber deutlich schwieriger wird. Unmittelbarer Handlungsbedarf bei den betroffenen Netzbetreibern ist die Folge.
Verschärfte Anforderungen an die IT-Sicherheit seit 2015
Der IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG für Netzbetreiber vom August 2015 (wir berichteten) hat die Anforderungen an die IT-Infrastruktur und Security-Prozesse für Netzbetreiber deutlich verschärft. Hierdurch sollte der Netzbetrieb gegen IT-Fehlfunktionen sowie gegen Angriffe Dritter abgesichert werden. Um dieses Ziel zu erreichen, verpflichtete die BNetzA sämtliche Netzbetreiber der Sparten Strom und Gas zu einem allgemeinen und vergleichbaren Sicherheitsstandard, dem Aufbau eines Informationssicherheits-Managementsystems (ISMS) gemäß dem von ihr veröffentlichten IT-Sicherheitskatalog und der internationalen Norm DIN ISO/IEC 27001. Seit Anfang 2018 muss eine offizielle Prüfgesellschaft jährlich bestätigen, dass diese Vorgaben eingehalten werden.
Bisherige Ausnahmen von der Anwendbarkeit des IT-Sicherheitskatalogs
Ausgenommen waren lediglich solche Netzbetreiber, die nachweislich keine IT-Systeme eingesetzt haben, um den Netzbetrieb per Fernüberwachung zu sichern oder steuernd einzugreifen. Diese Regelung ließ einen gewissen regulatorischen Interpretationsspielraum für Netzbetreiber, die sich für die Netzüberwachung oder -steuerung eines Betriebsführers bedienten. In diesen Fällen war es häufig möglich, auf die gültige Zertifizierung des Dienstleisters oder des Betriebsführers zu verweisen und so eine eigene Zertifizierungspflicht des Netzbetreibers abzuwenden.
Zukünftig Zertifizierungspflicht auch bei Betriebsführung durch Dritte
Mit der Mitteilung bezüglich der Zertifizierung nach dem IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG im Falle der Betriebsführung durch Dritte durch die BNetzA vom 19.1.2021 ist diese sog. Nicht-Anwendbarkeit des IT-Sicherheitskatalogs deutlich schwieriger geworden. In der aktuellen Mitteilung stellt die BNetzA fest, dass der Netzbetreiber in jedem Fall Maßnahmen treffen muss, solange er auch nur über ein System oder eine Komponente oder Anwendung verfügt, die vom IT-Sicherheitskatalog erfasst ist. Das heißt: In Zukunft müssen sich auch kleinere Netzbetreiber zertifizieren lassen, die ihr Strom- oder Gasnetz eigenverantwortlich betreiben und lediglich die Netzüberwachung von einem Dienstleister durchführen lassen. Zusätzlich sind vertragliche Regelungen mit dem Betriebsführer zu treffen, die dem Netzbetreiber vollständige Durchgriffsrechte garantieren.
Für den Betriebsführer ergeben sich ebenfalls Änderungen. Zum einen sind die vorhandenen vertraglichen Regelungen mit dem Netzbetreiber auf Konformität mit den neuen Vorgaben zu prüfen. Sollte der Netzbetreiber jedoch nicht zertifizierungsfähig sein, so hat der Betriebsführer die vollständige Nachweispflicht der Anforderungen aus dem IT-Sicherheitskatalog für den sicheren Netzbetrieb zu übernehmen.
Umsetzungsfrist und Handlungsbedarf
Die neuen Vorgaben sind bis zum 30.11.2022 umzusetzen. Bis Fristende ist der BNetzA ein gültiges Zertifikat gemäß IT-Sicherheitskatalog vorzulegen. Für betroffene Netzbetreiber, die bislang davon ausgegangen sind, dass sie den IT-Sicherheitskatalog nicht anwenden müssen, besteht damit unmittelbarer Handlungsbedarf: Zunächst müssen sie prüfen, ob sie von den neuen Vorgaben betroffen sind und dann gegebenenfalls weitere Maßnahmen ergreifen, um ein ISMS einzuführen und den Durchgriff auf den Betriebsführer sicherzustellen.
Ansprechpartner*innen: Dr. Andreas Lied/Stefan Brühl/Victor Stocker
Ansprechpartner*innen BBH: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding
