Im Auftrag der Europäischen Kommission haben die Experten der Übertragungs- und Verteilnetzbetreiber den ersten Zwischenbericht zu einem europaweit harmonisierten Regelwerk zur Cybersicherheit für Energienetze vorgelegt. Der Zeitplan für die Erarbeitung des neuen Netzkodex ist ambitioniert: Bis Ende 2020 soll ein bereits konsultierter Entwurf des Netzkodex fertiggestellt werden. Eine erste Konsultation ist kürzlich angelaufen. Deutsche Experten sind direkt beteiligt, der BDEW begleitet das Projekt eng und wird auch den vorliegenden Zwischenbericht kommentieren. Der Netzkodex soll für Übertragungs- und Verteilnetzbetreiber unionsweit verpflichtend sein. Die Anwendung auf weitere Betreiber wesentlicher Dienste (gemäß EU-NIS-Richtlinie 2016/1148) wird derzeit erwogen.
Die neue Strombinnenmarkt-Verordnung 2019 (BMVO)
Die Verordnung sieht unter anderem vor, dass einheitliche europäische Regelungen zum Schutz gegen digitale Bedrohungen erlassen werden. Zu diesem Zweck arbeiten seit Anfang Februar 2020 auf Einladung der Europäischen Kommission zwölf Expertinnen und Experten von Verteilnetzbetreibern (VNB) und Übertragungsnetzbetreibern (ÜNB) aus ganz Europa an einem Entwurf des neuen Netzkodex für Cybersicherheit.
Netzkodex zu Cybersicherheit: Ambitionierter Zeitplan
Aus Sorge vor digitalen Bedrohungen gibt die Europäische Kommission bei diesem Thema ein hohes Tempo vor: Bereits bis Ende 2020 sollen die Expertinnen und Experten einen finalen Entwurf vorlegen. Im Vorfeld sollen die Meinungen der Branche durch zwei Konsultationen eingeholt und angemessen berücksichtigt werden. Nach Prüfung des Ende 2020 vorgelegten Texts durch die Agentur für die Zusammenarbeit der Energieregulierungsbehörden (ACER) und die Europäische Kommission soll der Network Code in 2021 verabschiedet werden.
Zwischenbericht mit ersten inhaltlichen Empfehlungen
Bereits Ende April hat das Editorenteam einen ersten Entwurf vorgelegt. Diesen hat die Generaldirektion Energie der Europäischen Kommission am 7. Juli 2020 zur öffentlichen Konsultation gestellt, mit der Möglichkeit zur Kommentierung bis Mitte August 2020.
Der Entwurf empfiehlt:
• die Einführung einer Zertifizierungspflicht nach ISO 27001 für alle Netzbetreiber in der EU, um die Einhaltung von Mindestanforderungen an die informationstechnischen Systeme unionsweit sicherzustellen.
• die Formulierung gemeinsamer funktioneller Sicherheitsanforderungen an den Datenaustausch. Dazu wird ein dreistufiges Klassifizierungssystem der Kritikalität von Daten hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit vorgeschlagen, aus dem entsprechende Sicherheitsanforderungen abgeleitet werden.
• die Einrichtung von Arbeitsgruppen aus Vertretern von ENTSO-E und EU DSO Entity zur Durchführung von detaillierten grenzüberschreitenden Risikoanalysen, um der zunehmenden Vernetzung des Verbundsystems Rechnung zu tragen.
• die Etablierung eines gemeinsamen Produkttestsystems, das Systeme und Komponenten von Betreibern Kritischer Infrastrukturen unabhängig und nach einheitlichen Standards prüft. Die Ergebnisse der Tests sollen mit anderen Betreibern geteilt werden, um so Test- und Beschaffungskosten zu senken. Hierbei gilt es, einen pragmatischen Ansatz zu wählen, der nicht auf eine verpflichtende Zertifizierung von Systemen und Komponenten hinausläuft. Denn eine solche Zertifizierungspflicht im energiewirtschaftlichen Umfeld wäre eine hochsensible Angelegenheit, die Auswirkungen wären in dem vorherrschenden, komplexen Einsatzumfeld vielfältig und nur schwer endgültig zu bemessen.
• das Teilen anonymisierter, technischer Informationen, insbesondere zu Cybersicherheitsvorfällen, unter den europäischen Energieakteuren. Dazu könnte ein „Electricity Sector European CERT“ (Computer Emergency Response Team) ins Leben gerufen werden.
• die Formulierung von Mindestsicherheitsanforderungen für Legacy Systeme. Um einen angemessenen Grad an Sicherheit für Legacy Systeme zu erreichen, sollen Risikoanalysen und alternative Sicherheitsmaßnahmen vorgenommen werden.
Bewertung des BDEW
Der Zwischenbericht kann nach einer Ersteinschätzung der BDEW-Geschäftsstelle überwiegend positiv bewertet werden. Die fachliche Prüfung durch die zuständigen Gremien steht allerdings noch aus.
Bezüglich der Einführung und Zertifizierung eines Informationssicherheitsmanagementsystems nach ISO/IEC 27001 sind sämtliche deutsche Netzbetreiber im europäischen Vergleich bereits seit 2015 regulatorisch verpflichtet im Rahmen der Umsetzung des IT-Sicherheitskatalogs nach § 11 Absatz 1a EnWG der Bundesnetzagentur. Ausführliche Informationen hierzu sind auch in der BDEW-Anwendungshilfe zu finden.
Aktive Mitarbeit der deutschen Energiewirtschaft im Editorenteam
Erfreulich aus Sicht der deutschen Energiewirtschaft ist, dass zwei deutsche VNB-Vertreterinnen und Vertreter in das Editorenteam berufen wurden. Diese sind zum einen über ein Spiegelgremium auf europäischer Ebene mit weiteren Experten der VNB vernetzt. Zum anderen besteht eine enge Anbindung an den BDEW. Die PG „IT-Sicherheit in der Energie- und Wasserwirtschaft“ begleitet die Arbeiten fachlich.
Aufgrund dieser engen Verzahnung sieht der BDEW gute Chancen, dass die Regelungen des neuen Network Code zur Cybersicherheit so ausgestaltet werden können, dass sie mit bestehenden deutschen Regelungen in Einklang stehen und der Anpassungsbedarf so gering wie möglich gehalten werden kann.
Cybersicherheit auch beim BDEW stark in der Diskussion
Der Schutz der informationstechnischen Systeme vor Cyberangriffen ist für die Energiewirtschaft eine Daueraufgabe von höchster Priorität. Der BDEW hat sich dem Thema in den vergangenen Jahren bereits durch vielfältige Aktivitäten gewidmet, unter anderem durch die erfolgreiche Erarbeitung der Branchensicherheitsstandards für Fernwärmenetze sowie virtuelle Kraftwerke, die Veröffentlichung des international anerkannten Best-Practice Papiers „BDEW/OE Whitepaper Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ sowie die jüngst veröffentlichte Empfehlung zu sicheren Fernwartungszugängen. Der BDEW wird die Ausarbeitung des Netzkodex in den nächsten Monaten eng begleiten, um die Interessen der deutschen Energiewirtschaft auf EU-Ebene zu vertreten.
Hintergrund: Verfahren zur Erarbeitung von Netzkodizes und Leitlinien
Laut Artikel 58 ff. BMVO kann die Europäische Kommission sogenannte Netzkodizes oder Leitlinien zu verschiedenen Themen des Stromnetzbetriebs, der Netzsicherheit, des Netzanschlusses, des Netzzugangs, des Stromhandels und weiterer Bereiche erlassen. In der Vergangenheit stützte sich die Europäische Kommission dabei auf umfangreiche Vorarbeiten der Netzbetreiber und beauftragte die europäische Vereinigung der ÜNB, ENTSO-E, mit der Erarbeitung von Netzkodizes im Strombereich. Nach Konsultationen der Branche und Prüfung durch die Regulierungsbehörde ACER wurden die Regelwerke als Europäische Verordnungen verabschiedet und in Kraft gesetzt. Künftig sollen europäische Netzkodizes und Leitlinien nicht nur durch ENTSO-E, sondern – bei Betroffenheit der VNB – auch durch die neue EU DSO Entity erarbeitet werden.
Die EU DSO Entity befindet sich momentan noch in der Gründungsphase, der operative Start wird für Anfang 2021 erwartet. In Kürze werden die VNB die Möglichkeit erhalten, sich als Mitglied der Entity zu registrieren. Der BDEW wird hierüber informieren. Die Arbeiten an einem Netzkodex zu Cybersicherheit können laut Europäischer Kommission allerdings nicht bis zum Start der EU DSO Entity warten. Daher wurde der genannte informelle Prozess gewählt.