Nachweispflichten für Betreiber Kritischer Infrastrukturen wurden im Zuge des IT-Sicherheitsgesetzes im Wesentlichen im BSI-Gesetz aufgenommen. Für Energieversorgungsnetze (Strom und Gas) sowie andere Betreiber Kritischer Infrastrukturen im Sektor Energie gelten jedoch hierbei einige Sonderregelungen aus dem Energiewirtschaftsgesetz. Ausführliche Informationen hierzu sind auch in der BDEW-Anwendungshilfe zur BSI-KritisV zu finden.
Nachweiserbringung für alle Betreiber von Strom- und Gasversorgungsnetzen
Die Nachweispflicht gemäß IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG gilt für sämtliche Netzbetreiber (Strom und Gas), unabhängig von der Größe. Die Nachweisfrist endete im Januar 2018, die Nachweiserbringung erfolgt gegenüber der BNetzA mit einem eigens geschaffenen Zertifizierungsschema. Weitere Informationen finden Sie auf der Webseite der BNetzA.
Nachweiserbringung, Grafik: BDEW
Nachweiserbringung gemäß § 11 Abs. 1b EnWG für alle Betreiber von Energieanlagen gemäß BSI-KritisV
Energieanlagen sind gemäß EnWG definiert als Anlagen zur Erzeugung, Speicherung und Fortleitung von Strom und Gas. Sofern die Schwellenwerte der BSI-KritisV überschritten werden, sind die Betreiber zur Umsetzung des IT-Sicherheitskatalogs für Energieanlagen nach § 11 Abs. 1b EnWG verpflichtet. Dies betrifft somit insbesondere Stromerzeugungsanlagen und Gasspeicher.
Die Nachweiserbringung für Betreiber von Energieanlagen erfolgt gegenüber der BNetzA. Ein Entwurf des umzusetzenden IT-Sicherheitskatalogs für Energieanlagen nach § 11 Abs. 1b EnWG befindet sich derzeit noch im Konsultationsverfahren, der BDEW hatte sich mit einer Stellungnahme daran beteiligt. Die Veröffentlichung des finalen Katalogs steht noch aus, der BDEW wird seine Mitgliedsunternehmen bei Neuentwicklungen informieren.
Nachweiserbringung für Betreiber von sonstigen Anlagen gemäß BSI-KritisV
Andere Anlagen, die von der BSI-KritisV betroffen sind, aber nicht unter die vorgenannten Regelungen nach Energiewirtschaftsgesetz fallen, müssen Nachweise nach § 8a Abs. 3 BSI-G erbringen. Dies betrifft im Sektor Energie z.B. die Bereiche Fernwärme, Direktvermarktung/Virtuelle Kraftwerke (Anlagen zur Steuerung/Bündelung elektrischer Leistung).
Auch die Sektoren Wasser/Abwasser, Transport und Verkehr fallen unter das BSI-Gesetz. Die Nachweiserbringung erfolgt hier gegenüber dem BSI unter Verwendung von Nachweisdokumenten und Einreichungsformularen, die auf der BSI-Webseite zu finden sind.
Grundsätzlich können unter bestimmten Voraussetzungen auch Zertifikate nach ISO/IEC 2700x und Zertifikate nach den Vorgaben des Sicherheitskataloges der BNetzA nach § 11 Abs. 1a EnWG mit verwendet werden. Allerdings muss hier beachtet werden, dass die alleinige Vorlage solcher Zertifikate nicht als ausreichendes Nachweisdokument dienen kann.
Zusätzliche Hinweise, wie Nachweise für die Einrichtung eines ISMS nach ISO/IEC 27001 bzw. Nachweise der Umsetzung des IT-Sicherheitskatalogs der BNetzA sin dunter § 11 Abs. 1a EnWG für den Nachweis nach § 8a Abs. 3 BSIG zu finden.
Zusätzlich zu Ihren Ansprechpartnern in der BDEW-Geschäftsstelle steht bei diesbezüglichen Rückfragen auch das KRITIS-Büro des Bundesamts für Sicherheit in der Informationstechnik zur Verfügung:
Bundesamt für Sicherheit in der Informationstechnik, KRITIS-Büro, Telefon: +49 (0)228 99 9582 6166, Telefax: +49 (0)228 99 10 9582 6166, E-Mail:Kritische.Infrastrukturen@bsi.bund.de
