• Zusammenfassung der deutschen Tagesmeldungen vom 21. Februar
  • Strom: Negative Preise
  • Gas: bleibt billig
  • SPD überrascht mit Kohleausstiegs-Plan
  • Mit Flexibilität gegen Netzengpässe
  • Blockchain bringt Energielösung besonderen Nutzen
  • Studie zur Verkehrswende sieht wichtige Rolle für Stadtwerke
  • Eon errichtet Europas größte PV-Dachanlage
  • Uniper gibt Braunkohleverstromung in Europa auf
  • Tecklenburger Land baut Lorawan-Netz
Enerige & Management > Recht - Neues IT-Sicherheitsgesetz nur der erste Schritt
Bild: Fotolia.com, H-J Paulsen
RECHT:
Neues IT-Sicherheitsgesetz nur der erste Schritt
Das IT-Sicherheitsgesetz ist verabschiedet. Vieles wird aber erst mit entsprechenden Rechtsverordnungen Klarheit für Unternehmen der Energiewirtschaft bringen.
 
Für Bundesinnenminister Thomas de Maizière (CDU) ist das neue IT-Sicherheitsgesetz (IT-SiG), das der Bundestag am 12. Juni in 2. und 3. Lesung beschlossen hat, ein „zentraler Baustein für innere Sicherheit“. Das Ziel ist, dass sich Unternehmen besser gegen Angriffe aus dem Netz schützen. Sie müssen daher innerhalb von zwei Jahren - nach Inkrafttreten einer Rechtsverordnung zur Definition kritischer Infrastrukturen gem. § 10, Abs. 1 BSI-Gesetz - gewisse Mindeststandards erfüllen. Zudem müssen Angriffe auf das Netzwerk künftig sofort dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet und eine Kommunikationsschnittstelle geschaffen werden. Kommen Firmen dieser Pflicht nicht nach, drohen Bußgelder bis zu 100 000 Euro.

Das IT-Sicherheitsgesetz ist ein Mantelgesetz, das mit einer Reihe von Änderungen in Einzelgesetzen und neuen Rechtsverordnungen in den kommenden Monaten konkretisiert werden muss. Betreiber von Energienetzen und -anlagen unterliegen nicht direkt dem neuen Gesetz, um Doppelregulierungen ausschließen zu können. Sie müssen stattdessen § 11 des Energiewirtschaftsgesetzes beachten, das an das IT-SiG angepasst wurde. Die Anforderungen des Energiewirtschaftsgesetzes gelten für alle Strom- und Gasnetzbetreiber. Energieanlagen fallen hingegen nur darunter, wenn sie als kritische Infrastruktur eingestuft werden. Parallel muss sich die Energiewirtschaft mit den IT-Sicherheitskatalogen der Bundesnetzagentur (BNetzA) auseinandersetzen.

Unklar ist aufgrund des komplexen Gesetzgebungsverfahrens zum Beispiel noch, wie viele Betreiber konkret unter das neue IT-Sicherheitsgesetz fallen beziehungsweise als Unternehmen der kritischen Infrastruktur gelten werden. Nach Auskunft des Bundesverbands der Energie- und Wasserwirtschaft (BDEW) sowie dem Verband kommunaler Unternehmen (VKU) plant das Bundesinnenministerium bis Ende 2015, die dafür notwendige "Verordnung für kritische Infrastrukturen" zu schaffen.

Die ebenfalls neu hinzugekommene Regelung, dass das BSI Mindeststandards für Bundesbehörden erarbeiten soll, ist aus Sicht des BDEW aber wichtig. Auch die jetzt umgesetzte, explizite Einbindung von Herstellern und Dienstleistern bei der Aufklärung von IT-Sicherheitsvorfällen hatte der BDEW gefordert. Der Verband kommunaler Unternehmen sieht das ähnlich: Es sei sinnvoll, dass nun auch die Hersteller informationstechnischer Systeme stärker in die Pflicht genommen werden. Dadurch erhalten die kommunalen Unternehmen, die kritische Infrastrukturen betreiben, eine größere Rechtssicherheit.

IT-SiG ist richtiger Ansatz für mehr Sicherheit

Prinzipiell sei das neue IT-SiG der richtige Ansatz, meint Rechtsanwalt Hans-Christoph Thomale von der Kanzlei FPS mit dem Arbeitsschwerpunkt Energierecht. „Aufgrund der Mitteilungs- und Nachweispflichten durch Sicherheitsaudits, Prüfungen und Zertifizierungen wird bestimmt einiges sicherer werden.“ Außerdem habe die Diskussion im Vorfeld dazu geführt, dass sich Unternehmen nun mehr Gedanken über ihre Sicherheit machen, fügt Hauke Hansen, ebenfalls Rechtsanwalt bei FPS (IT-Recht) hinzu. Auch die beiden Verbände VKU und BDEW begrüßen es, dass der Gesetzgeber bundesweit einheitliche Regelungen schafft.

Als zeitkritisch könnten sich nach Ansicht von Thomale allerdings die Umsetzungsfristen erweisen. Für Betreiber von Energieanlagen gilt grundsätzlich eine Frist von zwei Jahren, um einen noch zu erstellenden Sicherheitskatalog umzusetzen. Die Fristen für Energienetzbetreiber sind noch nicht klar; in der Entwurfsfassung des IT-Sicherheitskataloges der Bundesnetzagentur von Dezember 2013 ist bislang eine Umsetzungsfrist der Anforderungen durch die betroffenen Netzbetreiber von einem Jahr nach Veröffentlichung des Katalogs vorgesehen. „Selbst eine Frist von zwei Jahren könnte sich“, so Thomale, „als große Herausforderung erweisen, da mit der Einführung organisatorischer und technischer Vorkehrungen zur IT-Sicherheit ein enormer Anpassungsbedarf verbunden ist, der mit dem Regelbetrieb in Einklang gebracht werden muss.“

Parallel zum IT-Sicherheitsgesetz müssen Firmen der Energiewirtschaft den IT-Sicherheitskatalog der BNetzA beachten, der sich jedoch noch in der Entwurfsfassung befindet. Ursprünglich war die Veröffentlichung des IT-Sicherheitskatalogs bereits im Jahr 2014 geplant. Aufgrund der ebenfalls im Jahr 2014 begonnenen Ressortabstimmung über das IT-Sicherheitsgesetz hat sich die Bundesnetzagentur nach eigenen Angaben dazu entschlossen, mit einer Veröffentlichung zu warten, bis das IT-Sicherheitsgesetz in Kraft getreten ist, da das Gesetzgebungsverfahren auch die Rechtsgrundlage für den IT-Sicherheitskatalog in § 11 Abs. 1a EnWG betrifft.

Absolut schwierig sei die Situation für große Stadtwerke, welche oftmals Wasser, Verkehr, Energie und IT unter einem Dach haben, gibt der BDEW zu bedenken. Erst die Rechtsverordnung zur Bestimmung kritischer Infrastrukturen werde Klarheit schaffen, welche Unternehmensbereiche von den Meldepflichten und Sicherheitsanforderungen betroffen seien. Auch für die Betreiber von Energieanlagen sei die Situation unklar. So könne die Regelung Betreiber konventioneller Kraftwerke einbeziehen, aber auch Erneuerbare-Energien-Anlagen oder Betreiber von virtuellen Kraftwerken.

Am 10. Juli steht das IT-Sicherheitsgesetz auf der Tagesordnung des Bundesrates, womit es nach Einschätzung der BNetzA kurzfristig in Kraft treten kann. Wenn dies der Fall ist, wird auch die Bundesnetzagentur ihren IT-Sicherheitskatalog für die Energienetzbetreiber veröffentlichen, erklärte die Behörde auf Nachfrage von E&M Powernews. Der Katalog für die Energieanlagen folgt wahrscheinlich im nächsten Jahr. Der BDEW sieht aber noch einen erheblichen Anpassungsbedarf am bekannten Entwurf, um die Regelung des IT-SiG adäquat zu berücksichtigen. Auch Rechtsanwalt Thomale ist der Ansicht, dass sich die juristischen Schnittstellen noch einmal bewusst angesehen werden müssen.

Kosten sind noch nicht abzuschätzen

Eine weitere wesentliche Neuerung im IT-SiG ist zudem die künftige Meldepflicht an das BSI. Ziel für die Behörde sei es, aus den Angriffen zu lernen, so Hansen. Das könne sie aber nur, wenn darüber informiert werde. „Gemeldet werden müssen künftig auf jeden Fall Vorfälle, die zu Ausfällen hätten führen können oder geführt haben.“ Gegen das Erfordernis einer namentlichen Nennung bei einer Meldung hat sich die Industrie allerdings gewehrt. Mit Erfolg. „Um die datenschutzrechtlichen Bedenken der Unternehmen zu berücksichtigen, sind die Meldungen auch anonym möglich, solange es noch nicht zu erheblichen Störung bei der kritischen Infrastruktur gekommen ist.“ Auch die anderen Unternehmen sollen künftig von den Meldungen der Betreiber und der Auswertung dieser Meldungen durch das BSI profitieren.

Letztendlich sind aber weder der Erfolg noch die Kosten bereits in Gänze abschätzbar. Thomale weist darauf hin, dass sich die Netzbetreiber zeitnah mit der Umsetzung und den damit verbundenen Kosten auseinandersetzen müssen, da bei Strom (2016) und Gas (2015) die Basisjahre für die Kostenprüfung der Netzentgelte im Rahmen der Anreizregulierung anstehen. Für den VKU müssen Kosten und Nutzen abgewogen werden - nicht jedes Kraftwerk sei für die Versorgungssicherheit gleichermaßen wichtig. Das IT-Sicherheitsgesetz soll nach vier Jahren evaluiert werden.

Um sich auf das IT-SiG und die damit verbundenen Anforderungen vorzubereiten, rät zum Beispiel der VKU zu folgenden Maßnahmen:
 
  • Überblick: Generell sollten sich Unternehmen einen Überblick über ihre IT-Systeme und die Schnittstellen zu fremden Systemen verschaffen. Besonders Netzbetreiber sollten die Ergebnisse in einem Netzstrukturplan verzeichnen, der nach derzeitigem Stand verpflichtend eingeführt werden muss.
     
  • Sicherheitsbeauftragter: Firmen sollten einen Informations-Sicherheitsbeauftragten ernennen, der als Ansprechpartner für Sicherheitsfragen zur Verfügung steht.
     
  • ISMS: Besonders für Netzbetreiber ist zu empfehlen, sich grundlegend mit einem Information Security Management System (ISMS) auseinanderzusetzen. Für Netzbetreiber wird dies nach derzeitigem Stand verpflichtend eingeführt. Nähere Informationen dazu erarbeitet der VKU in einem Leitfaden zum IT-Sicherheitskatalog, der noch im Sommer veröffentlicht werden soll.
 

Heidi Roider
Redakteurin und Chefin vom Dienst
+49 (0) 8152 9311 28
eMail
facebook
© 2020 Energie & Management GmbH
Freitag, 26.06.2015, 14:38 Uhr

Mehr zum Thema