RechtEck: Mehr Betreiber von Vorgaben betroffen

Die rechtlichen Vorgaben zur IT-Sicherheit sind komplex:

• Anforderungen an die Gewährleistung der IT-Sicherheit bei Kritischen Infrastrukturen (Kritis) und Unternehmen im besonderen öffentlichen Interesse enthält das BSI-Gesetz (BSIG). Ob ein Unternehmen Kritische Infrastrukturen betreibt, bestimmt sich aus diesem Gesetz in Verbindung mit der BSI-Kritisverordnung (BSI-KritisV).
• Daneben enthält das Energiewirtschaftsgesetz (EnWG) sektorspezifische Vorgaben für die Betreiber von Energieversorgungsnetzen sowie die Betreiber von sonstigen Energieanlagen, die Kritische Infrastrukturen im Sinne der gesetzlichen Vorgaben sind.
• Das Telekommunikationsgesetz (TKG) enthält sektorspezifische Vorgaben für die Betreiber von Telekommunikationsnetzen sowie die Anbieter von Telekommunikationsdiensten.

Durch das ITSiG 2.0 wurden unter anderem die gesetzlichen Anforderungen für Betreiber Kritischer Infrastrukturen grundsätzlich auch auf den Sektor der Siedlungsabfallentsorgung ausgedehnt. Gleichzeitig wurden durch das Gesetz die neue Kategorie des Unternehmens im besonderen öffentlichen Interesse eingeführt und Mindestanforderungen an die Gewährleistung der IT-Sicherheit dieser Unternehmen festgelegt. Neu ist auch die Pflicht zum Einsatz von Systemen zur Angriffserkennung sowohl für die Betreiber von Kritischen Infrastrukturen (gegebenenfalls auch Energieanlagen) als auch von Energieversorgungsnetzen (unabhängig davon, ob diese eine Kritische Infrastruktur im Sinne des Gesetzes sind oder nicht). Die Umsetzungsfrist für diese neu hinzugetretene Pflicht beträgt 24 Monate.

Im August 2021 ist mit Verzögerung zudem die Zweite Änderungsverordnung der BSI-KritisV durch das Bundeskabinett verabschiedet worden. Die Änderungen traten zum Jahreswechsel in Kraft. Die Anpassungen sind materiell relevant, zum Beispiel soweit die Schwellenwerte für Betreiber von Energieanlagen und virtuellen Kraftwerken (Anlagen zur Bündelung/Steuerung elektrischer Leistung) neu geregelt werden. Hierdurch ist eine größere Zahl von Betreibern erstmalig von den Vorgaben für Kritische Infrastrukturen betroffen.

So sind zukünftig alle entsprechenden Anlagen als „kritisch“ im Sinne des Gesetzes einzustufen, wenn sie als Schwarzstartanlagen nach Paragraf 3 Absatz 2 des Beschlusses der Bundesnetzagentur vom 20. Mai 2020 (BK6-18-249) kontrahiert sind. Weiter gilt dies für Anlagen mit einer installierten Nettonennleistung ab 36 MW, wenn die Anlage zur Erbringung von Primärregelleistung nach Paragraf 2 Nummer 8 Stromnetzzugangsverordnung (StromNZV) präqualifiziert ist, sowie für Anlagen mit einer installierten Nettonennleistung (elektrisch oder direkt mit Wärmeauskopplung verbundene elektrische Wirkleistung bei Wärmenennleistung ohne Kondensationsanteil) ab 104 MW. Die betroffenen Betreiber müssen nun zusätzliche Maßnahmen zur Erfüllung der gesetzlichen Anforderungen ergreifen. Unter anderem müssen sie eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik (BSI) einrichten und die von ihnen betriebene Kritische Infrastruktur dort registrieren.

Die Frage, ob und ab wann bestimmte Energieanlagen als Kritische Infrastruktur einzustufen sind, bemisst sich nach der BSI-KritisV. Danach gilt eine Anlage, die einer der dort genannten Anlagenkategorien zuzuordnen ist, ab dem 1. April eines Kalenderjahres, das auf das Kalenderjahr folgt, in dem ihr Versorgungsgrad den für sie − ebenfalls in der BSI-KritisV − definierten Schwellenwert erstmals erreicht oder überschreitet, als Kritische Infrastruktur. In der seit dem 1. Januar 2022 geltenden Fassung der BSI-KritisV gilt eine solche Anlage zudem ab dem 1. April des Kalenderjahres, das auf das Kalenderjahr folgt, in dem ihr Versorgungsgrad den genannten Schwellenwert unterschreitet, nicht mehr als Kritische Infrastruktur. Der Betreiber hat den Versorgungsgrad seiner Anlage für das zurückliegende Kalenderjahr jeweils bis zum 31. März des Folgejahres zu ermitteln.

Relevante Energieanlagen, die zwar die neuen, seit dem 1. Januar 2022 geltenden Schwellenwerte seit dem Jahreswechsel überschreiten, aber die bis zum 31. Dezember 2021 geltenden Schwellenwerte bis dahin nicht erreichten, dürften erstmalig vom 1. April 2023 an als Kritische Infrastruktur gelten. Soweit die neuen Schwellenwerte auch bereits in den Vorjahren überschritten wurden, also etwa im Jahr 2021, könnte zwar auch eine Geltung als Kritische Infrastruktur bereits zum 1. April 2022 anzunehmen sein. Dies ist aber nicht überzeugend, da in diesen Fällen bis zum Ende des Jahres 2021 keine gesetzliche relevante Schwellenwertüberschreitung vorlag.

Ungeachtet dessen ist beim Betrieb von (Energie-)Anlagen im Sinne der BSI-KritisV in jedem Einzelfall eine gründliche Prüfung notwendig, ob die gesetzlich festgelegten Voraussetzungen vorliegen oder nicht. Gegebenenfalls sind rechtzeitig Maßnahmen zur Sicherstellung der gesetzlichen Anforderungen zur Gewährleistung des sicheren Betriebs zu ergreifen. Die Frist zur Umsetzung der neuen Anforderungen läuft.

* Jost Eder, Alexander Bartsch, Rechtsanwälte, Becker Büttner Held, Berlin