Wissensdatenbank Wirtschaftsrecht

aktuelles Dokument:
EnergieRITSecurityVorgaben
image5
image4
image3
image2
image1
 Alle Kategorien:
  Forschungsdatenbank
  Lehrveranstaltungen
  Lexikon
  Literatur
  Rechtsgebiete
  Rechtsprechung
  Service
  Studium F H S
  Wissensmanagement
ich war hier: EnergieRITSecurityVorgaben

Rechtliche Vorgaben für IT-Sicherheit in der Energiewirtschaft

Vorschriften und Pflichten der EVU


Der Gesetzgeber hat die Bedeutung der Informationstechnologien und ihrer Sicherheit auch in der Energiewirtschaft mittlerweile erkannt und rechtliche Grundlagen geschaffen, die Gefahren vorbeugen und bei Beseitigung von eventuellen Problemen helfen sollen. Zentrale Bedeutung hat dabei § 11 EnWG, in dem die Pflichten von Netzbetreibern geregelt sind. Das insbesondere aus dieser Vorschrift folgende Schutzsystem wird nachstehend im Detail behandelt.

A. Pflichten des Netzbetreibers im Hinblick auf die IT
Gem. § 11 Abs. 1a EnWG müssen Netzbetreiber insbesondere auch Schutz gegen Bedrohungen für die IT wie folgt gewährleisten:

§ 11 Abs. 1a EnWG
(1a) 1 Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. 2 Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. 3 Der Katalog der Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. 4 Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes liegt vor, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. 5 Die Einhaltung kann von der Regulierungsbehörde überprüft werden. 6 Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 4 treffen.

1. Pflicht selbst
Der Gesetzgeber sieht mit der Vorschrift vor, dass auch IKT-Systeme in die Systemverantwortung des Netzbetreibers aufzunehmen sind. Allgemein muss der Netzbetreiber den Netzbetrieb auch gegen Gefahren absichern, die sich in jeder Hinsicht aus dem Einsatz von IKT ergeben.

2. Katalog der Sicherheitsanforderungen der BNetzA
Die BNetzA hat (zuletzt) im August 2015 das IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG veröffentlicht [1]. Das Katalog ist im Benehmen mit dem BSI entstanden. Im Allgemeinen bezieht sich das Katalog auf die Notwendigkeit, dass Netzbetreiber Systeme entsprechend DIN ISO/IEC 27001 einführen.
Im Einzelnen heißt dies insbesondere:

a. Informationssicherheits-Managementsystem
Gem. Punkt E. I. des Katalogs werden Netzbetreiber verpflichtet, ein umfassendes Informationssicherheits-Managementsystem einzuführen und zu pflegen (ISMS). Das System hat sich an der Norm DIN ISO/IEC 27001 zu orientieren. Das System hat ferner dem sog. Plan-Do-Check-Act-Modell zu folgen, d. h. als ein Prozess zu implementieren, bei dem regelmäßig die Leitlinien des ISMS festgelegt, anschließend durchgeführt, überprüft und verbessert werden [mehr dazu vgl. S. 9 des Katalogs].

b. Konkrete Maßnahmen
Im Hinblick auf die im Rahmen des ISMS umzusetzenden Maßnahmen verweist das Katalog ebenfalls auf die DIN ISO/IEC 27001, wobei stets ein Bezug zum Netzbetrieb herzustellen sei.

c. Sicherstellung der ordnungsgemäßen Betriebes von IKT-Systemen
Als zentrale Pflicht für den Netzbetreiber verlangt das Katalog vom Netzbetreiber, dass dieser den ordnungsgemäßen Betrieb der IKT-Systeme sicherstellen muss. DIes umfasst auch Erkennung und Behebung von technischen Störungen und Bewertung von Risiken durch IKT-basierte Angriffe und entsprechende Schutzmaßnahmen diesbezüglich.

d. Netzstrukturplan mit ITK-Bezügen
Netzbetreiber muß gem. Punkt E. IV. des Katalogs Überblick darüber bewahren, an welchen Stellen des gesamten Netzes und bei seinem Betrieb technische Anwendungen, Systeme und Komponenten eingesetzt werden und wie sich diese auf den Netzbetrieb auswirken können.

e. Risikoeinschätzung
Wesentliche Forderung gegenüber dem Netzbetreiber ist die Implementierung von Prozessen zur Risikoeinschätzung durch den Netzbetreiber. Dies folgt aus Punkt E. V. des Katalogs.
An diese knüpft die Durchführung von Maßnahmen zur Behandlung der ermittelten Risiken (Punkt E. VI. - Risikobehandlung).

f. Ansprechpartner IT-Sicherheit
Das Katalog nennt zwar keine Vorgabe, eine konkrete Stelle im Unternehmen zu institutionalisieren, die Verantwortung für die IT-Sicherheit trägt. Es wird aber zumindest ein Ansprechpartner für die BNetzA gefordert (E. VII.). Die Funktion dieser Stelle bzw. Person lässt vermuten, dass diese jedenfalls dahingehend koordinierend tätig ist, als sie über alle Informationen zu Funktionsweise der IKT-Systeme verfügen muss.

g. Zertifizierung
Die Umsetzung des ISMS ist durch eine von der BNetzA akzeptierte Stelle zu zertifizieren (F. I.).


B. Betreiber von anderen (als Netze) Energieanlagen
Analog zu den Pflichten für Netzbetreiber (gem. Abs. 1a) gelten solche auch für Betreiber von (durch den Gesetzgeber als sensibel eingestuften) übrigen Energieanlagen gem. Abs. 1b in § 11 EnWG.

§ 11 Abs. 1b EnWG
(1b) 1 Betreiber von Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 8 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, haben innerhalb einer von der Regulierungsbehörde festzulegenden Frist einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. 2 Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen, in den auch die Bestimmung der Frist nach Satz 1 aufzunehmen ist, und veröffentlicht diesen. 3 Für Telekommunikations- und elektronische Datenverarbeitungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes haben Vorgaben auf Grund des Atomgesetzes Vorrang. 4 Die für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder sind bei der Erarbeitung des Katalogs von Sicherheitsanforderungen zu beteiligen. 5 Der Katalog von Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. 6 Ein angemessener Schutz des Betriebs von Energieanlagen im Sinne von Satz 1 liegt vor, wenn dieser Katalog eingehalten und dies vom Betreiber dokumentiert worden ist. 7 Die Einhaltung kann von der Bundesnetzagentur überprüft werden. 8 Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 6 treffen.


DIe BNetzA hat auch zur Umsetzung des § 11 Abs. 1b EnWG entsprechendes Katalog [2] veröffentlicht, in dem ähnlich zu § 11 Abs. 1a EnWG Pflichten für Anlagenbetreiber statuiert werden.



[1] Nachstehend "das Katalog" genannt; zu finden auf der Seite der BNetzA unter folgender Adresse. Vgl. dazu auch folgende Seite der Bundesnetzagentur.
[2] Vgl. folgende Seite der BNetzA.
Diese Seite wurde noch nicht kommentiert.
Valid XHTML   |   Valid CSS:   |   Powered by WikkaWiki