NIS2 und EnWG
IT-Sicherheitskataloge
Unternehmen im Sektor Energie, die bestimmte Anlagentypen betreiben, fallen generell unter die Regulierung durch das Energiewirtschaftsgesetz (EnWG). Dies betrifft Betreiber von Energieversorgungsnetzen und Energieanlagen die nach der BSI-Kritisverordnung als KRITIS bestimmt wurden.
Für diese Anlagen ist das BSIG (KRITIS) dann nicht einschlägig sondern das EnWG. Dieses fordert den Betrieb eines sicheren Energieversorungsnetzes (1a) und einen sicheren Anlagenbetrieb (1b) und die Umsetzung von BNetzA-Sicherheitskatalogen. Mit der NIS2-Umsetzung bleibt diese Mehrfach-Regulierung ab 2024 erhalten.
Mapping von ISO 27001:2022 und KRITIS
Abgleich von BSI KRITIS und Maßnahmen der ISO 27001:2022
PDF ∙
OpenKRITIS-Analyse von KRITIS-Standards ∙ 2023
Energie und Kritische Infrastrukturen
EnWG und KRITIS (bis 2024)
Ausnahmeregelungen
KRITIS-Betreiber, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind und den Regelungen von §11 unterliegen, müssen nach §8d (2) Nr. 2 BSIG keine KRITIS-Maßnahmen nach §8a BSIG umsetzen. Für diese KRITIS-Betreiber gilt das Energiewirtschaftsgesetz.
Energiewirtschaftsgesetz (EnWG)
Das Energiewirtschaftsgesetz EnWG regelt in §11 die Pflichten der Betreiber von Energieanlagen und Energieversorgungsnetzen. Die wichtigsten Regelungen sind:
- Betreiber von Energieversorgungsnetzen (Strom und Gas) müssen einen angemessenen Schutz ihrer IT-Systeme gewährleisten, die für einen sicheren Netzbetrieb notwendig sind. Dazu müssen sie den BNetzA IT-Sicherheitskatalog gemäß §11 Abs. 1a umsetzen. Der Katalog regelt neben Sicherheitsmaßnahmen auch das Vorgehen zur regelmäßigen Überprüfung.
- Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung Kritische Infrastruktur sind (d.h., als KRITIS die Schwellenwerte überschreiten) und an ein Energieversorgungsnetz angeschlossen sind, müssen einen angemessenen Schutz ihrer IT-Systeme für einen sicheren Anlagenbetrieb gewährleisten. Dazu müssen sie den BNetzA IT-Sicherheitskatalog gemäß §11 Abs. 1b umsetzen. Der Katalog regelt neben Sicherheitsmaßnahmen auch das Vorgehen zur regelmäßigen Überprüfung.
- Sicherheitsvorfälle mit Auswirkungen sowie Vorfälle mit potentiellen Auswirkungen auf den Betrieb des Energieversorgungsnetzes oder der betreffenden Energieanlage müssen dem BSI gemeldet werden §11 Abs. 1c. Das BSI leitet die Meldung an die BNetzA weiter.
- Betreiber müssen nach §11 Abs. 1d spätestens bis zum 1. April jeden Jahres die von ihnen betriebene Anlage beim BSI registrieren und einen Sicherheitsbeauftragen als Kontaktstelle benennen. Das BSI leitet die Registrierung und Kontaktdaten dann an die BNetzA weiter.
- Betreiber müssen Systeme zur Angriffserkennung nach §11 Abs. 1e einsetzen und den Einsatz nach §11 Abs. 1f regelmäßig gegenüber dem BSI nachgewiesen werden. Das BSI leitet die hierfür eingereichten Nachweisdokumente an die BNetzA weiter.
- Die BNetzA legt nach §11 Abs. 1g bis zum 22. Mai 2023 einen weiteren Katalog vor, der die kritischen Komponenten im Sinne des § 2 Abs. 13 S. 1 Nr. 3 a) BSIG sowie die kritischen Funktionen im Sinne des § 2 Abs. 13 S. 1 Nr. 3 b) BSIG definiert. Betreiber müssen die Vorgaben dieses Katalogs spätestens 6 Monate nach Inkrafttreten erfüllen. Der neue Katalog soll mit den bestehenden IT-Sicherheitskatalogen nach §11 Abs. 1a/1b verbunden werden.
EnWG und NIS2 (ab 2024)
Auch mit der NIS2-Umsetzung bleibt im Energiesektor Mehrfach-Regulierung erhalten. Betreiber bestimmter Energieanlagen werden nicht nur durch NIS2 und KRITIS reguliert, sondern fallen in einigen Teilen weiterhin unter das neue EnWG.
Das Energiewirtschaftsgesetz EnWG wird mit dem NIS2-Umsetzungsgesetz ab 2024 revidiert. Es regelt zukünftig in §5c IT-Sicherheit im Anlagen und Netzbetrieb die Pflichten der Betreiber von Energieanlagen und Energieversorgungsnetzen.
Ausnahmeregelungen
NIS2-Einrichtungen, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind und den Regelungen von §5c unterliegen, müssen nach §28 (4) BSIG-E (NIS2UmsuCG) keine NIS2-Maßnahmen nach §§31, 32, 35, 39 umsetzen oder prüfen.
Es gelten dann die Anforderungen aus §5c EnWG. Die Ausnahme gilt nur für IT-Systeme, Komponenten und Prozesse, die zur Erbringung der kritischen Versorgungsdienstleistung maßgeblich sind. Für das übrige Unternehmen gilt NIS2.
Energiewirtschaftsgesetz
Der Entwurf von §5c des neuen EnWG unterscheidet künftig zwischen drei Gruppen von Betreibern:
| Betreiber | Anlagen | Details |
|---|---|---|
| Energieversorgungsnetze | Strom- und Gasnetze | unabhängig ihrer Größe |
| Energieanlagen | Anlagen nach §2 EnWG, an Energieversorgungsnetz angeschlossen | wenn Betreiber besonders wichtige oder wichtige Einrichtung |
| Energie-KRITIS-Anlagen | kritische Anlagen nach KRITIS-Methodik |
Anlagentypen, die Schwellenwerte überschreiten |
Die wichtigsten Regelungen und Anforderungen aus dem neuen EnWG sind:
- §5c (1) Betreiber von Energieversorgungsnetzen müssen einen angemessenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten, die für einen sicheren Netzbetrieb notwendig sind. Dieser muss auch die Beschaffung von Anlagengütern und Dienstleistungen betreffen. Die BNetzA erstellt dazu einen Katalog mit Sicherheitsanforderungen, der durch die Betreiber einzuhalten ist.
Dieser Katalog wird den bestehenden IT-Sicherheitskatalog gemäß §11 Abs. 1a EnWG ersetzen und die in §§31, 32, 35 und 39 BSIG-E (NIS2UmsuCG) enthaltenen Anforderungen aufgreifen. - §5c (2) Betreiber von Energieanlagen, die nach NIS2 als besonders wichtige oder wichtige Einrichtung gelten und an ein Energieversorgungsnetz angeschlossen sind, müssen einen angemessenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. Die BNetzA erstellt dazu einen Katalog mit Sicherheitsanforderungen, der durch die Betreiber einzuhalten ist.
Dieser Katalog wird den bestehenden IT-Sicherheitskatalog gemäß §11 Abs. 1b EnWG ersetzen und die in §§31, 32, 35 und 39 BSIG-E (NIS2UmsuCG) enthaltenen Anforderungen aufgreifen. - §5c (3) Stand der Technik muss in beiden IT-Sicherheitskatalogen eingehalten werden. Maßnahmen aus den Katalogen müssen im Hinblick auf Risikoexposition, Eintrittswahrscheinlichkeit, Auswirkungen und Größe des Betreibers angemessen sein. Die IT-Sicherheitskataloge müssen mindestens die in §30 (2) BSIG-E (NIS2UmsuCG) genannten Themen umfassen, plus Systeme zur Angriffserkennung.
- §5c (4) Dokumentation und Mängelbeseitigung: Betreiber von Energieversorgungsnetzen oder Betreiber von Energie-KRITIS-Anlagen müssen der BNetzA die Dokumentation über die Einhaltung von Sicherheitsanforderungen übermitteln. Die BNetzA kann die Beseitigung von Mängeln anhand eines Mängelbeseitigungsplans verlangen und Fristen dafür festsetzen. Die BNetzA kann zudem Vor-Ort-Begehungen, Dokumenteneinsicht, Auskunft oder anderweitige Unterstützung von den Betreibern verlangen.
- §5c (5) Überprüfung: Bei Verdacht auf Nichteinhaltung von Maßnahmen kann die BNetzA auch von wichtigen Einrichtungen im Energie-Sektor, die keine KRITIS-Anlagen betreiben, Maßnahmen nach §5c (4) durchführen.
- §5c (6) Sicherheitsvorfälle müssen durch Betreiber von Energieversorgungsnetzen oder Betreiber von Energieanlagen an das BSI gemeldet werden. Der Umfang der Meldung entspricht den Vorgaben aus §32 BSIG-E (NIS2UmsuCG).
- §5c (7) Das BSI tauscht Informationen über Sicherheitsvorfälle mit Relevanz für die Energieversorgungssicherheit mit der BNetzA aus. Die BNetzA kann vom betroffenen Unternehmen die Herausgabe von Informationen einschließlich personenbezogenen Daten verlangen. Die BNetzA kann Betreiber von Übertragungs- und Fernleitungsnetzen einbeziehen.
- §5c (8) Betreiber von Energieversorgungsnetzen und Betreiber von Energieanlagen müssen sich
spätestens bis zum 01. April, erstmalig oder erneut
beim BSI registrieren. Das BSI übermittelt die Registrierungen und Kontaktdaten an die BNetzA Betreiber müssen über die beannte Kontaktstelle jederzeit erreichbar sein.
Diese Forderung ist eigentlich doppelt zu §33 BSIG-E (NIS2UmsuCG), der nicht von der Ausnahmeregelung für Energie-Betreiber umfasst wird. - §5c (9) Die BNetzA legt bis zum 22. Mai 2023 einen weiteren Katalog vor, der die kritischen Komponenten im Sinne des § 2 (1) Nr. 20 c) aa) BSIG-E (NIS2UmsuCG) sowie die kritisch bestimmten Funktionen im Sinne des § 2 (1) Nr. 20 c) aa) BSIG-E (NIS2UmsuCG) definiert. Betreiber müssen die Vorgaben dieses Katalogs spätestens 6 Monate nach Inkrafttreten erfüllen. Der neue Katalog soll mit den neuen IT-Sicherheitskatalogen nach §5c (1)(2) verbunden werden. Betreiber von Energieversorgungsnetzen und Betreiber von Energie-KRITIS-Anlagen müssen den Katalog spätestens 6 Monate nach Inkrafttreten erfüllen.
Diese Forderung ist bereits jetzt in §11 (1g) EnWG verankert. Zum genannten Datum wurde kein Katalog vorgelegt. Im Katalog könnte eine abweichende Umsetzungsfrist festgelegt werden. - §5c (10) Betreiber von Energieversorgungsnetzen und Betreiber von Energieanlagen, sofern sie per NIS2 als besonders wichtige Einrichtung gelten, müssen am Informationsaustausch teilnehmen, der in §28 (6) BSIG-E (NIS2UmsuCG) verankert ist.
- §5c (11) Die BNetzA berichtet jährlich über die übermittelten Meldungen über Sicherheitsvorfälle und deren Auswirkungen an das Wirtschaftsministerium.
Im bisherigen §11 EnWG werden die Absätze 1a bis 1g aufgehoben und §95 EnWG wird um Ordnungswidrigkeiten und Bußgelder für Verstöße gegen §5c EnWG erweitert.
Sicherheitskataloge BNetzA
Hintergrund der Kataloge
Die Bundesnetzagentur (BNetzA) hat für das EnWG zwei Kataloge mit Sicherheitsanforderungen und Regelungen zur regelmäßigen Überprüfung erstellt. Betreiber müssen die für sie relevanten Kataloge einhalten und die Umsetzung dokumentieren.
| Katalog | gültig | Betreiber |
|---|---|---|
| IT‑Sicherheitskatalog §11 Abs. 1a EnWG |
2015 | Betreiber von Energieversorgungsnetzen
|
| IT‑Sicherheitskatalog §11 Abs. 1b EnWG |
2018 | Betreiber von Energieanlagen nach KRITIS-Verordnung
|
| IT-Sicherheitskatalog neu | 2024? | Betreiber von Energieversorgungsnetzen
|
| IT-Sicherheitskatalog neu | 2024? | Betreiber von Energieanlagen
|
IT-Sicherheitskatalog §11 Abs. 1a
Der IT-Sicherheitskatalog (IT-SiKat) gemäß §11 Abs. 1a EnWG gilt seit August 2015 für Betreiber von Energieversorgungsnetzen. Konkret betrifft dies:
- Stromübertragungs- und -verteilnetze über eine oder mehrere Spannungsebenen
- Gasübertragungs- und -verteilnetze über eine oder mehrere Druckstufen
| Abschnitt | Inhalt |
|---|---|
| Einleitung Abschnitt A. |
|
| Rechtliche Grundlagen Abschnitt B. |
|
| Schutzziele Abschnitt C. |
|
| Geltungsbereich Abschnitt D. |
|
| Sicherheitsanforderungen Abschnitt E. |
|
| Umsetzungsvorgaben Abschnitt F. |
|
IT-Sicherheitskatalog §11 Abs. 1b
Der IT-Sicherheitskatalog (IT-SiKat) gemäß §11 Abs. 1b EnWG gilt seit 2018 für Betreiber von Energieanlagen, die nach der BSI-KritisV als KRITIS bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind. Konkret im Katalog genannt werden:
- Erzeugungsanlagen (Anhang 1, Teil 3, Nr. 1.1.1 BSI-KritisV), z. B. Photovoltaikanlagen, Gaskraftwerke, Windkraftanlagen. Diese Kategorie umfasst auch Anlagen zur Speicherung von elektrischer Energie sowie dezentrale Energieerzeuungsanlagen.
- Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (Anhang 1, Teil 3, Nr. 1.1.2 BSI-KritisV)
- Gasförderanlagen (nach Anhang 1, Teil 3, Nr. 2.1.1 BSI-KritisV)
- Anlagen zur zentralen standortübergreifenden Steuerung in der Gasversorgung (Anhang 1, Teil 3, Nr. 2.1.2 BSI-KritisV)
| Abschnitt | Inhalt |
|---|---|
| Einleitung Abschnitt A. |
|
| Schutzziele Abschnitt B. |
|
| Geltungsbereich Abschnitt C. |
|
| Sicherheitsanforderungen Abschnitt D. |
|
| Umsetzungsvorgaben Abschnitt E. |
|
| Abweichende Regelungen für Anlagen nach § 7 Abs. 1 ATG Abschnitt F. |
|
EU-Verordnungen
Aufgrund der Bedeutung der Energieversorgung nicht nur auf nationaler Ebene, sondern grenzüberschreitend im gesamten EU-Raum, regeln zusätzlich diverse EU-Richtlinien und EU-Verordnungen Aspekte zur Energieversorgung in Nationalstaaten.
Die Europäische Kommission hat im Oktober 2023 einen Entwurf für Cybersecurity in der EU-Stromversorgung zur Kommentierung vorgelegt. Der Entwurf ergänzt EU-Verordnung 2019/943 über den Elektrizitätsbinnenmarkt durch die Festlegung eines Netzkodexes mit Vorschriften für Cybersecurity grenzüberschreitender Stromflüsse. Der Kodex gilt als wichtige Maßnahme zur Verbesserung der Widerstandsfähigkeit kritischer Energieinfrastrukturen und -dienste.
Der Entwurf sieht regelmäßige EU-weite, regionale und nationale Cyber Risk Assessments durch Behörden vor. Auf Basis dieser Assessments sollen periodisch Cyber Risk Mitigation Pläne für Betriebsregionen entwickelt werden. Diese sollen minimale und fortgeschrittene Cybersecurity-Maßnahmen enthalten und verbleibende Cyberrisiken in den Regionen nach Anwendung der definierten Maßnahmen aufzeigen.
Der Netzkodex soll in Zusammenarbeit von Übertragungsnetzbetreibern (TSOs) und Verbänden (ENTSO-E, EU DSO Entity) erarbeitet werden und als Governance-Modell gemeinsame Methoden festlegen, etwa zu:
- einem umfassenden grenzüberschreitenden Risikomanagementverfahren
- Mindest- und fortgeschrittenen Cybersicherheitskontrollen
- dem Austausch von Cybersicherheitsinformationen, um eine rechtzeitige Information und eine rasche und koordinierte Reaktion der einschlägigen Akteure zu gewährleisten;
- Regeln für die Behandlung von Cybersicherheitsvorfällen und das Krisenmanagement;
- einen Rahmen für Cybersicherheitsübungen, um die Bereitschaft aller Betreiber zu stärken;
- Regeln für den Schutz des Informationsaustauschs;
- einen Rahmen für Überwachung, Benchmarking und Berichterstattung.
Der Netzkodex soll für high-risk und critical risk entities
gelten, die mithilfe der in ECII, dem Electricity Cybersecurity Impact Index, definierten Schwellenwerte ermittelt werden.
Weitere Informationen
Literatur
- KRITIS-Sektor Energie, OpenKRITIS
Quellen
- Übersichtsseite zum IT-Sicherheitskatalog für Strom- und Gasnetze gemäß §11 Abs. 1a EnWG, Bundesnetzagentur (BNetzA), Stand August 2015
- Übersichtsseite zum IT-Sicherheitskatalog für Energieanlagen gemäß §11 Abs. 1b EnWG, Bundesnetzagentur (BNetzA), Stand Dezember 2018