KRITIS-Sektor Energie

Im KRITIS-Sektor Energie erbringen KRITIS-Betreiber vier kritische Dienst­leistungen zur Versorgung der Allgemeinheit mit Energie — von der Erzeugung bis zur Verteilung an Endkunden der Energie­träger Strom, Gas, Öl und Fernwärme:

  1. Stromversorgung: Erzeugung, Übertragung, Verteilung und Handel
  2. Gasversorgung: Förderung, Transport, Verteilung und Handel
  3. Kraftstoff-/Heizölversorgung: Förderung, Herstellung, Transport, Verteilung
  4. Fernwärmeversorgung: Erzeugung und Verteilung

Erbringen Betreiber diese kritischen Dienstleistungen in eigenen Anlagen und überschreiten dabei Schwellenwerte (meist 500 Tsd. versorgte Personen), werden sie KRITIS-Betreiber.

Energie-Betreiber unterliegen teilweise weiterer Regulierung durch das EnWG, wenn sie Energie­anlagen und Energie­versorgungsnetze betreiben.

Unternehmen

NIS2 im Sektor Energie

Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Die Gesetze sind in Arbeit und sollen Oktober 2024 in Kraft treten. Neben den KRITIS-Betreibern kommen viele neue Unternehmen nach Größe dazu.

Die Pflichten ab Oktober 2024 erweitern sich je nach Betreiber-Gruppe.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Oktober 2023
* - Energieanlagen und -netze sind von einigen NIS2-Pflichten ausgeschlossen (EnWG-Sicherheitskatalog)
Thema Betreiber kritischer Anlagen Einrichtungen
Gesetz NIS2-Umsetzung KRITIS-Dachgesetz NIS2-Umsetzung
Fristen ab 2024 ab 2026 ab 2024
Scope Kritische Anlage* Kritische Anlage Unternehmen
Pflichten Registrierung
Vorfallsmeldungen
Sanktionen
Nachweise
Registrierung
Vorfallsmeldungen
Sanktionen
Nachweise
Registrierung
Vorfallsmeldungen
Sanktionen
Maßnahmen Informationssicherheit*
Risikomanagement*
IT-Sicherheit*
Angriffserkennung SzA*
Resilienz
Risikomanagement
Physische Sicherheit
Informationssicherheit
Risikomanagement
IT-Sicherheit
Prüfungen Audits Audits BSI-Stichproben
Regulator BSI BBK BSI

Für bestimmte Betreiber* im Energiesektor gilt zusätzlich bzw. alternativ der Sicherheits­katalog der BNetzA, der die §30 Cybersecurity-Maßnahmen des NIS2-Umsetzungsgesetzes äquivalent abbilden soll.

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.

up

Neuerungen 2023

Mit den KRITIS-Verordnungen 2023 ändern sich Anlagen:

up

Pflichten als Kritische Infrastruktur

KRITIS-Betreiber unterliegen der KRITIS-Regulierung mit Pflichten für IT-Sicherheit:

Bei Betrieb von Energie­anlagen und Energie­versorgungsnetze auch Regulierung nach EnWG.

up

Anlagen

Die folgenden KRITIS-Anlagen sind seit 2021 und 2023 im Sektor Energie definiert.

aus BSI-KritisV September 2023, Anhang 1
Nr. Anlage Beschreibung Schwellenwert
1.
Stromversorgung (Dienstleistung)
1.1.1 Erzeugungsanlage im Sinne §3 Nr. 18c EnWG, auch Speicherung und dezentrale Erzeugung im Sinne §3 Nr. 11 EnWG 104 MW
0 MW
36 MW
Netto-Nennleistung
Schwarzstart-Anlage
Primärregel
1.1.2 Steuerung/Bündelung
elektrischer Leistung
im Sinne §3 Nr. 17 EEG 104 MW
0 MW
36 MW
Netto-Nennleistung
Schwarzstart-Anlage
Primärregel
1.2.1 Übertragungsnetz im Sinne §3 Nr. 32 EnWG 3700 GWh/JahrArbeit
1.3.1 Stromverteilernetz im Sinne §3 Nr. 37 EnWG 3700 GWh/JahrArbeit
1.4.1 Stromhandel (Elektrizitätsmarkt) Anlage/Handelssystem für Spothandel, Terminhandel deutsches Martgebiet 3700 GWh/Jahr
(46,3 TWh)
Handelsvolumen
2.
Gasversorgung (Dienstleistung)
2.1.1 Gasförderanlage Förderung von Erdgas 5190 GWh/Jahrgefördertes Gas
2.1.2 Standortübergreifende
Steuerung
Steuerung/Überwachung standortübergreifend anderer Anlagen 5190 GWh/Jahrgefördertes Gas
2.2.1 Fernleitungsnetz im Sinne §3 Nr. 19 EnWG 5190 GWh/Jahrentnommene Arbeit
2.2.2 Gasgrenzübergabestelle 5190 GWh/Jahrdurchgeleitete Arbeit
2.2.3 Gasspeicher im Sinne §3 Nr. 31 EnWG 5190 GWh/Jahrdurchgeleitete Arbeit
2.2.4
NEU
LNG-Anlage Verflüssigung von Gas oder Einfuhr, Entladung und Wiederverdampfung von verflüssigtem Gas 5190 GWh/JahrTechnische Regasifizierungs­kapazität
2.3.1 Gasverteilernetz im Sinne §3 Nr. 37 EnWG 5190 GWh/Jahrentnommene Arbeit
2.4.1 Gas/Kapazitätshandel Anlage/Handelssystem für Gashandel 5190 GWh/JahrHandelsvolumen
Gastransportkapazitäten
3.
Kraftstoff- und Heizölversorgung (Dienstleistung)
3.1.1 Ölförderanlage Förderung von Rohöl 4.4 Mio t/Jahrgefördertes Rohöl
3.1.2 Raffinerie Destillation oder Raffination von Rohöl im Sinne 4.3, Anlage 1 UVPG 420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
erzeugter Kraftstoff
Flugkraftstoff
Heizöl
3.1.3 Standortübergreifende
Steuerung
Steuerung/Überwachung standortübergreifend anderer Anlagen 4.4 Mio t/Jahr
4.4 Mio t/Jahr
420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
gefördertes Rohöl
erzeugter Kraftstoff
Flugkraftstoff
Heizöl
3.2.1 Mineralölfernleitung Rohrfernleitung im Sinne der RohrFLtgV 4.4 Mio t/Jahr
420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
umgeschlagenes Rohöl
Kraftstoff
Flugkraftstoff
Heizöl
3.2.2 Öl- und Produktenlager Lagerung von Rohöl oder Mineralölprodukten 4.4 Mio t/Jahr
420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
umgeschlagenes Rohöl
Kraftstoff
Flugkraftstoff
Heizöl
3.2.3 Standortübergreifende
Steuerung
Steuerung/Überwachung standortübergreifend anderer Anlagen 4.4 Mio t/Jahr
4.4 Mio t/Jahr
420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
transportiertes Rohöl
umgeschlagenes Rohöl
Kraftstoff
Flugkraftstoff
Heizöl
3.3.1 Aggregatoren zum Vertrieb von Kraftstoff und Heizöl Disposition von Tankkraftwagen, Kesselwagen, Binnenschiffen zum Vertrieb von Kraftstoff und Heizöl 420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
verteilter Kraftstoff
Flugkraftstoff
Heizöl
3.3.2 Tankstellennetz Verbindung von Tankstellen, Flugfeldbetankungsanlagen zur zentralen Versorgung mit Kraftstoff 420 Tsd t/Jahr
63,75 Tsd t/J
verteilter Kraftstoff
Flugkraftstoff
3.3.3 Standortübergreifende
Steuerung
Steuerung/Überwachung standortübergreifend anderer Anlagen 420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
verteilter Kraftstoff
Flugkraftstoff
Heizöl
3.4.1 Zentrale kommerzielle Steuerung Steuerung/Betriebsplanung mehrere Anlagen, kommerzielle Abwicklung, Clearing/Kollaboration 4.4 Mio t/Jahr
420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
Abgewickeltes Rohöl
Kraftstoff
Flugkraftstoff
Heizöl
4.
Fernwärmeversorgung (Dienstleistung)
4.1.1 Heizwerk Erzeugung von Wärme zur Belieferung von Endkunden im Sinne der AVBFernwärmeV 2300 GWh/Jahrausgeleitete Wärmeenergie
4.1.2 Heizkraftwerk Erzeugung von elektrischer Energie und Nutzwärme nach §2 Nr. 14 KWKG 2300 GWh/Jahrausgeleitete Wärmeenergie
4.2.1 Fernwärmenetz Versorgung der Allgemeinheit mit Wärme 250 Tsdangeschlossene Haushalte
4.3.1 Standortübergreifende
Steuerung
Steuerung/Überwachung standortübergreifend anderer Anlagen 250 Tsd

2300 GWh/Jahr
angeschlossene Haushalte
ausgeleitete Wärmeenergie

up

Schwellenwerte

Strom

Der Schwellenwert für Erzeugung (1.1.1) und Steuerung/Bündelung (1.1.2) berechnet sich aus dem angenommenen Durchschnittsverbrauch von 1815 kWh Strom pro Person für 500.000 versorgte Personen:

Die 36 MW für Primärregelleistung präqualifizierter Anlagen ergeben sich aus EU-Verordnung 2016/631. Der Wert 3.700 GWh/Jahr für die Übertragung und Verteilung (1.2.1, 1.3.1) wird nicht (mehr) hergeleitet.

Der Schwellenwert für Stromhandel (1.4.1) ergibt sich aus dem angenommenen Gesamt­handels­volumen von 600 TWh und durchschnittlichem Handelsvolumen von 7460 KWh pro Person für 500.000 versorgte Personen:

Gas

Der Schwellenwert für die Anlagen 2.1.1 bis 2.4.1 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 10380 kWh Gas pro Person für 500.000 versorgte Personen:

Kraftstoff und Heizöl

Der Schwellenwert für die Anlagen 3.1.1 bis 3.4.1 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 0,84t Kraftstoff, 1,24t leichten Heizöl und 0,1275t Flugkraftstoff pro Person pro Jahr für 500.000 versorgte Personen, mit der Annahme von einer Tonne Rohöl pro 0,14t Heizöl.

Fernwärme

Der Schwellenwert für die Anlagen 4.1.1 bis 4.1.2 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 4,528 MWh Energie pro Person für 500.000 versorgte Personen, der Schwellenwert für 4.2.1 direkt über Haushalte.

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren. Bei angeschlossenen Haushalten muss dies zum 30. Juni des Vorjahres ermittelt werden.

up

Regulierung und Standards

Weitere Gesetze

Manche KRITIS-Betreiber im Energiesektor werden ausschließlich durch §8a BSIG reguliert, andere fallen neben der KRITIS-Regulierung auch unter §11 EnWG oder das ATG. Dies hängt von der betriebenen KRITIS-Anlage ab — mit unterschiedlichen Anforderungen bei Energie­anlagen, Energie­versorgungsnetzen (beide Sicherheitskatalog), Kernkraft und weiteren.

Ausnahmeregelungen Energie

KRITIS-Betreiber, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind und den Regelungen von §11 EnWG unterliegen (§8d (2) Nr. 2. BSIG), müssen keine KRITIS-Maßnahmen nach §8a BSIG umsetzen oder prüfen lassen. Für diese KRITIS-Betreiber gilt das Energiewirtschaftsgesetz (EnWG).

Energiewirtschaftsgesetz (EnWG)

Das Energiewirtschaftsgesetz EnWG, das 2021 im Hinblick auf das IT-Sicherheitsgesetz 2.0 überarbeitet wurde, regelt in §11 die Pflichten der Betreiber von Energieanlagen und Energieversorgungsnetzen. Die wichtigsten Regelungen und Anforderungen sind:

EU-Verordnungen

Aufgrund der Bedeutung der Energie­versorgung nicht nur auf nationaler Ebene, sondern grenz­überschreitend im gesamten EU-Raum, regeln zusätzlich diverse EU-Richtlinien und EU-Verordnungen Aspekte zur Energieversorgung in Nationalstaaten.

Die Europäische Kommission hat im Oktober 2023 einen Entwurf für Cybersecurity in der EU-Stromversorgung zur Kommentierung vorgelegt. Der Entwurf ergänzt EU-Verordnung 2019/943 über den Elektrizitäts­binnenmarkt durch die Festlegung eines Netzkodexes mit Vorschriften für Cybersecurity grenz­überschreitender Strom­flüsse. Ein solcher Netzkodex gilt als wichtige Maßnahme zur Verbesserung der Widerstands­fähigkeit kritischer Energie­infrastrukturen und -dienste.

Der Entwurf sieht regelmäßige EU-weite, regionale und nationale Cyber Risk Assessments durch Behörden vor. Auf Basis dieser Assessments sollen periodisch Cyber Risk Mitigation Pläne für Betriebsregionen entwickelt werden. Diese sollen minimale und fortgeschrittene Cybersecurity-Maßnahmen enthalten und verbleibende Cyberrisiken in den Regionen nach Anwendung der definierten Maßnahmen aufzeigen.

Der Netzkodex soll in Zusammenarbeit von Übertragungsnetzbetreibern (TSOs) und verschiedenen EU-Verbänden (ENTSO-E, EU DSO Entity) erarbeitet werden und im Sinne eines Governance-Modells gemeinsame Bedingungen und Methoden festlegen, etwa zu

Der Netzkodex soll für high-risk und critical risk entitiesgelten, die mithilfe der in ECII, Electricity Cybersecurity Impact Index, definierten Schwellenwerte ermittelt werden.

(Es existieren noch weitere EU-Verordnungen.)

Atomgesetz

Folgt

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

Industrienormen

up

Weitere Informationen

Quellen

  1. Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
  2. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
  3. Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 9 des Gesetzes vom 22. März 2023 (BGBl. 2023 I Nr. 88) geändert worden ist
  4. Gesetz für die Erhaltung, die Modernisierung und den Ausbau der Kraft-Wärme-Kopplung (Kraft-Wärme-Kopplungsgesetz - KWKG) vom 21. Dezember 2015 (BGBl. I S. 2498), das zuletzt durch Artikel 7 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818) geändert worden ist
  5. Gesetz für den Ausbau erneuerbarer Energien (Erneuerbare-Energien-Gesetz - EEG 2017) vom 21. Juli 2014 (BGBl. I S. 1066), das zuletzt durch Artikel 6 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818) geändert worden ist
  6. Gesetz über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen (Messstellenbetriebsgesetz - MsbG) vom 29. August 2016 (BGBl. I S. 2034), das zuletzt durch Artikel 90 des Gesetzes vom 20. November 2019 (BGBl. I S. 1626) geändert worden ist"
  7. Gesetz über die Umweltverträglichkeitsprüfung (UVPG) in der Fassung der Bekanntmachung vom 24. Februar 2010 (BGBl. I S. 94), das zuletzt durch Artikel 117 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  8. Verordnung über Rohrfernleitungsanlagen (Rohrfernleitungsverordnung) vom 27. September 2002 (BGBl. I S. 3777, 3809), die zuletzt durch Artikel 224 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  9. Verordnung über Allgemeine Bedingungen für die Versorgung mit Fernwärme (AVBFernwärmeV) vom 20. Juni 1980 (BGBl. I S. 742), die zuletzt durch Artikel 16 des Gesetzes vom 25. Juli 2013 (BGBl. I S. 2722) geändert worden ist
  10. IT-Sicherheit im Energiesektor, Überblick und Bibliothek der relevanten Dokumente, Bundesnetzagentur (BNetzA)
  11. EU Electricity Supply, EU electricity supply – sector-specific rules on cybersecurity (network code), European Commission