KRITIS-Sektor Energie
Im KRITIS-Sektor Energie erbringen KRITIS-Betreiber vier kritische Dienstleistungen zur Versorgung der Allgemeinheit mit Energie — von der Erzeugung bis zur Verteilung an Endkunden der Energieträger Strom, Gas, Öl und Fernwärme:
- Stromversorgung: Erzeugung, Übertragung, Verteilung und Handel
- Gasversorgung: Förderung, Transport, Verteilung und Handel
- Kraftstoff-/Heizölversorgung: Förderung, Herstellung, Transport, Verteilung
- Fernwärmeversorgung: Erzeugung und Verteilung
Erbringen Betreiber diese kritischen Dienstleistungen in eigenen Anlagen und überschreiten dabei Schwellenwerte (meist 500 Tsd. versorgte Personen), werden sie KRITIS-Betreiber.
Energie-Betreiber unterliegen teilweise weiterer Regulierung durch das EnWG, wenn sie Energieanlagen und Energieversorgungsnetze betreiben.
Unternehmen
NIS2 im Sektor Energie
Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Die Gesetze sind in Arbeit und sollen Oktober 2024 in Kraft treten. Neben den KRITIS-Betreibern kommen viele neue Unternehmen nach Größe dazu.
- Betreiber kritischer Anlagen: KRITIS-Betreiber mit identifizierten Anlagen nach KRITIS-Schwellenwerten bleiben reguliert und erben zusätzliche NIS2 und Dachgesetz-Pflichten.
- ⚡ Besonders wichtige Einrichtungen: Unternehmen im Sektor ab 250 Mitarbeitern oder ab 50 Mio. EUR Umsatz und 43 Mio. EUR Bilanz kommen als besonders wichtige Einrichtungen mit NIS2-Pflichten neu dazu.
- ⚡ Wichtige Einrichtungen: Unternehmen ab 50 Mitarbeitern oder ab 10 Mio. EUR Umsatz und 10 Mio. EUR Bilanz kommen als wichtige Einrichtungen mit NIS2-Pflichten dazu.
- ⚡ Bei den Einrichtungen erweitert sich der Sektor: Ladepunkte, Energiespeicher, Fernkälte, zentrale Bevorratungsstellen, Wasserstoff (nicht abschließend).
Die Pflichten ab Oktober 2024 erweitern sich je nach Betreiber-Gruppe.
Thema | Betreiber kritischer Anlagen | Einrichtungen | |
---|---|---|---|
Gesetz | NIS2-Umsetzung | KRITIS-Dachgesetz | NIS2-Umsetzung |
Fristen | ab 2024 | ab 2026 | ab 2024 |
Scope | Kritische Anlage* | Kritische Anlage | Unternehmen |
Pflichten | Registrierung Vorfallsmeldungen Sanktionen Nachweise |
Registrierung Vorfallsmeldungen Sanktionen Nachweise |
Registrierung Vorfallsmeldungen Sanktionen |
Maßnahmen | Informationssicherheit* Risikomanagement* IT-Sicherheit* Angriffserkennung SzA* |
Resilienz Risikomanagement Physische Sicherheit |
Informationssicherheit Risikomanagement IT-Sicherheit |
Prüfungen | Audits | Audits | BSI-Stichproben |
Regulator | BSI | BBK | BSI |
Für bestimmte Betreiber* im Energiesektor gilt zusätzlich bzw. alternativ der Sicherheitskatalog der BNetzA, der die §30 Cybersecurity-Maßnahmen des NIS2-Umsetzungsgesetzes äquivalent abbilden soll.
Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.
Neuerungen 2023
Mit den KRITIS-Verordnungen 2023 ändern sich Anlagen:
- ⚡ ab 2024 (Entwurf): Anlage Gashandel zu Gas/Kapazitätshandel
- ⚡ ab 2024 (Entwurf): Anlage Stromhandel zu Elektrizitätsmarkt und höherer Schwellenwert
- ⚡ 2023: LNG-Anlage als neue Anlage zur Regasifizierung
Pflichten als Kritische Infrastruktur
KRITIS-Betreiber unterliegen der KRITIS-Regulierung mit Pflichten für IT-Sicherheit:
- Identifikation KRITIS-Anlagen: Betreiber müssen sich selbst als KRITIS identifizieren.
- Registrierung als KRITIS: Meldung der KRITIS-Anlagen und Registrierung beim BSI
- KRITIS-Meldepflichten: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI
- KRITIS-Geltungsbereich: KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
- Cyber Security in KRITIS: Management von Sicherheit (ISMS), Notfällen (BCM) und Risiken und technischen Maßnahmen, Sicherheitsstandards.
- Angriffserkennung: Systeme und Prozesse zum Monitoring, Erkennung und Reaktion auf Cyber Angriffe (nach der BSI OH SzA)
- KRITIS-Prüfungen: Umsetzung der Cyber Security Maßnahmen durch Prüfung nachweisen
Bei Betrieb von Energieanlagen und Energieversorgungsnetze auch Regulierung nach EnWG.
Anlagen
Die folgenden KRITIS-Anlagen sind seit 2021 und 2023 im Sektor Energie definiert.
Nr. | Anlage | Beschreibung | Schwellenwert | |
---|---|---|---|---|
1. | Stromversorgung (Dienstleistung) | |||
1.1.1 | Erzeugungsanlage | im Sinne §3 Nr. 18c EnWG, auch Speicherung und dezentrale Erzeugung im Sinne §3 Nr. 11 EnWG | 104 MW 0 MW 36 MW | Netto-Nennleistung Schwarzstart-Anlage Primärregel |
1.1.2 | Steuerung/Bündelung elektrischer Leistung |
im Sinne §3 Nr. 17 EEG | 104 MW 0 MW 36 MW | Netto-Nennleistung Schwarzstart-Anlage Primärregel |
1.2.1 | Übertragungsnetz | im Sinne §3 Nr. 32 EnWG | 3700 GWh/Jahr | Arbeit |
1.3.1 | Stromverteilernetz | im Sinne §3 Nr. 37 EnWG | 3700 GWh/Jahr | Arbeit |
1.4.1 | Stromhandel (Elektrizitätsmarkt) | Anlage/Handelssystem für Spothandel, Terminhandel deutsches Martgebiet | 3700 GWh/Jahr (46,3 TWh) | Handelsvolumen |
2. | Gasversorgung (Dienstleistung) | |||
2.1.1 | Gasförderanlage | Förderung von Erdgas | 5190 GWh/Jahr | gefördertes Gas |
2.1.2 | Standortübergreifende Steuerung |
Steuerung/Überwachung standortübergreifend anderer Anlagen | 5190 GWh/Jahr | gefördertes Gas |
2.2.1 | Fernleitungsnetz | im Sinne §3 Nr. 19 EnWG | 5190 GWh/Jahr | entnommene Arbeit |
2.2.2 | Gasgrenzübergabestelle | 5190 GWh/Jahr | durchgeleitete Arbeit | |
2.2.3 | Gasspeicher | im Sinne §3 Nr. 31 EnWG | 5190 GWh/Jahr | durchgeleitete Arbeit |
2.2.4 NEU |
LNG-Anlage | Verflüssigung von Gas oder Einfuhr, Entladung und Wiederverdampfung von verflüssigtem Gas | 5190 GWh/Jahr | Technische Regasifizierungskapazität |
2.3.1 | Gasverteilernetz | im Sinne §3 Nr. 37 EnWG | 5190 GWh/Jahr | entnommene Arbeit |
2.4.1 | Gas/Kapazitätshandel | Anlage/Handelssystem für Gashandel | 5190 GWh/Jahr | Handelsvolumen Gastransportkapazitäten |
3. | Kraftstoff- und Heizölversorgung (Dienstleistung) | |||
3.1.1 | Ölförderanlage | Förderung von Rohöl | 4.4 Mio t/Jahr | gefördertes Rohöl |
3.1.2 | Raffinerie | Destillation oder Raffination von Rohöl im Sinne 4.3, Anlage 1 UVPG | 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | erzeugter Kraftstoff Flugkraftstoff Heizöl |
3.1.3 | Standortübergreifende Steuerung |
Steuerung/Überwachung standortübergreifend anderer Anlagen | 4.4 Mio t/Jahr 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | gefördertes Rohöl erzeugter Kraftstoff Flugkraftstoff Heizöl |
3.2.1 | Mineralölfernleitung | Rohrfernleitung im Sinne der RohrFLtgV | 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | umgeschlagenes Rohöl Kraftstoff Flugkraftstoff Heizöl |
3.2.2 | Öl- und Produktenlager | Lagerung von Rohöl oder Mineralölprodukten | 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | umgeschlagenes Rohöl Kraftstoff Flugkraftstoff Heizöl |
3.2.3 | Standortübergreifende Steuerung |
Steuerung/Überwachung standortübergreifend anderer Anlagen | 4.4 Mio t/Jahr 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | transportiertes Rohöl umgeschlagenes Rohöl Kraftstoff Flugkraftstoff Heizöl |
3.3.1 | Aggregatoren zum Vertrieb von Kraftstoff und Heizöl | Disposition von Tankkraftwagen, Kesselwagen, Binnenschiffen zum Vertrieb von Kraftstoff und Heizöl | 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | verteilter Kraftstoff Flugkraftstoff Heizöl |
3.3.2 | Tankstellennetz | Verbindung von Tankstellen, Flugfeldbetankungsanlagen zur zentralen Versorgung mit Kraftstoff | 420 Tsd t/Jahr 63,75 Tsd t/J | verteilter Kraftstoff Flugkraftstoff |
3.3.3 | Standortübergreifende Steuerung |
Steuerung/Überwachung standortübergreifend anderer Anlagen | 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | verteilter Kraftstoff Flugkraftstoff Heizöl |
3.4.1 | Zentrale kommerzielle Steuerung | Steuerung/Betriebsplanung mehrere Anlagen, kommerzielle Abwicklung, Clearing/Kollaboration | 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | Abgewickeltes Rohöl Kraftstoff Flugkraftstoff Heizöl |
4. | Fernwärmeversorgung (Dienstleistung) | |||
4.1.1 | Heizwerk | Erzeugung von Wärme zur Belieferung von Endkunden im Sinne der AVBFernwärmeV | 2300 GWh/Jahr | ausgeleitete Wärmeenergie |
4.1.2 | Heizkraftwerk | Erzeugung von elektrischer Energie und Nutzwärme nach §2 Nr. 14 KWKG | 2300 GWh/Jahr | ausgeleitete Wärmeenergie |
4.2.1 | Fernwärmenetz | Versorgung der Allgemeinheit mit Wärme | 250 Tsd | angeschlossene Haushalte |
4.3.1 | Standortübergreifende Steuerung |
Steuerung/Überwachung standortübergreifend anderer Anlagen | 250 Tsd 2300 GWh/Jahr | angeschlossene Haushalte ausgeleitete Wärmeenergie |
Schwellenwerte
Strom
Der Schwellenwert für Erzeugung (1.1.1) und Steuerung/Bündelung (1.1.2) berechnet sich aus dem angenommenen Durchschnittsverbrauch von 1815 kWh Strom pro Person für 500.000 versorgte Personen:
- Netto-Nennleistung von 104 MW
- Netto-Nennleistung von 0 MW (Schwarzstartanlage)
- Netto-Nennleistung von 36 MW (Erbringung von Primärregelleistung)
Die 36 MW für Primärregelleistung präqualifizierter Anlagen ergeben sich aus EU-Verordnung 2016/631. Der Wert 3.700 GWh/Jahr für die Übertragung und Verteilung (1.2.1, 1.3.1) wird nicht (mehr) hergeleitet.
Der Schwellenwert für Stromhandel (1.4.1) ergibt sich aus dem angenommenen Gesamthandelsvolumen von 600 TWh und durchschnittlichem Handelsvolumen von 7460 KWh pro Person für 500.000 versorgte Personen:
- Abgewickeltes Handelsvolumen von 3,7 TWh (3700 GWh) pro Jahr
Gas
Der Schwellenwert für die Anlagen 2.1.1 bis 2.4.1 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 10380 kWh Gas pro Person für 500.000 versorgte Personen:
- ≈ 5190 GWh Gas pro Jahr
Kraftstoff und Heizöl
Der Schwellenwert für die Anlagen 3.1.1 bis 3.4.1 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 0,84t Kraftstoff, 1,24t leichten Heizöl und 0,1275t Flugkraftstoff pro Person pro Jahr für 500.000 versorgte Personen, mit der Annahme von einer Tonne Rohöl pro 0,14t Heizöl.
- 420 Tsd Tonnen Kraftstoff pro Jahr
- 63,75 Tsd Tonnen Flugkraftstoff pro Jahr
- 620 Tsd Tonnen Heizöl pro Jahr
- 4400 Tsd Tonnen Rohöl pro Jahr
Fernwärme
Der Schwellenwert für die Anlagen 4.1.1 bis 4.1.2 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 4,528 MWh Energie pro Person für 500.000 versorgte Personen, der Schwellenwert für 4.2.1 direkt über Haushalte.
- 2300 GWh Wärmeenergie pro Jahr
- 250 Tsd angeschlossene Haushalte
Fristen
Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren. Bei angeschlossenen Haushalten muss dies zum 30. Juni des Vorjahres ermittelt werden.
Regulierung und Standards
Weitere Gesetze
Manche KRITIS-Betreiber im Energiesektor werden ausschließlich durch §8a BSIG reguliert, andere fallen neben der KRITIS-Regulierung auch unter §11 EnWG oder das ATG. Dies hängt von der betriebenen KRITIS-Anlage ab — mit unterschiedlichen Anforderungen bei Energieanlagen, Energieversorgungsnetzen (beide Sicherheitskatalog), Kernkraft und weiteren.
Ausnahmeregelungen Energie
KRITIS-Betreiber, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG
sind und den Regelungen von §11 EnWG unterliegen (§8d (2) Nr. 2. BSIG), müssen keine KRITIS-Maßnahmen nach §8a BSIG umsetzen oder prüfen lassen.
Für diese KRITIS-Betreiber gilt das Energiewirtschaftsgesetz (EnWG).
Energiewirtschaftsgesetz (EnWG)
Das Energiewirtschaftsgesetz EnWG, das 2021 im Hinblick auf das IT-Sicherheitsgesetz 2.0 überarbeitet wurde, regelt in §11 die Pflichten der Betreiber von Energieanlagen und Energieversorgungsnetzen. Die wichtigsten Regelungen und Anforderungen sind:
- Betreiber von Energieversorgungsnetzen (Strom- und Gasnetze) müssen einen angemessenen Schutz ihrer IT-Systeme (TK und EDV) gewährleisten, die für einen sicheren Netzbetrieb notwendig sind. Die BNetzA erstellt dazu einen Katalog mit Sicherheitsanforderungen, der durch die Betreiber umzusetzen ist. Dieser ist veröffentlicht als IT-Sicherheitskatalog gemäß §11 Abs. 1a. Der IT-Sicherheitskatalog regelt zusätzlich zu den notwendigen Sicherheitsmaßnahmen auch das Vorgehen zur regelmäßigen Überprüfung.
- Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden (also die Schwellenwerte erreichen oder überschreiten) und an ein Energieversorgungsnetz angeschlossen sind, müssen einen angemessenen Schutz ihrer IT-Systeme (TK und EDV) gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. Die BNetzA erstellt dazu einen Katalog mit Sicherheitsanforderungen, der durch die Betreiber umzusetzen ist. Dieser ist veröffentlicht als IT-Sicherheitskatalog gemäß §11 Abs. 1b. Der IT-Sicherheitskatalog regelt zusätzlich zu den notwendigen Sicherheitsmaßnahmen auch das Vorgehen zur regelmäßigen Überprüfung.
- Sicherheitsvorfälle mit Auswirkungen sowie Vorfälle mit potentiellen Auswirkungen auf den Betrieb des Energieversorgungsnetzes oder der betreffenden Energieanlage müssen dem BSI gemeldet werden, §11 Abs. 1c. Die Nennung des Betreibers ist nur erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. Das BSI leitet die Meldung an die BNetzA weiter.
- Betreiber müssen nach §11 Abs. 1d spätestens bis zum 1. April jeden Jahres die von ihnen betriebene Anlage beim BSI registrieren und einen Sicherheitsbeauftragen als Kontaktstelle benennen. Das BSI leitet die Registrierung und Kontaktdaten dann an die BNetzA weiter.
- Spätestens ab dem 1. Mai 2023 müssen Betreiber Systeme zur Angriffserkennung nach §11 Abs. 1e einsetzen. Der Einsatz muss nach §11 Abs. 1f erstmalig am 1. Mai 2023 und danach alle zwei Jahre gegenüber dem BSI nachgewiesen werden. Das BSI leitet die hierfür eingereichten Nachweisdokumente an die BNetzA weiter.
- Die BNetzA legt nach §11 Abs. 1g bis zum 22. Mai 2023 einen weiteren Katalog vor, der die kritischen Komponenten im Sinne des § 2 Abs. 13 S. 1 Nr. 3 a) BSIG sowie die kritisch bestimmten Funktionen im Sinne des § 2 Abs. 13 S. 1 Nr. 3 b) BSIG definiert. Betreiber müssen die Vorgaben dieses Katalogs spätestens 6 Monate nach Inkrafttreten erfüllen. Der neue Katalog soll mit den bestehenden IT-Sicherheitskatalogen nach §11 Abs. 1a/1b verbunden werden.
EU-Verordnungen
Aufgrund der Bedeutung der Energieversorgung nicht nur auf nationaler Ebene, sondern grenzüberschreitend im gesamten EU-Raum, regeln zusätzlich diverse EU-Richtlinien und EU-Verordnungen Aspekte zur Energieversorgung in Nationalstaaten.
Die Europäische Kommission hat im Oktober 2023 einen Entwurf für Cybersecurity in der EU-Stromversorgung zur Kommentierung vorgelegt. Der Entwurf ergänzt EU-Verordnung 2019/943 über den Elektrizitätsbinnenmarkt durch die Festlegung eines Netzkodexes mit Vorschriften für Cybersecurity grenzüberschreitender Stromflüsse. Ein solcher Netzkodex gilt als wichtige Maßnahme zur Verbesserung der Widerstandsfähigkeit kritischer Energieinfrastrukturen und -dienste.
Der Entwurf sieht regelmäßige EU-weite, regionale und nationale Cyber Risk Assessments durch Behörden vor. Auf Basis dieser Assessments sollen periodisch Cyber Risk Mitigation Pläne für Betriebsregionen entwickelt werden. Diese sollen minimale und fortgeschrittene Cybersecurity-Maßnahmen enthalten und verbleibende Cyberrisiken in den Regionen nach Anwendung der definierten Maßnahmen aufzeigen.
Der Netzkodex soll in Zusammenarbeit von Übertragungsnetzbetreibern (TSOs) und verschiedenen EU-Verbänden (ENTSO-E, EU DSO Entity) erarbeitet werden und im Sinne eines Governance-Modells gemeinsame Bedingungen und Methoden festlegen, etwa zu
- einem umfassenden grenzüberschreitenden Risikomanagementverfahren
- Mindest- und fortgeschrittenen Cybersicherheitskontrollen
- dem Austausch von Cybersicherheitsinformationen, um eine rechtzeitige Information und eine rasche und koordinierte Reaktion der einschlägigen Akteure zu gewährleisten;
- Regeln für die Behandlung von Cybersicherheitsvorfällen und das Krisenmanagement;
- einen Rahmen für Cybersicherheitsübungen, um die Bereitschaft aller Betreiber zu stärken;
- Regeln für den Schutz des Informationsaustauschs;
- einen Rahmen für Überwachung, Benchmarking und Berichterstattung.
Der Netzkodex soll für high-risk und critical risk entities
gelten, die mithilfe der in ECII, Electricity Cybersecurity Impact Index, definierten Schwellenwerte ermittelt werden.
(Es existieren noch weitere EU-Verordnungen.)
Atomgesetz
Folgt
Branchenstandards
Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.
B3S
- Branchenspezifischer Sicherheitsstandard für Anlagen oder Systeme zur Steuerung / Bündelung elektrischer Leistung (B3S Aggregatoren), BDEW, Version 1.1, 29.04.2021
- Branchenspezifischer Sicherheitsstandard für Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (B3S Aggregatoren), Webseite des Bundesamts für Sicherheit in der Informationstechnik, Version 1.1
- Branchenspezifischer Sicherheitsstandard für die Verteilung von Fernwärme (Fernwärmenetze), BDEW, Version 1.1, 15.02.2021
- Branchenspezifischer Sicherheitsstandard für die Verteilung von Fernwärme (Fernwärmenetze), Webseite des Bundesamts für Sicherheit in der Informationstechnik, Version 1.1
- IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG, Bundesnetzagentur (BNetzA), Stand August 2015
- IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG, Bundesnetzagentur (BNetzA), Stand Dezember 2018
Industrienormen
- ISO/IEC 27019:2017 ist eine Empfehlung für Energieversorger, die Controls mit Schwerpunkt Prozesssteuerung, PLCs, Kommunikation, Smart Meters, Energie-Management, Smart Grids und angepasste Risiko-Methodiken enthält.
Weitere Informationen
Quellen
- Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
- Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 9 des Gesetzes vom 22. März 2023 (BGBl. 2023 I Nr. 88) geändert worden ist
- Gesetz für die Erhaltung, die Modernisierung und den Ausbau der Kraft-Wärme-Kopplung (Kraft-Wärme-Kopplungsgesetz - KWKG) vom 21. Dezember 2015 (BGBl. I S. 2498), das zuletzt durch Artikel 7 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818) geändert worden ist
- Gesetz für den Ausbau erneuerbarer Energien (Erneuerbare-Energien-Gesetz - EEG 2017) vom 21. Juli 2014 (BGBl. I S. 1066), das zuletzt durch Artikel 6 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818) geändert worden ist
- Gesetz über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen (Messstellenbetriebsgesetz - MsbG) vom 29. August 2016 (BGBl. I S. 2034), das zuletzt durch Artikel 90 des Gesetzes vom 20. November 2019 (BGBl. I S. 1626) geändert worden ist"
- Gesetz über die Umweltverträglichkeitsprüfung (UVPG) in der Fassung der Bekanntmachung vom 24. Februar 2010 (BGBl. I S. 94), das zuletzt durch Artikel 117 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Verordnung über Rohrfernleitungsanlagen (Rohrfernleitungsverordnung) vom 27. September 2002 (BGBl. I S. 3777, 3809), die zuletzt durch Artikel 224 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Verordnung über Allgemeine Bedingungen für die Versorgung mit Fernwärme (AVBFernwärmeV) vom 20. Juni 1980 (BGBl. I S. 742), die zuletzt durch Artikel 16 des Gesetzes vom 25. Juli 2013 (BGBl. I S. 2722) geändert worden ist
- IT-Sicherheit im Energiesektor, Überblick und Bibliothek der relevanten Dokumente, Bundesnetzagentur (BNetzA)
- EU Electricity Supply, EU electricity supply – sector-specific rules on cybersecurity (network code), European Commission