KRITIS-Sektor Energie

Im KRITIS-Sektor Energie erbringen KRITIS-Betreiber vier kritische Dienstleistungen zur Versorgung der Allgemeinheit mit Energie — von der Erzeugung bis zur Verteilung an Endkunden der Energieträger Strom, Gas, Öl und Fernwärme:

Stromversorgung: Erzeugung, Übertragung, Verteilung und Handel
Gasversorgung: Förderung, Transport, Verteilung und Handel
Kraftstoff- und Heizölversorgung: Förderung, Herstellung, Transport, Verteilung
Fernwärmeversorgung: Erzeugung und Verteilung

Erbringen Betreiber diese kritischen Dienstleistungen in eigenen Anlagen und überschreiten dabei Schwellenwerte (meist 500 Tsd. versorgte Personen), werden sie KRITIS-Betreiber.

KRITIS-Betreiber

Änderungen IT-Sicherheitsgesetz 2.0

Mit der KRITIS-Verordnung 2021 und 2023 ändern sich die Anlagen und Schwellenwerte:

Strom: Anlagen Mess-Stelle und Erzeugungsanlage mit Wärmeauskopplung fallen weg, Dezentrale Erzeugungsanlage und Speicheranlage werden in (1.1.1) Erzeugungsanlage zusammengefasst. Schwellenwerte sinken: Erzeugungsanlagen und Steuerung/Bündelung auf 104 bzw. 36 MW (Primärregelleistung §2 Nr. 8 StromNZV), Stromhandel auf 3700 GWh.
Gas: Neu sind zentrale Steuerung, Gasgrenzübergabestelle und Gashandelssystem.
⚡ 2023: LNG-Anlage als neue Anlage zur Regasifizierung
Öl: Neu sind Zentrale Steuerung in der Rohölförderung und Kommerzielle Steuerung im Mineralölhandel (Clearing-Instanzen oder Kollaborationslösungen ...). Neuer Schwellenwert 63,7 Tsd Tonnen Flugkraftstoff für bestehende Anlagen.
Fernwärme: Neue Anlage zentrale Steuerung.

In der neuen EU-Regulierung NIS2 und RCE enthält der Energiesektor auch Wasserstoff.

DE Das neue IT-Sicherheitsgesetz 2.0

Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ 12 Folien PDF ∙ Mai 2021

Pflichten als Kritische Infrastruktur

KRITIS-Betreiber unterliegen der KRITIS-Regulierung mit Pflichten für IT-Sicherheit:

Identifikation KRITIS-Anlagen: Betreiber müssen sich selbst als KRITIS identifizieren.
Registrierung als KRITIS: Meldung der KRITIS-Anlagen und Registrierung beim BSI
KRITIS-Meldepflichten: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI
KRITIS-Geltungsbereich: KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
Cyber Security in KRITIS: Management von Sicherheit (ISMS), Notfällen (BCM) und Risiken, Umsetzung von Angriffserkennung und technischen Maßnahmen, Sicherheitsstandards.
KRITIS-Prüfungen: Umsetzung der Cyber Security Maßnahmen durch Prüfung nachweisen

Anlagen

Die folgenden KRITIS-Anlagen sind seit 2021 und 2023 im Sektor Energie definiert.

BSI-KritisV August 2023, Anhang 1
Nr.	Anlage	Beschreibung	Schwellenwert
1.	Stromversorgung (Dienstleistung)
1.1.1	Erzeugungsanlage	im Sinne §3 Nr. 18c EnWG, auch Speicherung und dezentrale Erzeugung im Sinne §3 Nr. 11 EnWG	104 MW 0 MW 36 MW	Netto-Nennleistung Schwarzstart-Anlage Primärregel
1.1.2	Steuerung/Bündelung elektrischer Leistung	im Sinne §3 Nr. 17 EEG	104 MW 0 MW 36 MW	Netto-Nennleistung Schwarzstart-Anlage Primärregel
1.2.1	Übertragungsnetz	im Sinne §3 Nr. 32 EnWG	3700 GWh/Jahr	Arbeit
1.3.1	Stromverteilernetz	im Sinne §3 Nr. 37 EnWG	3700 GWh/Jahr	Arbeit
1.4.1	Stromhandel	Anlage/Handelssystem für Spothandel, Terminhandel deutsches Martgebiet	3700 GWh/Jahr	Handelsvolumen
2.	Gasversorgung (Dienstleistung)
2.1.1	Gasförderanlage	Förderung von Erdgas	5190 GWh/Jahr	gefördertes Gas
2.1.2	Standortübergreifende Steuerung	Steuerung/Überwachung standortübergreifend anderer Anlagen	5190 GWh/Jahr	gefördertes Gas
2.2.1	Fernleitungsnetz	im Sinne §3 Nr. 19 EnWG	5190 GWh/Jahr	entnommene Arbeit
2.2.2	Gasgrenzübergabestelle		5190 GWh/Jahr	durchgeleitete Arbeit
2.2.3	Gasspeicher	im Sinne §3 Nr. 31 EnWG	5190 GWh/Jahr	durchgeleitete Arbeit
2.2.4 NEU	LNG-Anlage	Verflüssigung von Gas oder Einfuhr, Entladung und Wiederverdampfung von verflüssigtem Gas	5190 GWh/Jahr	Technische Regasifizierungskapazität
2.3.1	Gasverteilernetz	im Sinne §3 Nr. 37 EnWG	5190 GWh/Jahr	entnommene Arbeit
2.4.1	Gashandel	Anlage/Handelssystem für Gashandel	5190 GWh/Jahr	Handelsvolumen
3.	Kraftstoff- und Heizölversorgung (Dienstleistung)
3.1.1	Ölförderanlage	Förderung von Rohöl	4.4 Mio t/Jahr	gefördertes Rohöl
3.1.2	Raffinerie	Destillation oder Raffination von Rohöl im Sinne 4.3, Anlage 1 UVPG	420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	erzeugter Kraftstoff Flugkraftstoff Heizöl
3.1.3	Standortübergreifende Steuerung	Steuerung/Überwachung standortübergreifend anderer Anlagen	4.4 Mio t/Jahr 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	gefördertes Rohöl erzeugter Kraftstoff Flugkraftstoff Heizöl
3.2.1	Mineralölfernleitung	Rohrfernleitung im Sinne der RohrFLtgV	4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	umgeschlagenes Rohöl Kraftstoff Flugkraftstoff Heizöl
3.2.2	Öl- und Produktenlager	Lagerung von Rohöl oder Mineralölprodukten	4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	umgeschlagenes Rohöl Kraftstoff Flugkraftstoff Heizöl
3.2.3	Standortübergreifende Steuerung	Steuerung/Überwachung standortübergreifend anderer Anlagen	4.4 Mio t/Jahr 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	transportiertes Rohöl umgeschlagenes Rohöl Kraftstoff Flugkraftstoff Heizöl
3.3.1	Aggregatoren zum Vertrieb von Kraftstoff und Heizöl	Disposition von Tankkraftwagen, Kesselwagen, Binnenschiffen zum Vertrieb von Kraftstoff und Heizöl	420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	verteilter Kraftstoff Flugkraftstoff Heizöl
3.3.2	Tankstellennetz	Verbindung von Tankstellen, Flugfeldbetankungsanlagen zur zentralen Versorgung mit Kraftstoff	420 Tsd t/Jahr 63,75 Tsd t/J	verteilter Kraftstoff Flugkraftstoff
3.3.3	Standortübergreifende Steuerung	Steuerung/Überwachung standortübergreifend anderer Anlagen	420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	verteilter Kraftstoff Flugkraftstoff Heizöl
3.4.1	Zentrale kommerzielle Steuerung	Steuerung/Betriebsplanung mehrere Anlagen, kommerzielle Abwicklung, Clearing/Kollaboration	4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	Abgewickeltes Rohöl Kraftstoff Flugkraftstoff Heizöl
4.	Fernwärmeversorgung (Dienstleistung)
4.1.1	Heizwerk	Erzeugung von Wärme zur Belieferung von Endkunden im Sinne der AVBFernwärmeV	2300 GWh/Jahr	ausgeleitete Wärmeenergie
4.1.2	Heizkraftwerk	Erzeugung von elektrischer Energie und Nutzwärme nach §2 Nr. 14 KWKG	2300 GWh/Jahr	ausgeleitete Wärmeenergie
4.2.1	Fernwärmenetz	Versorgung der Allgemeinheit mit Wärme	250 Tsd	angeschlossene Haushalte
4.3.1	Standortübergreifende Steuerung	Steuerung/Überwachung standortübergreifend anderer Anlagen	250 Tsd 2300 GWh/Jahr	angeschlossene Haushalte ausgeleitete Wärmeenergie

Schwellenwerte

Strom

Der Schwellenwert für Erzeugung (1.1.1) und Steuerung/Bündelung (1.1.2) berechnet sich aus dem angenommenen Durchschnittsverbrauch von 1815 kWh Strom pro Person für 500.000 versorgte Personen:

Netto-Nennleistung von 104 MW
Netto-Nennleistung von 0 MW (Schwarzstartanlage)
Netto-Nennleistung von 36 MW (Erbringung von Primärregelleistung)

Die 36 MW für Primärregelleistung präqualifizierter Anlagen ergeben sich aus EU-Verordnung 2016/631. Der Wert 3.700 GWh/Jahr für die Übertragung und Verteilung (1.2.1, 1.3.1) wird nicht (mehr) hergeleitet.

Der Schwellenwert für Stromhandel (1.4.1) ergibt sich aus dem angenommenen Gesamthandelsvolumen von 600 TWh und durchschnittlichem Handelsvolumen von 7460 KWh pro Person für 500.000 versorgte Personen:

Abgewickeltes Handelsvolumen von 3,7 TWh (3700 GWh) pro Jahr

Gas

Der Schwellenwert für die Anlagen 2.1.1 bis 2.4.1 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 10380 kWh Gas pro Person für 500.000 versorgte Personen:

≈ 5190 GWh Gas pro Jahr

Kraftstoff und Heizöl

Der Schwellenwert für die Anlagen 3.1.1 bis 3.4.1 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 0,84t Kraftstoff, 1,24t leichten Heizöl und 0,1275t Flugkraftstoff pro Person pro Jahr für 500.000 versorgte Personen, mit der Annahme von einer Tonne Rohöl pro 0,14t Heizöl.

420 Tsd Tonnen Kraftstoff pro Jahr
63,75 Tsd Tonnen Flugkraftstoff pro Jahr
620 Tsd Tonnen Heizöl pro Jahr
4400 Tsd Tonnen Rohöl pro Jahr

Fernwärme

Der Schwellenwert für die Anlagen 4.1.1 bis 4.1.2 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 4,528 MWh Energie pro Person für 500.000 versorgte Personen, der Schwellenwert für 4.2.1 direkt über Haushalte.

2300 GWh Wärmeenergie pro Jahr
250 Tsd angeschlossene Haushalte

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren. Bei angeschlossenen Haushalten muss dies zum 30. Juni des Vorjahres ermittelt werden.

Regulierung und Standards

Weitere Gesetze

Energieversorger fallen neben der KRITIS-Regulierung auch unter das EnWG — mit unterschiedlichen Anforderungen für IT-Sicherheit bei Betreibern von Energieanlagen, Energieversorgungsnetzen, Kernkraft und weiteren. Manche werden als KRITIS-Betreiber durch §8a BSIG reguliert, andere wiederum durch §11 EnWG oder das ATG.

Energiewirtschaftsgesetz

Folgt

Atomgesetz

Folgt

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

Branchenspezifischer Sicherheitsstandard für Anlagen oder Systeme zur Steuerung / Bündelung elektrischer Leistung (B3S Aggregatoren), BDEW, Version 1.1, 29.04.2021
Branchenspezifischer Sicherheitsstandard für Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (B3S Aggregatoren), Webseite des Bundesamts für Sicherheit in der Informationstechnik, Version 1.1
Branchenspezifischer Sicherheitsstandard für die Verteilung von Fernwärme (Fernwärmenetze), BDEW, Version 1.1, 15.02.2021
Branchenspezifischer Sicherheitsstandard für die Verteilung von Fernwärme (Fernwärmenetze), Webseite des Bundesamts für Sicherheit in der Informationstechnik, Version 1.1

Industrienormen

ISO/IEC 27019:2017 ist eine Empfehlung für Energieversorger, die Controls mit Schwerpunkt Prozesssteuerung, PLCs, Kommunikation, Smart Meters, Energie-Management, Smart Grids und angepasste Risiko-Methodiken enthält.

Weitere Informationen

Quellen

Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz - EnWG) vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 4 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818) geändert worden ist
Gesetz für die Erhaltung, die Modernisierung und den Ausbau der Kraft-Wärme-Kopplung (Kraft-Wärme-Kopplungsgesetz - KWKG) vom 21. Dezember 2015 (BGBl. I S. 2498), das zuletzt durch Artikel 7 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818) geändert worden ist
Gesetz für den Ausbau erneuerbarer Energien (Erneuerbare-Energien-Gesetz - EEG 2017) vom 21. Juli 2014 (BGBl. I S. 1066), das zuletzt durch Artikel 6 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818) geändert worden ist
Gesetz über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen (Messstellenbetriebsgesetz - MsbG) vom 29. August 2016 (BGBl. I S. 2034), das zuletzt durch Artikel 90 des Gesetzes vom 20. November 2019 (BGBl. I S. 1626) geändert worden ist"
Gesetz über die Umweltverträglichkeitsprüfung (UVPG) in der Fassung der Bekanntmachung vom 24. Februar 2010 (BGBl. I S. 94), das zuletzt durch Artikel 117 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
Verordnung über Rohrfernleitungsanlagen (Rohrfernleitungsverordnung) vom 27. September 2002 (BGBl. I S. 3777, 3809), die zuletzt durch Artikel 224 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
Verordnung über Allgemeine Bedingungen für die Versorgung mit Fernwärme (AVBFernwärmeV) vom 20. Juni 1980 (BGBl. I S. 742), die zuletzt durch Artikel 16 des Gesetzes vom 25. Juli 2013 (BGBl. I S. 2722) geändert worden ist