This blogpost is only available in German.
Zu Beginn diesen Jahres ist die Novelle der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz („BSI-KritisV“) in Kraft getreten. Ziel der Verordnung ist die Etablierung und Sicherstellung besonderer IT-Sicherheitsstandards für kritische Infrastrukturen. Die Energiewirtschaft zählt zu den sicherheitsrelevanten Sektoren und ist von den aktuellen Änderungen betroffen. Mit der Novelle wird der Anwendungsbereich der BSI-KritisV erweitert; so werden etwa die relevanten Schwellenwerte für Stromerzeugungsanlagen herabgesenkt. Dadurch können auch weniger große Energieanlagen Gegenstand strenger Sicherheitsstandards sein – beispielsweise Gaskraftwerke und Windparks.
Moderne und sich stetig fortentwickelnde Informations- und Kommunikationstechnologien bieten zahlreiche Vorzüge und sind bereits heute fester Bestandteil unserer Gesellschaft. Allerdings sehen sich diese Systeme mitunter erheblichen Risiken durch Cyberangriffe ausgesetzt. Dass dies für den Sektor der Energieversorgung und damit die erneuerbaren Energien gilt, zeigt die stetig zunehmende Zahl von Cyberangriffen. So haben in den letzten Wochen gleich mehrere große Cyberangriffe für Aufsehen gesorgt, wie etwa auf Enercon und Nordex.
Energiesektor ist kritische Infrastruktur
Der Gesetzgeber hat diese Gefahr erkannt und versucht ein hinreichendes Schutzniveau für die Energieversorgung auf diversen normativen Ebenen zu errichten. Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik („BSI-Gesetz“) enthält hierfür wesentliche Vorschriften. Es normiert den rechtlichen Rahmen für das Bundesamt für Sicherheit in der Informationstechnik („BSI“); eine Bundesoberbehörde, zuständig für Fragen der IT-Sicherheit. In Verbindung mit den Aufgaben bzw. Kompetenzen des BSI folgen aus diesem Gesetz Pflichten für die Betreiber solcher Anlagen, die als Kritische Infrastruktur zu qualifizieren sind („KRITIS-Anlagen“). Darüber hinaus finden sich verstreut in anderen Gesetzen Normen, die teils speziellere, d.h. vorrangig anzuwendende, Regelungen vorsehen. Für den Sektor der Erneuerbaren Energien ist dies etwa hinsichtlich § 11 Energiewirtschaftsgesetz („EnWG“) der Fall.
Was genau unter den Begriff der KRITIS-Anlagen zu verstehen ist, ergibt sich indes aus der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz („BSI-KritisV“). Die BSI-KritisV definiert Begrifflichkeiten und diejenigen Sektoren, die auf Grund ihrer Bedeutung KRITIS-Anlagen aufweisen können. Für jeden dieser Sektoren bestimmt die BSI-KritisV Anlagenkategorien und Schwellenwerte, bei deren Annahme eine KRITIS-Anlage zu bejahen ist. Der Energiesektor gehört zu diesen relevanten Sektoren. Eine der hierunter aufgeführten Anlagenkategorien ist die der „Erzeugungsanlagen“.
Windenergie- und Photovoltaikanlagen betroffen
Am 1. Januar 2022 trat die neue Fassung der BSI-KritisV in Kraft. Mit ihr verbunden sind unter anderem die Adjustierung anzulegender Schwellenwerte von KRITIS-Anlagen. Außerdem wurden Begrifflichkeiten und Definitionen der BSI-KritisV geändert und neu eingeführt. Teil der für das Gemeinwesen relevanten Sektoren gemäß der BSI-KritisV ist derjenige der „Energie“. Unter den im Energiesektor aufgeführten Anlagenkategorien wiederum findet sich die der „Erzeugungsanlagen“ im Sinne des § 3 Nr. 18c EnWG, d.h. Erneuerbare-Energien-Anlagen wie etwa Windenergie- oder Photovoltaikanlagen. Erbringen dabei mehrere Anlagen in einem betriebstechnischen Zusammenhang dieselbe kritische Dienstleistung, gelten sie als eine Anlage im Sinne der BSI-KritisV. Dies gilt etwa für die Windenergieanlagen eines Windparks.
Außerdem stellt die BSI-KritisV die Kategorie der „Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung“ unter Schutz. Um KRITIS-Anlage zu gelten, müssen entsprechende Anlagen oder Systeme aber als Software bzw. IT-System eine tatsächlich steuernde Einflussnahme etwa auf elektrische Leistung produzierende Anlagen ermöglichen. Ein reines „Leserechte“ reicht nicht aus. Die BSI-KritisV selbst nennt Direktvermarktungsunternehmen als Beispiel im Rahmen dieser Kategorie. Darüber hinaus können etwa Systeme von Betriebsführern oder Wartungsunternehmen (Stichwort: Leitwarte), Umspannwerke für EE-Anlagen sowie virtuelle Kraftwerke können hierunter fallen, sofern durch diese eine den Schwellenwert übersteigende elektrische Leistung kontrolliert wird.
Schwellenwert auf 104 Megawatt abgesenkt
Die neue Fassung der BSI-KritisV sieht hier erhebliche Änderungen vor. Seit diesem Jahr gilt ein deutlich niedriger Schwellenwert für die beiden vorgenannten Kategorien: Er sinkt von 420 Megawatt (MW) auf 104 MW installierte Nettonennleistung. Unabhängig vom Schwellenwert unterliegen Erzeugungsanlagen stets der BSI-KritisV, wenn sie als Schwarzstartanlagen vereinbart sind. Dienen sie der Erbringung von Primärregelleistung, liegt der Schwellenwert bei 36 MW.
Durch die Änderungen der BSI-KritisV werden geschätzt 252 neue Betreiber erfasst, wovon 130 Betreiber dem Bereich der Stromerzeugung zuzuordnen sind. Möglicherweise hiervon Betroffene sollten also möglichst schnell die eigene Betreiberrolle überprüfen. Dies ist Pflicht eines jeden Betreibers selbst. Bei Annahme einer KRITIS-Anlage, ist die Frage der Verantwortlichkeit zu klären: Wer ist Betreiber dieser? Gemäß der BSI-KritisV sind Betreiber natürliche oder juristische Personen, die unter wirtschaftlichen, rechtlichen und tatsächlichen Umständen einen bestimmenden Einfluss auf Beschaffenheit und Betrieb einer KRITIS-Anlage ausüben. Dies können etwa die technischen Betriebsführer eines Umspannwerks sein, bei hinreichender Steuerungsmöglichkeit. Nicht erfasst sind etwa IT-Dienstleister, die nur unterstützende Tätigkeiten ausüben. Die Prüfung der eigenen vermeintlichen Betreiberrolle ist Pflicht der Betreiber selbst.
Welche Pflichten haben die Betreiber von KRITIS-Anlagen?
Grundlegend lassen sich die mit einer Einordnung als KRITIS-Anlage verbundenen Pflichten in die nachfolgenden zwei Kategorien einteilen: IT-Sicherheitsstandards sowie Registrierungs- bzw. Nachweis-/Meldepflichten.
Betreiber von KRITIS-Anlagen müssen einen bestimmten IT-Sicherheitsstandard einführen mit Zertifizierung bzw. Einzelnachweis sowie die Aufrechterhaltung sicherstellen und dies alle zwei Jahre nachweisen. Gegenstand dieses Standards ist grundsätzlich ein sogenanntes Informationssicherheits-Managementsystem („ISMS“) gemäß DIN EN ISO/IEC 27001. Die spezifische Ausgestaltung des IT-sicherheitstechnischen Mindeststandards hängt von der Kategorie der KRITIS-Anlage ab. Für die Betreiber von Windenergieanlagen ist der in Zusammenarbeit zwischen dem BSI und der Bundesnetzagentur erstellte IT-Sicherheitskatalog maßgeblich (vgl. § 11 Abs. 1b EnWG). Sofern etwa Betriebsführer oder Wartungsunternehmen KRITIS-Anlagen betreiben, wird der branchenspezifische Sicherheitsstandard durch den Bundesverband der Energie- und Wasserwirtschaft e.V. vorgegeben (vgl. § 8a Abs. 2 S. 1 BSI-Gesetz).
Daneben haben alle Betreiber von KRITIS-Anlagen diese beim BSI zu registrieren. Dabei ist auf Seiten des Betreibers auch eine Kontaktstelle zu benennen, die jederzeit erreichbar sein muss. Ferner treffen die Betreiber Meldepflichten gegenüber dem BSI im Falle von (erheblichen) Störungen ihrer IT-Systeme. Die konkrete Ausgestaltung der Meldepflicht variiert je nach Art der Störung und Schadensumfang. Verstöße gegen Vorschriften des BSI-Gesetzes können etwa behördliche Aufsichts- und Informationsmaßnahmen, Bußgelder bis zu zwei Millionen Euro sowie die zivilrechtliche Haftung ggü. Dritten zur Konsequenz haben.
IT-Sicherheit für nicht-kritische Infrastruktur
Handelt es sich bei einer Anlage nicht um eine kritische Infrastruktur, bedeutet dies nicht etwa die Freistellung von jeglichen Pflichten zur IT-Sicherheit. Auch die Betreiber nicht-kritischer Infrastruktur unterliegen Pflichten zur IT-Sicherheit – wenn auch nur in abgeschwächtem Umfang. Die Rechtsquellen hierfür variieren und ebenso das Maß an Verbindlichkeit. Wesentlicher Ausgangspunkt ist dabei die „Sorgfaltspflicht der Geschäftsleitung“, aus der mitunter zivilrechtliche Haftungsansprüche resultieren können. Demnach hat die Geschäftsführung geeignete Maßnahmen zu treffen, um einen hinreichenden IT-Sicherheitsstandard zu gewährleisten. Denkbare Maßnahmen sind etwa Risikomanagement- und Reporting-System, Aufbau von IT-Know-How verbunden mit klarem Verantwortungsbereich, Schulungen, Vor-Ort-Maßnahmen oder die Umsetzung technischer Regelwerke.
Ungeachtet dessen sollten IT-Sicherheitsmaßnahmen bereits aus wirtschaftlichem Eigeninteresse eingeführt und regelmäßig überprüft werden. Cyberattacken konzentrieren sich zunehmend weniger auf große Unternehmen. Vielmehr sind immer mehr Unternehmen zufällig im Rahmen sog. Ransomware-Angriffe betroffen. Diese bewirken einen Kontrollverlust über die betroffenen IT-Systeme und gehen oftmals mit der Forderung zur Zahlung von Lösegeld zwecks Systemfreigabe einher.
Fazit
Mit zunehmender Verknüpfung der erneuerbaren Energien durch Informations- und Kommunikationstechnologien sowie die zunehmende Dezentralisierung des Energiesektors ist die Etablierung und Weiterentwicklung von IT-Schutzstandards unausweichlich. Dies gilt umso mehr unter der Berücksichtigung der Stilllegung großer Kraftwerke, weshalb die systemische Relevanz auch kleinerer Anlagen wie etwa Windparks stetig zunimmt. Eine Anpassung der Schwellenwerte für Energieerzeugungsanlagen und insbesondere auch für Software zur Steuerung dieser ist daher sinnvoll. Die betroffenen Betreiber müssen sich nun konkret mit der Ausgestaltung der für sie erforderlichen IT-Sicherheit auseinandersetzen.
