Beitrag

Auswirkungen der neuen ISO/IEC 27002:2022 auf zertifizierte ISMS Di 17.05.2022

Zertifizierungspflicht für Betreiber und Betriebsführer – Neuerungen für Gasnetz-, Stromnetz- und Energieanlagenbetreiber

Mit der „Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog § 11 Abs. 1a und 1b EnWG im Fall einer Betriebsführung durch Dritte“ der Bundesnetzagentur vom 29.03.2022 werden zwei wichtige Änderungen vorgenommen:

  • Es entfallen annähernd alle Ausnahmen hinsichtlich einer Zertifizierung; damit sind insbesondere auch diejenigen Betreiber zukünftig zertifizierungspflichtig, die sich bislang auf ein Zertifikat ihres Betriebsführers gestützt haben;
  • auch Betriebsführer müssen ihr Informationssicherheits-Managementsystem (ISMS) nach IT-Sicherheitskatalog zertifizieren lassen.

In der Vergangenheit gab es die Möglichkeit, dass Betreiber, „deren Systeme, Anwendungen und Komponenten […] vollständig von einem oder mehreren Dritten betrieben werden („Betriebsführung durch Dritte“)“ kein Zertifikat gegenüber der Bundesnetzagentur vorlegen mussten. Diese Möglichkeit ist jetzt entfallen. (Eine Ausnahme verbleibt jedoch, wenn „keine Systeme, Anwendungen und Komponenten zum Einsatz kommen, die für einen sicheren Netzbetrieb notwendig sind“.)

Damit sind nun auch solche Strom- und Gasnetz- sowie Energieanlagenbetreiber aufgefordert, ein ISMS zu etablieren und zertifizieren zu lassen, die einen Dienstleister mit dem Betrieb ihrer Anlage betraut haben.

Keine Regel ohne Ausnahme

Die Mitteilung der BNetzA enthält noch eine interessante Formulierung: „Voraussetzung ist stets, dass die beteiligten Akteure auch tatsächlich eine zertifizierungsfähige Unternehmensstruktur vorweisen können.“ Unter welchen Bedingungen diese Voraussetzung jedoch nicht gegeben ist – diese Ausnahme also greifen könnte – bleibt leider unklar. Unserer Einschätzung nach wird die Praxis der Prüfung und Freistellung durch die Bundesnetzagentur zeigen, welche Unternehmensstrukturen nicht zertifizierungsfähig sind.

Ferner sehen wir mit der vorliegenden „Mitteilung“ ein weiteres Rechtskonstrukt, um neben Gesetzen, Richtlinien und Verordnungen Marktteilnehmer zu verpflichten – in diesem Fall die Betriebsführer. Denn mit diesem Rechtskonstrukt „Mitteilung“ ergeht an die Betriebsführer die Verpflichtung, sich für den „Betrieb von Systemen, Anwendungen oder Komponenten, die im Geltungsbereich der IT-Sicherheitskataloge liegen“ zertifizieren zu lassen. Es ist also hier ein Informationssicherheits-Managementsystem (ISMS) gem. ISO/IEC 27001 unter Berücksichtigung der ISO/IEC 27019 zu etablieren und von akkreditierten Stellen gem. Konformitätsbewertungsprogramm gem. §11 Abs. 1a bzw. 1b EnWG zertifizieren zu lassen.

Angemerkt sei, dass weder im Energiewirtschaftsgesetz (EnWG) noch in den beiden IT-Sicherheitskatalogen gem. §11 Abs. 1a und 1b EnWG Betriebsführer – oder Dienstleister – adressiert sind.

Angemerkt sei ferner, dass die Bundesnetzagentur leider unserer Empfehlung aus der Konsultationsphase nicht gefolgt ist und den Begriff „Betriebsführer“ nicht (legal-)definiert hat. Sicherlich gibt es glasklare Konstellationen, wo ein Betriebsführer in alleiniger Verantwortung ein Kraftwerk „fährt“ – auf vertraglicher Basis für einen Betreiber; diese Betreibergesellschaften sind dabei häufig sehr kleine – eigentlich eher virtuelle – Gesellschaften, die keinerlei operative Aktivitäten ausüben. Daneben sind aber auch vielfältige Konstellationen vorstellbar, bei denen ein beauftragter Dienstleister Tätigkeiten in Bezug auf den „Betrieb von Systemen, Anwendungen oder Komponenten, die im Geltungsbereich der IT-Sicherheitskataloge liegen“ durchführt. Sind alle Dienstleister stets als Betriebsführer zu klassifizieren?

Übrigens wird in Abs. 3 zu Nr. 2 der Mitteilung ein weiteres spannendes Ausnahme-Szenario dargestellt: das Konzernprivileg. Gemeint ist, wenn innerhalb eines Konzerns verschiedene Konzerngesellschaften den Betreiber bzw. den Betriebsführer darstellen. Wichtig ist in solchen Szenarien, dass der Konzern Durchgriffsrechte hat: „Dies kann beispielsweise durch Beherrschungsrechte im Sinne des §§ 15, 18 AktG erfolgen.“

Die Regelungen der Mitteilung gelten sowohl

  • für Strom- und Gasnetzbetreiber gem. §11 Abs. 1a EnWG als auch
  • für Energieanlagenbetreiber gem. §11 Abs. 1b EnWG.

Zum Abschluss der Mitteilung werden noch Fristen genannt bis zu denen eine Zertifizierung nach den IT-Sicherheitskatalogen nachgewiesen werden muss:

  • Für diejenigen Betreiber, die sich bislang auf ein Betriebsführer-Zertifikat gestützt haben und sich nunmehr selber zertifizieren lassen müssen, gilt die Frist bis zum 31.03.2024.
  • Für diejenigen Betriebsführer, die neu unter die Regelungen des IT-Sicherheitskatalogs fallen und sich nunmehr auch zertifizieren lassen müssen, gilt die Frist ebenfalls bis zum 31.03.2024.

Zu den übrigen Änderungen bei der Zertifizierung von Netz- und Energieanlagenbetreibern, die die Bundesnetzagentur kürzlich erlassen hat, sei auf unsere Beiträge „1b-KBP aktualisiert“  und „Neue Vorgaben für Netzbetreiber-Zertifizierung“ verwiesen.

Von Dr. Sönke Maseberg in der Rubrik cert News