IT-Sicherheitskatalog für Netzbetreiber: BNetzA untersagt bisher übliche Ausnahmen von der Zertifizierungspflicht bei Betriebsführung durch Dritte

PrintMailRate-it

veröffentlicht am 13. April 2021

 

Bei der Betriebsführung durch Dritte hat der Netzbetreiber die Netzführung an einen Dienstleister (Betriebsführer) ausgelagert. In der Vergangenheit konnten sich Netzbetreiber in diesen Konstellationen oftmals von der Zertifizierungspflicht nach dem IT-Sicherheitskatalog § 11 Abs. 1a EnWG befreien lassen und mussten nur die entsprechenden Zertifikate des Betriebsführers vorlegen. Diese Praxis hat die BNetzA nun deutlich eingeschränkt. Hierdurch entsteht bei betroffenen Netzbetreibern ein unmittelbarer Handlungsdruck mit Umsetzungsfrist bis zum 30.11.2022.

Betreiber von Energieversorgungsnetzen sind nach § 11 Abs. 1a EnWG verpflichtet, die Anforderungen des IT- Sicherheitskatalogs der Bundesnetzagentur umzusetzen (insbesondere die Einführung eines Informationssicherheits-Managementsystems) und dies auch per Zertifikat nachzuweisen.


Viele Betreiber von Energieversorgungsnetzen unterhalten keine eigene Leitstelle, um ihre eigenen Energieanlagen überwachen und / oder steuern zu können. Aus Wirtschaftlichkeitsgründen werden diese Energieanlagen über die Leitstelle anderer Netzbetreiber mit betrieben (sogenannter Dritter).
Bislang konnten Netzbetreiber den oben genannten Nachweis durch Vorlage eines Zertifikats des oder der anderen Netzbetreiber erbringen.


Mit dem Schreiben „Mitteilung bezüglich der Zertifizierung nach dem IT-Sicherheitskatalog § 11 Abs. 1a EnWG im Falle der Betriebsführung durch Dritte” vom 19.01.2021, hat die Bundesnetzagentur dieses Vorgehen nun untersagt. Dies hat auch zur Folge, dass Netzbetreiber, die ihre Gesetzeskonformität bisher durch Zertifikate von Dritten nachgewiesen haben, aktuell keinen gültigen Nachweis zur Umsetzung der Anforderungen des IT-Sicherheitskatalogs haben. Künftig sind alle Netzbetreiber, die Systeme, Anwendungen oder Komponenten im Geltungsbereich des IT-Sicherheitskataloges betreiben, verpflichtet sich selbst zertifizieren lassen. Ausnahmen bestehen, wenn eine akkreditierte Zertifizierungsstelle explizit festgestellt hat, dass ein Betreiber nicht zertifizierbar ist. Auch Netzbetreiber, in deren Netz keine IKT-Systeme im Geltungsbereich des IT-Sicherheitskatalogs zum Einsatz kommen, sind nicht zur Vorlage eines Zertifikats gegenüber der Bundesnetzagentur verpflichtet.


Da der Bundesnetzagentur bewusst ist, dass die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach IT-Sicherheitskatalog und dessen Zertifizierung einen hohen zeitlichen und personellen Aufwand verursacht, wurde eine Umsetzungsfrist bis zum 30.11.2022 gesetzt. Bis zu diesem Zeitpunkt müssen entsprechende Netzbetreiber eine Kopie des Zertifikats vorlegen können. Damit besteht bei betroffenen Netzbetreibern ein unmittelbarer und dringender Handlungsbedarf.

 


Gerne unterstützen wir Sie bei der Betroffenheitsanalyse, der Diskussion von Lösungsmöglichkeiten oder auch der Einführung eines ISMS und dessen Zertifizierung. Sprechen Sie uns gerne an!

 

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *
Frage *
Datenschutzerklärung *

Einwilligung

Helfen Sie uns, Spam zu bekämpfen.


Captcha image
Show another codeAnderen Code generieren



​​​*Rödl GmbH Rechtsanwaltsgesellschaft Steuerberatungsgesellschaft Wirtschaftsprüfungsgesellschaft

Folgen Sie uns

LinkedIn Banner

Aus dem Newsletter

Kontakt

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Dimitry Kulbitskiy

Prüfungsassistent, CISA

Manager

+49 221 9499 094 57

Anfrage senden

Wir beraten Sie gern!

Energiewirtschaft
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu