Sehr Antragsteller/in
vielen Dank für Ihre Anfrage vom 18.04.2021, die wir gerne im Folgenden beantworten möchten.
In § 11 EnWG werden Betreiber von Energienetzen zum angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme für einen sicheren Netzbetrieb verpflichtet.
1. Wie wird "Telekommunikations- und elektronische Datenverarbeitungssysteme für einen sicheren Netzbetrieb" in der Praxis definiert? Welche Geltungsbereiche haben die Zertifikate üblicherweise?
Der Geltungsbereich richtet sich nach dem IT-Sicherheitskatalog folgend §11 Abs.1a EnWG. Dieser findet Anwendung auf "[...] alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind. Enthalten sind demnach zumindest alle TK- und EDV-Systeme des Netzbetreibers, welche direkt Teil der Netzsteuerung sind, d.h. unmittelbar Einfluss nehmen auf die Netzfahrweise. Daneben sind auch TK- und EDV-Systeme im Netz betroffen, die selbst zwar nicht direkt Teil der Netzsteuerung sind, deren Ausfall jedoch die Sicherheit des Netzbetriebs gefährden könnten."
"Die Ermittlung der im Einzelfall betroffenen Anwendungen, Systeme und Komponenten eines Netzes erfolgt durch den jeweiligen Netzbetreiber selbst unter Beachtung der in diesem IT-Sicherheitskatalog vorgegebenen Kriterien."
Der Geltungsbereich der Zertifikate ist laut Konformitätsbewertungsprogramm durch den Betreiber festzulegen, da dieser im Einzelfall individuell sein kann. Ein Beispiel hierzu wäre "[...] für den Geltungsbereich Zentrale und dezentrale Anwendungen, Systeme und Komponenten für den sicheren Netzbetrieb in den Sparten Strom und Gas [...]"
2. Gibt es Ausnahmen von den Verpflichtungen und in welchen Fällen werden diese gewährt?
Es werden Ausnahmen gewährt, wenn ein Netzbetreiber gegenüber der Bundesnetzagentur darlegt, dass er keine Systeme, Anwendungen und Komponenten betreibt, die in den Geltungsbereich des IT-Sicherheitskatalogs gemäß § 11 Absatz 1a EnWG fallen. In diesen Fällen besteht keine Umsetzungs- und Zertifizierungspflicht für die Anforderungen des IT-Sicherheitskatalogs.
Über eine verbindliche Erklärung zur Nichtanwendbarkeit des IT-Sicherheitskatalogs verpflichten sich o.g. Netzbetreiber dazu, bei jeder künftigen Veränderung in der Netzinfrastruktur die Anwendbarkeit des IT-Sicherheitskatalogs erneut zu prüfen. Werden dabei Telekommunikations- und elektronische Datenverarbeitungssysteme identifiziert, die in den Anwendungsbereich des IT-Sicherheitskatalogs fallen, verpflichtet sich der Netzbetreiber dazu, die Bundesnetzagentur hierüber unverzüglich und unaufgefordert zu informieren und ein Zertifizierungsverfahren gem. IT-Sicherheitskatalog einzuleiten. Diese Erklärung ist alle zwei Jahre bei der Bundesnetzagentur einzureichen.
3. Das EnWG sieht Bußgelder bei Nichteinhaltung der o. g. Anforderung vor. Gab es seit der Verpflichtung zur Zertifizierung Bußgelder? Wenn ja, wie häufig wurden diese verhängt (bitte nach Jahren)? Wie hoch waren die Bußgelder?
Bisher wurden keine Bußgelder verhängt.
4. Wurden im Verlauf der Zertifizierungen oder im Zuge der Wiederholungszertifizierung Zertifikate ausgesetzt, entzogen oder für ungültig erklärt? Wenn ja, wie häufig kam dies vor und was waren die Gründe?
Dies kann und muss im Rahmen der Zertifizierung und Wiederholungszertifizierung erfolgen, sofern im Audit festgestellt wird, dass der IT-Sicherheitskatalog nicht erfüllt ist. Die Bundesnetzagentur wird darüber im Rahmen der Kundenliste von Zertifizierungsstellen informiert, führt darüber jedoch keine separate Statistik. Die Aufgabe der Bundesnetzagentur besteht an dieser Stelle darin, zu überwachen, dass aktive Netzbetreiber nach dem IT-Sicherheitskatalog zertifiziert sind.
Mit freundlichen Grüßen