Der Hauptsitz der Bundesnetzagentur in Bonn. Quelle: Bundesnetzagentur
REGULIERUNG:
BDEW mahnt Änderung der Transparenzpflichten an
Das Bundeskabinett hat einen Entwurf des Gesetzes zur Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen und Anlagen verabschiedet.
Von einem „kohärenten System zur Stärkung der Resilienz“ ist in den Erläuterungen zu dem am 6. November vom Bundeskabinett abgesegneten Gesetzentwurf zum Kritis-Dachgesetz die Rede. Die Beamten aus dem Hause der federführenden
Innenministerin Nancy Faeser (SPD) weisen in ihren Ausführungen darauf hin, dass bei der Umsetzung der NIS-2-Richtlinie –
NIS steht für Network and Information Security – das bestehende Regelungswerk erweitert wird. So sind entsprechende Vorschriften im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) oder
im Energiewirtschaftsgesetz zu finden. Im Gegensatz dazu werden mit dem sogenannten Kritis-Dachgesetz „im Hinblick auf physische
Maßnahmen zur Stärkung der Resilienz kritischer Anlagen erstmals einheitliche bundesgesetzliche sektorenübergreifende Mindeststandards
normiert“. Es kommt allerdings auch die Auffassung der Bundesregierung zum Ausdruck, dass branchenspezifische Resilienzstandards
festgelegt werden sollen.
Als maßgebliche Behörde für den Energiesektor, die etwa Nachweise verlangen kann, dass Vorschriften zur Stärkung der Resilienz kritischer Infrastruktur eingehalten wurden, ist die Bundesnetzagentur vorgesehen. Das Gesetz ermächtigt die Behörde, auf einen Sicherheitskatalog zurückzugreifen. Im Rahmen einer Festlegung könne die Bundesnetzagentur somit Vorgaben zu Sicherheitsaudits, Zertifizierungen oder zu bestimmten Aufsichtsmaßnahmen machen.
Ausdrücklich werden dabei die Strom-, die Gas- und die Wasserstoffversorgung genannt. Um die Nachweisführung zu vereinheitlichen, nimmt das Gesetz Bezug auf den bestehenden Sicherheitskatalog der Bundesnetzagentur, der bereits im Nachweisverfahren zur Einhaltung der IT-Sicherheitsanforderungen an Netz- und Anlagenbetreiber im Strom- und Gassektor als Grundlage verwendet wird.
BDEW sieht Portale der öffentlichen Verwaltung kritisch
In erster Linie soll das Kritis-Dachgesetz den Betreibern kritischer Anlagen „konkrete Vorgaben zur Aufrechterhaltung, Stärkung oder Herstellung ihrer Handlungsfähigkeit und Resilienz“ machen. Ziel sei es, das Risiko einer Beeinträchtigung des Geschäftsbetriebs zu verringern und im Fall einer tatsächlichen Störung oder eines Ausfalls, den Geschäftsbetrieb aufrechtzuerhalten oder zumindest schnell wieder herzustellen.
Jeder Betreiber entsprechender Infrastruktur muss künftig geeignete Maßnahmen auf seine spezifischen Risiken in Resilienzplänen niederlegen. Dazu gehören etwa die Bildung von Notfallteams, Schulungen für Beschäftigte, Objektschutz und Maßnahmen zur Sicherstellung der Kommunikation, Notstromversorgung und Maßnahmen zur Ausfallsicherheit und Ersatzversorgung.
Die Betreiber kritischer Infrastrukturen werden künftig aber auch verpflichtet, Vorfälle über ein Onlineportal des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des BSI zu melden. „Die Erkenntnisse helfen dabei, die Widerstandskraft kritischer Anlagen weiter zu erhöhen“, heißt es von Seiten des Bundesinnenministeriums.
Den nun vorgelegten Gesetzentwurf bezeichnet Kerstin Andreae als „wichtigen Schritt zur Stärkung der Resilienz unserer kritischen Infrastrukturen“. Die Vorsitzende der Hauptgeschäftsführung des Bundesverbandes der Energie- und Wasserwirtschaft (BDEW) hebt lobend hervor, dass der Entwurf das Nachweisverfahren der bestehenden Sicherheitskataloge der Bundesnetzagentur für das Kritis-Dachgesetz akzeptiert. Dies sei ein wesentlicher Beitrag zum Bürokratieabbau und zur Verzahnung der Gesetze zur IT-Sicherheit und der Resilienz kritischer Infrastruktur. Dafür habe sich der Verband starkgemacht.
Andreae gibt allerdings zu bedenken, dass das Gesetz zustimmungspflichtig ist und die Bundesländer eine zentrale Rolle beim Vollzug der Kritis-Sektoren Wasser, Abwasser und Siedlungsabfallentsorgung innehaben. Damit das Gesetz noch vor dem Ende der Legislaturperiode in Kraft treten könne, müsse das weitere Verfahren zügig vorangehen. Sollte dies nicht der Fall sein, müssten Bund und Länder den Risiken für die kritische Infrastruktur trotzdem besondere Beachtung schenken.
„Zudem ist das Kritis-DachG zwar ein wichtiges Puzzlestück zur Stärkung der Resilienz in den kritischen Infrastrukturen, nicht aber das erhoffte Dach. Die sicherheitspolitische Lage verlangt über das Gesetz hinausreichende Neuregelungen der Zuständigkeiten der Gefahrenabwehrbehörden“, so die BDEW-Hauptgeschäftsführerin. Insbesondere bei den Veröffentlichungs- und Transparenzpflichten sei ein „Neustart“ notwendig. Denn kritische Energieanlagen dürften nicht über Portale der öffentlichen Verwaltung mit Leistungs- und Geodaten aufzufinden sein. Als Beispiel nennt sie das Marktstammdatenregister. „Diese Portale gefährden sogar den Schutz kritischer Infrastrukturen“, betont Andreae.
Als maßgebliche Behörde für den Energiesektor, die etwa Nachweise verlangen kann, dass Vorschriften zur Stärkung der Resilienz kritischer Infrastruktur eingehalten wurden, ist die Bundesnetzagentur vorgesehen. Das Gesetz ermächtigt die Behörde, auf einen Sicherheitskatalog zurückzugreifen. Im Rahmen einer Festlegung könne die Bundesnetzagentur somit Vorgaben zu Sicherheitsaudits, Zertifizierungen oder zu bestimmten Aufsichtsmaßnahmen machen.
Ausdrücklich werden dabei die Strom-, die Gas- und die Wasserstoffversorgung genannt. Um die Nachweisführung zu vereinheitlichen, nimmt das Gesetz Bezug auf den bestehenden Sicherheitskatalog der Bundesnetzagentur, der bereits im Nachweisverfahren zur Einhaltung der IT-Sicherheitsanforderungen an Netz- und Anlagenbetreiber im Strom- und Gassektor als Grundlage verwendet wird.
BDEW sieht Portale der öffentlichen Verwaltung kritisch
In erster Linie soll das Kritis-Dachgesetz den Betreibern kritischer Anlagen „konkrete Vorgaben zur Aufrechterhaltung, Stärkung oder Herstellung ihrer Handlungsfähigkeit und Resilienz“ machen. Ziel sei es, das Risiko einer Beeinträchtigung des Geschäftsbetriebs zu verringern und im Fall einer tatsächlichen Störung oder eines Ausfalls, den Geschäftsbetrieb aufrechtzuerhalten oder zumindest schnell wieder herzustellen.
Jeder Betreiber entsprechender Infrastruktur muss künftig geeignete Maßnahmen auf seine spezifischen Risiken in Resilienzplänen niederlegen. Dazu gehören etwa die Bildung von Notfallteams, Schulungen für Beschäftigte, Objektschutz und Maßnahmen zur Sicherstellung der Kommunikation, Notstromversorgung und Maßnahmen zur Ausfallsicherheit und Ersatzversorgung.
Die Betreiber kritischer Infrastrukturen werden künftig aber auch verpflichtet, Vorfälle über ein Onlineportal des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des BSI zu melden. „Die Erkenntnisse helfen dabei, die Widerstandskraft kritischer Anlagen weiter zu erhöhen“, heißt es von Seiten des Bundesinnenministeriums.
Den nun vorgelegten Gesetzentwurf bezeichnet Kerstin Andreae als „wichtigen Schritt zur Stärkung der Resilienz unserer kritischen Infrastrukturen“. Die Vorsitzende der Hauptgeschäftsführung des Bundesverbandes der Energie- und Wasserwirtschaft (BDEW) hebt lobend hervor, dass der Entwurf das Nachweisverfahren der bestehenden Sicherheitskataloge der Bundesnetzagentur für das Kritis-Dachgesetz akzeptiert. Dies sei ein wesentlicher Beitrag zum Bürokratieabbau und zur Verzahnung der Gesetze zur IT-Sicherheit und der Resilienz kritischer Infrastruktur. Dafür habe sich der Verband starkgemacht.
Andreae gibt allerdings zu bedenken, dass das Gesetz zustimmungspflichtig ist und die Bundesländer eine zentrale Rolle beim Vollzug der Kritis-Sektoren Wasser, Abwasser und Siedlungsabfallentsorgung innehaben. Damit das Gesetz noch vor dem Ende der Legislaturperiode in Kraft treten könne, müsse das weitere Verfahren zügig vorangehen. Sollte dies nicht der Fall sein, müssten Bund und Länder den Risiken für die kritische Infrastruktur trotzdem besondere Beachtung schenken.
„Zudem ist das Kritis-DachG zwar ein wichtiges Puzzlestück zur Stärkung der Resilienz in den kritischen Infrastrukturen, nicht aber das erhoffte Dach. Die sicherheitspolitische Lage verlangt über das Gesetz hinausreichende Neuregelungen der Zuständigkeiten der Gefahrenabwehrbehörden“, so die BDEW-Hauptgeschäftsführerin. Insbesondere bei den Veröffentlichungs- und Transparenzpflichten sei ein „Neustart“ notwendig. Denn kritische Energieanlagen dürften nicht über Portale der öffentlichen Verwaltung mit Leistungs- und Geodaten aufzufinden sein. Als Beispiel nennt sie das Marktstammdatenregister. „Diese Portale gefährden sogar den Schutz kritischer Infrastrukturen“, betont Andreae.
© 2025 Energie & Management GmbH
Mittwoch, 06.11.2024, 17:47 Uhr
Mittwoch, 06.11.2024, 17:47 Uhr
teilen
teilen
teilen
teilen
Mehr zum Thema
Lex Sauerland: Erste Klagen gegen Zeitspiel der Behörden
