Gebäude der Bundesnetzagentur in Bonn. Quelle: Bundesnetzagentur
REGULIERUNG:
Bundesnetzagentur definiert kritische IT-Funktionen
Die Bundesnetzagentur hat kritische Funktionen im Energiesektor festgelegt, um IT-Komponenten in Strom- und Gasnetzen künftig stärker zu kontrollieren. Energieverbände bemängeln sie.
Die Bundesnetzagentur in Bonn hat erstmals festgelegt, welche Funktionen in Energieversorgungsnetzen und Energieanlagen als
„kritisch“ gelten. Ziel der Maßnahme ist es, potenzielle Sicherheitsrisiken beim Einsatz von IT-Komponenten in der Energieinfrastruktur
frühzeitig zu erkennen und zu verhindern.
Betreiber von Strom- und Gasnetzen müssen künftig anzeigen, wenn sie neue IT-Komponenten in sensiblen Bereichen einsetzen wollen. Das Bundesministerium des Innern (BMI) kann den Einsatz untersagen – insbesondere bei Komponenten nicht vertrauenswürdiger Hersteller.
„Mit der Festlegung kritischer Funktionen schaffen wir die Grundlage für präventive Handlungsmöglichkeiten mit Bezug auf kritische Komponenten in der kritischen Infrastruktur des Energiesektors“, erläuterte der Präsident der Behörde, Klaus Müller. Deutschland schließe damit eine bisher bestehende Sicherheitslücke.
Die Definition der kritischen Funktionen erfolgte in Zusammenarbeit mit dem BMI, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie auf Basis von Fachgruppengesprächen. Zu den nun als kritisch eingestuften Funktionen gehören unter anderem Systeme zur Anlagensteuerung sowie Komponenten für das Engpassmanagement.
Neue Anzeige- und Prüfpflichten
Die neue Regelung verpflichtet Betreiber kritischer Infrastrukturen dazu, den geplanten Einbau bestimmter IT-Komponenten vorab beim BMI zu melden. Vor der erstmaligen Inbetriebnahme erfolgt eine Sicherheitsbewertung. Ziel sei es, Risiken für die öffentliche Sicherheit sowie für die Verfügbarkeit, Integrität und Vertraulichkeit der Systeme frühzeitig zu erkennen. Die Vorgaben gelten nicht nur für neue Komponenten – auch bereits verbaute Technik kann künftig von der Behörde beanstandet und deren weiterer Einsatz untersagt werden.
Hintergrund der Maßnahme ist die zunehmende Digitalisierung kritischer Infrastrukturen und die veränderte geopolitische Bedrohungslage. Laut Bundesnetzagentur nimmt mit diesen Entwicklungen der Schutzbedarf im Strom- und Gassektor weiter zu. Die jetzige Festlegung ergänzt die bereits bestehenden IT-Sicherheitskataloge aus den Jahren 2015 und 2018, die bisher vor allem auf die sichere Betriebsführung fokussiert waren. Jetzt rückt der Einsatz sicherer Komponenten in den Vordergrund.
Kritik von VKU und BDEW
Der Verband kommunaler Unternehmen (VKU) sieht in der Neuregelung zwar richtige Ansätze, kritisiert jedoch den aktuellen Entwurf des ergänzenden IT-Sicherheitskatalogs als unausgereift. „Ohne das NIS2-Umsetzungsgesetz ist der Entwurf nur halbgar. Das verunsichert“, sagte VKU-Hauptgeschäftsführer Ingbert Liebing. Der VKU fordert eine Verschiebung des Inkrafttretens, um die Vorgaben mit dem künftigen Rechtsrahmen der Netzwerk- und Informationssicherheitsrichtlinie 2.0 (NIS2) abzustimmen.
Besonders problematisch sei, dass Stadtwerke und Energieversorger ihre Systeme innerhalb kurzer Zeit doppelt anpassen müssten – einmal nach der Bundesnetzagentur, später nach dem neuen Gesetz. Das führe zu vermeidbarem Mehraufwand und höheren Kosten. Auch kritisiert der VKU, dass die Bundesnetzagentur für bestimmte Vorschläge derzeit keine gesetzliche Ermächtigungsgrundlage habe – etwa zur Regulierung der Office-IT in Energieunternehmen.
Ein weiterer Kritikpunkt betrifft die Auslegungsspielräume für Auditoren bei der Zertifizierung von Informationssicherheits-Managementsystemen (ISMS). Durch die geplante Einführung internationaler Normen ohne offizielle deutsche Übersetzung entstünden neue Unsicherheiten.
Der Anspruch, bestimmte Risiken kategorisch auszuschließen, sei aus VKU-Sicht unrealistisch: „100 Prozent Sicherheit gibt es nicht – auch dann nicht, wenn man sie in Verordnungstexte schreibt“, so Liebing. Gleichzeitig lobt der VKU die Unterscheidung zwischen IT für kritische Anlagen und für die übrige Unternehmens-IT. Dadurch könnten begrenzte Ressourcen gezielt in sicherheitsrelevante Bereiche gelenkt werden.
Auch der Bundesverband der Energie- und Wasserwirtschaft (BDEW) fordert Nachbesserungen – insbesondere bei der Finanzierung. Hauptgeschäftsführerin Kerstin Andreae spricht sich dafür aus, Investitionen in den Schutz kritischer Infrastrukturen von der Schuldenbremse auszunehmen. Diese sollten – angesichts hybrider und militärischer Bedrohungen – über den Verteidigungshaushalt oder entsprechende Ausnahmetatbestände finanziert werden.
Die Festlegung Kritischer Infrastruktur steht im Internet auf der Seite der Bundesnetzagentur bereit.
Die VKU-Stellungnahme zur Festlegung Kritischer Infrastruktur ist auf der Internetseite des Verbandes zu finden.
Betreiber von Strom- und Gasnetzen müssen künftig anzeigen, wenn sie neue IT-Komponenten in sensiblen Bereichen einsetzen wollen. Das Bundesministerium des Innern (BMI) kann den Einsatz untersagen – insbesondere bei Komponenten nicht vertrauenswürdiger Hersteller.
„Mit der Festlegung kritischer Funktionen schaffen wir die Grundlage für präventive Handlungsmöglichkeiten mit Bezug auf kritische Komponenten in der kritischen Infrastruktur des Energiesektors“, erläuterte der Präsident der Behörde, Klaus Müller. Deutschland schließe damit eine bisher bestehende Sicherheitslücke.
Die Definition der kritischen Funktionen erfolgte in Zusammenarbeit mit dem BMI, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie auf Basis von Fachgruppengesprächen. Zu den nun als kritisch eingestuften Funktionen gehören unter anderem Systeme zur Anlagensteuerung sowie Komponenten für das Engpassmanagement.
Neue Anzeige- und Prüfpflichten
Die neue Regelung verpflichtet Betreiber kritischer Infrastrukturen dazu, den geplanten Einbau bestimmter IT-Komponenten vorab beim BMI zu melden. Vor der erstmaligen Inbetriebnahme erfolgt eine Sicherheitsbewertung. Ziel sei es, Risiken für die öffentliche Sicherheit sowie für die Verfügbarkeit, Integrität und Vertraulichkeit der Systeme frühzeitig zu erkennen. Die Vorgaben gelten nicht nur für neue Komponenten – auch bereits verbaute Technik kann künftig von der Behörde beanstandet und deren weiterer Einsatz untersagt werden.
Hintergrund der Maßnahme ist die zunehmende Digitalisierung kritischer Infrastrukturen und die veränderte geopolitische Bedrohungslage. Laut Bundesnetzagentur nimmt mit diesen Entwicklungen der Schutzbedarf im Strom- und Gassektor weiter zu. Die jetzige Festlegung ergänzt die bereits bestehenden IT-Sicherheitskataloge aus den Jahren 2015 und 2018, die bisher vor allem auf die sichere Betriebsführung fokussiert waren. Jetzt rückt der Einsatz sicherer Komponenten in den Vordergrund.
Kritik von VKU und BDEW
Der Verband kommunaler Unternehmen (VKU) sieht in der Neuregelung zwar richtige Ansätze, kritisiert jedoch den aktuellen Entwurf des ergänzenden IT-Sicherheitskatalogs als unausgereift. „Ohne das NIS2-Umsetzungsgesetz ist der Entwurf nur halbgar. Das verunsichert“, sagte VKU-Hauptgeschäftsführer Ingbert Liebing. Der VKU fordert eine Verschiebung des Inkrafttretens, um die Vorgaben mit dem künftigen Rechtsrahmen der Netzwerk- und Informationssicherheitsrichtlinie 2.0 (NIS2) abzustimmen.
Besonders problematisch sei, dass Stadtwerke und Energieversorger ihre Systeme innerhalb kurzer Zeit doppelt anpassen müssten – einmal nach der Bundesnetzagentur, später nach dem neuen Gesetz. Das führe zu vermeidbarem Mehraufwand und höheren Kosten. Auch kritisiert der VKU, dass die Bundesnetzagentur für bestimmte Vorschläge derzeit keine gesetzliche Ermächtigungsgrundlage habe – etwa zur Regulierung der Office-IT in Energieunternehmen.
Ein weiterer Kritikpunkt betrifft die Auslegungsspielräume für Auditoren bei der Zertifizierung von Informationssicherheits-Managementsystemen (ISMS). Durch die geplante Einführung internationaler Normen ohne offizielle deutsche Übersetzung entstünden neue Unsicherheiten.
Der Anspruch, bestimmte Risiken kategorisch auszuschließen, sei aus VKU-Sicht unrealistisch: „100 Prozent Sicherheit gibt es nicht – auch dann nicht, wenn man sie in Verordnungstexte schreibt“, so Liebing. Gleichzeitig lobt der VKU die Unterscheidung zwischen IT für kritische Anlagen und für die übrige Unternehmens-IT. Dadurch könnten begrenzte Ressourcen gezielt in sicherheitsrelevante Bereiche gelenkt werden.
Auch der Bundesverband der Energie- und Wasserwirtschaft (BDEW) fordert Nachbesserungen – insbesondere bei der Finanzierung. Hauptgeschäftsführerin Kerstin Andreae spricht sich dafür aus, Investitionen in den Schutz kritischer Infrastrukturen von der Schuldenbremse auszunehmen. Diese sollten – angesichts hybrider und militärischer Bedrohungen – über den Verteidigungshaushalt oder entsprechende Ausnahmetatbestände finanziert werden.
Die Festlegung Kritischer Infrastruktur steht im Internet auf der Seite der Bundesnetzagentur bereit.
Die VKU-Stellungnahme zur Festlegung Kritischer Infrastruktur ist auf der Internetseite des Verbandes zu finden.
© 2025 Energie & Management GmbH
Donnerstag, 26.06.2025, 13:29 Uhr
Donnerstag, 26.06.2025, 13:29 Uhr
teilen
teilen
teilen
teilen
Mehr zum Thema
RechtEck: Stromerzeugung mit (Batterie-)Köpfchen?
