Erfahrungsbericht: Nicht jeder Energienetzbetreiber muss eine Zertifizierung gemäß IT-Sicherheitskatalog durchführen

Nicht jeder Netzbetreiber muss eine eigene Zertifizierung durchführen, um die Anforderungen des IT-Sicherheitskataloges zu erfüllen. Dabei ist nicht alleine die Größe des Unternehmens wesentlich. Entscheidend ist, ob er gengenüber der Bundesnetzagentur nachweisen kann, dass er keine Anlagen betreibt, die vom IT-Sicherheitskatalog erfasst sind. Die Süd IT hat bereits umfangreiche Erfahrungen gesammelt, Netzbetreiber mit ihrem bewährten Vorgehen bei der Argumentation gegenüber der Bundesnetzagentur erfolgreich zu unterstützten.

Wann muss ein Netzbetreiber tatsächlich die Zertifizierung durchführen?

Im Abschnitt D des IT-Sicherheitskataloges sind Kriterien aufgestellt, welche Anlagen in den Geltungsbereich fallen. Diese werden durch die FAQs zum Thema auf den Webseiten der Bundesnetzagentur (BNetzA) ergänzt. Letztlich können die Kriterien etwas vereinfacht auf die drei Kernfragen reduziert werden:

  • Werden durch den Netzbetreiber Schalthandlungen am Netz unter Verwendung von ITK-Systemen durchgeführt?
  • Würde ein Ausfall oder Manipulation von ITK Systemen des Netzbetreibers die Sicherheit des Netzbetriebes gefährden?
  • Sind für die Wiederherstellung der Energieversorgung nach einem Schwarzfall ITK Systeme des Netzbetreibers erforderlich?

Letztlich ist entscheidend, ob der Netzbetreiber selbst Anlagen betreibt, von denen ein Risiko für den sicheren Netzbetrieb ausgeht. Ist der Netzbetrieb vollständig zu einem Dienstleister ausgelagert, entfällt folglich ebenfalls die Zertifizierungspflicht.

Bei der Betrachtung sind dabei neben den aktiven Komponenten innerhalb des Netzes grundsätzlich auch alle mit dem Netz verbundenen Anlagen zu betrachten, die vom Netzbetreiber in irgendeiner Weise gesteuert werden. In vielen Fällen betreibt der Netzbetreiber solche Anlagen, die indirekt Einfluss auf das Netz nehmen, wie eine Steuerung von Erzeugungsanlagen oder Verbrauchern. Diese Anlagen müssen gegebenenfalls detailliert analysiert werden um das Risiko für einen sicheren Netzbetrieb zu bewerten.

Erstellung eines Gutachtens

Um eine Befreiung von der Zertifizierungspflicht zu erwirken, muss der Netzbetreiber gegenüber der BNetzA schlüssig nachweisen, dass von den Anlagen die er betreibt kein Risiko für den sicheren Netzbetrieb ausgeht. Für den praxisorientierten Netzbetreiber ist dabei oftmals nicht eindeutig, welche Anlagen hier auf welche Weise nach den Vorgaben des IT-Sicherheitskataloges zu bewerten sind. Zu diesem Zweck hat die Süd IT zusammen mit den Verbänden EGEVU, KOV und PEG ein standardisiertes Gutachten-Verfahren erarbeitet und dieses erfolgreich bei der BNetzA vorgestellt.
Das Vorgehen gliedert sich dabei in die Schritte:

  1. Telefonisches Erstgespräch zur Netzstruktur
  2. Vor-Ort Aufnahme der wesentlichen Leistungsdaten und Besichtigung der relevanten Anlagen
  3. Erstellung eines Gutachtens zur Vorlage bei der BNetzA.

In Schritt 1 werden dabei die grundsätzlichen Voraussetzungen für das Gutachtenverfahren abgeklärt. Schritt 2 dient der Erhebung aller Grundlagen für das Gutachten. Dabei werden in der Praxis immer wieder Anlagen identifiziert, die eigentlich in den Anwendungsbereich des IT-Sicherheitskataloges fallen. In diesen Fällen hat der Netzbetreiber die Wahl, die betroffenen Anlagen, sofern möglich, abzubauen oder eine Zertifizierung durchzuführen.

In jedem Fall sind die Aufwände vom Erstgespräch bis zur schriftliche Ausarbeitung des Gutachtens mit einer sorgfältigen Risikobewertung nur ein Bruchteil dessen, was für eine Zertifizierung aufgewendet werden müsste.

Nachweis gegenüber der Bundesnetzagentur

Das fertige Gutachten wird zusammen mit einem vorformulierten Anschreiben an die BNetzA übermittelt. In der Regel erfolgt dann innerhalb weniger Wochen eine Bestätigung durch die BNetzA, dass von einer Forderung zur Umsetzung der Zertifizierungspflicht abgesehen wird. Zumindest wurde in allen Fällen, welche die Süd IT bisher bearbeitet hat, diese Bestätigung ausgesprochen. Um sich in der Bestätigung nicht zu genau festzulegen, wählt dabei die BNetzA in der Regel die Formulierung „Da sich auf der Basis Ihres Sachvortrags jedenfalls keine Anhaltspunkte für mich ergeben haben, dass Ihre Einschätzung zur Nichtanwendbarkeit des IT-Sicherheitskatalogs offensichtlich falsch ist, werde ich davon absehen, nach Ablauf der Umsetzungsfrist zum 31.01.2018 die grundsätzlich erforderliche Zertifizierung Ihres Unternehmens zu verlangen“. Netzbetreiber ohne juristischen Beistand kommen bei dieser Formulierung schon einmal ins Grübeln.

Zusammen mit der Bestätigung macht die BNetzA in der Regel den Netzbetreiber auch auf haftungsrechtliche Konsequenzen bei fehlerhaften Angaben aufmerksam. Auch aus diesem Grund ist eine Bewertung durch einen unabhängigen Gutachter empfehlenswert. Zuletzt lässt die BNetzA den Netzbetreiber im Regelfall eine Formular unterschreiben, in dem er bestätigt wirklich keine Anlagen mit Gefährdungspotential zu betreiben, etwaige Änderungen der BNetzA umgehend mitzuteilen, und die Erklärung zur Nichtanwendbarkeit des IT-Sicherheitskataloges in regelmäßigen Abständen zu wiederholen.

Erfahrungen aus der Praxis

Die Süd IT hat zählt zu Ihrem Kundenkreis für das beschrieben Gutachten-Verfahren bereits über 40 Strom- und Gasnetzbetreiber. Dazu zählen kleinere Stromnetzbetreiber die keine Fernwirktechnik betreiben, aber auch größere Stadtwerke, die den Netzbetrieb im Wesentlichen outgesourced haben oder ihr Gas-Netz rein pneumatisch betreiben.

Dazu äußerte sich Marcus Hanff von den Stadtwerken Furth im Wald: „Herr Peter Untermann von der Süd IT, als der für uns zuständigen Mitarbeiter, überzeugte durch fachlich kompetente Unterstützung. Die Durchführung und Erstellung des Gutachtens erfolgte zeitnah und unkompliziert. Durch die Vorlage eines qualifizierten und vollumfänglichen Gutachtens zur Situation bei den Stadtwerken Furth im Wald durch die IT Süd an die BNetzA wurde bestätigt, das keine Anlagen mit Gefährdungspotential für den sicheren Netzbetrieb in unserem Versorgungsgebiet vorhanden sind und somit keine Zertifizierung nach IT-Sicherheitskatalog notwendig ist. Dies hat letztendlich zu erheblichen Kosteneinsparungen für die Stadtwerke Furth im Wald führt.“

Über die Süd IT AG

Die Münchner Süd-IT AG unterstützt vor allem mittelständische Unternehmen im Bereich Zertifizierung, Compliance und Informations-Sicherheitsmanagement. Die Kernleistungen rund um Auditing, Beratung und Vorbereitung von ISO/IEC 27001-Zertifizierungen können von Anwendern jederzeit erweitert werden. Für Aufbau sowie Optimierung von ISMS, IT-Sicherheitssystemen und IT-Infrastrukturen stehen gegenwärtig über 250 hochkarätige Spe-zialisten bereit. Sie liefern Unternehmen u.a. aus den Marktsegmenten Automotive, Medizin, Energie und Dienstleistungen komplette Lösungen aus einer Hand. Dabei verfolgt die Süd-IT das Konzept "Ihre Experten vor Ort" und ist daher mit mehreren Standorten im süddeutschen Raum sowie in Berlin und Rom kundennah aufgestellt.

Firmenkontakt und Herausgeber der Meldung:

Süd IT AG
Stahlgruberring 11
81829 München
Telefon: +49 (89) 4613505-12
Telefax: +49 (89) 4613505-99
http://www.sued-it.de

Ansprechpartner:
Dr. Stefan Krempl
IT-Sicherheit
Telefon: +49 (89) 4613505-12
E-Mail: krempl@sued-it.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.