IT-Sicherheit für Energieanlagen zukünftig unter noch strengeren regulatorischen Vorgaben

Noch sind die Vorgaben des bestehenden Regulierungspaketes in der Umsetzung, da stehen die Unternehmen der Branche vor neuen bzw. erweiterten gewaltigen Herausforderungen in Bezug auf die IT-Sicherheit.

IT-Sicherheitsgesetz 2.0 und Änderung der BSI-Kritisverordnung

Noch sind die Vorgaben des bestehenden Regulierungspaketes in der Umsetzung, da stehen die Unternehmen der Branche vor neuen bzw. erweiterten gewaltigen Herausforderungen in Bezug auf die IT-Sicherheit.

Das IT-Sicherheitsgesetz 2.0 wurde am Freitag, den 23. April 2021 vom Bundestag beschlossen. Damit werden umfangreiche Ergänzungen zum bestehenden Gesetz wirksam, z. B. eine Erweiterung auf die Verbrennung von Siedlungsabfällen und die verpflichtende Vorgabe zum Einsatz eines Angriffserkennungssystems. Zudem wurden kritische Komponenten definiert, deren Einsatz reguliert wurde und die Bußgelder für Nichtbeachtung der Gesetzesvorgaben deutlich angehoben. Es ist zu erwarten, dass die Veröffentlichung noch im Mai 2021 erfolgt und innerhalb der vorgegebenen Fristen dessen Umsetzung nachzuweisen ist.

Weiterhin wurde durch das Bundesministerium des Innern, für Bau und Heimat am 26. April 2021 eine Änderung der BSI-Kritisverordnung zur Konsultation durch die Verbände bereitgestellt. In dieser Änderung werden die Kriterien zur konkreten Definition kritischer Infrastrukturen in der Branche Energie teilweise erheblich verändert, z. B. der Grenzwert der Erzeugerleistung von 420 MW auf 36 MW abgesenkt. Damit würde sich der Geltungsbereich spezifischer Forderungen, z. B. der Nachweis einer Auditierung nach IT-Sicherheitskatalog der Bundesnetzagentur, gravierend auf eine Vielzahl von Erzeugungsanlagen erweitern. VGB sieht den Vorschlag als unverhältnismäßig an und wird sich in Kooperation mit dem BDEW in die entsprechende Verbändeanhörung einbringen, die am 26. Mai 2021 stattfinden wird. Gern können sich interessierte Unternehmen zusätzlich beteiligen und ihre Stellungnahme in der Kommentierungsphase bis zum 17. Mai 2021 einbringen.

An dieser Stelle möchten wir bereits jetzt auf die VGB-Veranstaltung „IT-Sicherheit für Energieanlagen“ hinweisen, die wir als Präsenzveranstaltung am 28. und 29. September 2021 in Essen durchführen werden. Dabei werden die Teilnehmer neben dem Erfahrungsaustausch über die Umsetzung bestehender Anforderungen konkrete Diskussionen zu den erweiterten und neuen Anforderungen führen. Eingeführt durch ein Lagebild vom BSI und eine Übersicht über das Regulierungspaket durch den BDEW wird sich der konkrete Informationsaustausch auch auf die Themen für Unternehmen des erweiterten Geltungsbereiches beziehen. Das Programm und die Möglichkeit zur Anmeldung sind in Kürze hier zu finden.