Anlässlich der Anhörung sagte Martin Weyand, BDEW-Hauptgeschäftsführer: „Der BDEW begrüßt, dass mit der Verordnung erstmals definiert wird, was eine kritische Infrastruktur im Sinne des IT-Sicherheitsgesetzes ist. Mit der Verordnung leistet Deutschland seinen Beitrag zu einheitlichen Standards und Meldepflichten.
Dies ist ein wichtiger Schritt, um Energie- und Wasserinfrastrukturen wirksam vor Cyber-Attacken zu schützen. Für den Bereich Wasser und Abwasser arbeiten wir mit Hochdruck im Branchenarbeitskreis des Bundesamtes für Sicherheit in der Informationstechnik an den spezifischen Mindeststandards, die den Stand der Technik darstellen sollen.
Die Standards werden auf internationalen und nationalen technischen Regelungen und Entwicklungen basieren. Zusätzlich bereiten die Regelwerkssetzer für Wasser und Abwasser, DVGW und DWA, spezielle Merkblätter für den Schutz der IT-Sicherheit vor. Diese stellen eine Anbindung an das technische Sicherheitsmanagement in der Branche her. IT-Schutz ist heute ein wesentlicher Teilaspekt des Gesamtschutzes der Anlagen.“

Verband sieht Nachbesserungsbedarf im Energiebereich

Nachbesserungsbedarf sieht Weyand allerdings noch mit Blick auf die Energiewirtschaft: „Für den Energiesektor sollte, wie für andere Wirtschaftsbereiche auch, eine Übergangsfrist von sechs Monaten gelten, bis die Meldepflichten für IT-Sicherheitsvorfälle greifen.
Es ist nicht verständlich, warum nur für diesen Bereich keine Übergangsfristen gelten sollen. Außerdem sollten die Schwellenwerte, ab wann eine Anlage als kritische Infrastruktur gilt, insbesondere im Sektor Gas für Förderanlagen und Netze auf Grundlage des tatsächlichen Gasverbrauchs auf 5.750 GWh erhöht werden.
Auch die Schwellenwerte für Gasspeicher sollten aufgrund der saisonalen Schwankungen der Speichernutzung erhöht werden. Angemessen wäre hier ein Schwellenwert für die Kapazität von 11.500 GWh. Um die Anwendbarkeit für die Praxis zu gewährleisten, muss die Verordnung zudem die bereits etablierten energiewirtschaftlichen Begriffe verwenden. Im derzeitigen Entwurf der Verordnung ist das noch nicht immer der Fall.“

Hintergrund

Betreiber Kritischer Infrastrukturen aus dem Energie-, Wasser- und Abwasserbereich werden im Zuge des IT-Sicherheitsgesetzes zur Umsetzung von IT-Sicherheitsmindeststandards und zur Meldung von IT-Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) verpflichtet. Das Gesetz selbst adressiert jedoch nur allgemein die entsprechenden Sektoren.
Erst durch die BSI-KritisV wird konkret bestimmt, welche Einrichtungen, Anlagen oder Teile von Anlagen die oben genannten Standards und Meldepflichten zu erfüllen haben. Betroffen sind im Energiesektor Betreiber von Strom-/Gasnetzen, Kraftwerken, Gasspeichern und auch Direktvermarkter.
Im Wassersektor sind hauptsächlich Betreiber von großen Trinkwassergewinnungsanlagen und Wassernetzen betroffen. Im Bundesverband der Energie- und Wasserwirtschaft sind rund 110 Energieversorgungsunternehmen und rund 25 Wasserversorgungsunternehmen als kritische Infrastrukturbetreiber von der Verordnung erfasst und damit über 90 Prozent der betroffenen Unternehmen in dem Sektor Energie und Wasser organisiert.(iw)