Ko-Autor:
Dr. Markus Böhme LL.M
Rechtsanwalt im Bereich Energierecht im Düsseldorfer Büro der internationalen Wirtschaftskanzlei Taylor Wessing
Voigt, IT-Sicherheitsrecht, 2018, 287 Seiten, 79,80 Euro
Pflichten und Haftung im Unternehmen. Der Praxisleitfaden liefert praxisorientierte Hinweise zur Einhaltung der anwendbaren IT-Sicherheitspflichten und zu den Haftungsrisiken bei Sicherheitsdefiziten.
Hier im Blog werden einige zentrale Auszüge veröffentlicht.
Eine verlässliche Energieversorgung ist für den heutigen Lebensalltag unabdingbar, da Strom und Gas für vielfältige Einsatzzwecke benötigt werden und das Leben anderenfalls schnell zum Erliegen käme. Insofern hat der Gesetzgeber der IT-Sicherheit im Energiesektor besondere Aufmerksamkeit geschenkt und mit dem „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) und der Bundesnetzagentur (BNetzA) zwei Behörden besondere Kompetenzen übertragen. Das verdient einen kleinen Überblick zu den Anforderungen an IT-Sicherheit für Netzbetreiber und Erzeugungsanlagen im Allgemeinen und im Einzelnen zu den Fragen, wer Adressat der Regelungen ist, welche Anforderungen sich in technischer Hinsicht ergeben und welche Bußgelder aus einer mangelnden Beachtung der gesetzlichen Vorgaben resultieren.
Instruktiv zur Entwicklung des IT-Sicherheitsrechts insgesamt dieser große Überblick:
- Folge 1:  Schallbruch, IT-Sicherheitsrecht – Schutz kritischer Infrastrukturen und staatlicher IT-Systeme, CR 2017, 648
- Folge 2: Schallbruch, IT-Sicherheitsrecht – Schutz digitaler Dienste, Datenschutz und Datensicherheit, CR 2017, 798
- Folge 3: Schallbruch, IT-Sicherheitsrecht – Abwehr von IT-Angriffen, Haftung und Ausblick, CR 2018, 215
Mindeststandards: Die BNetzA musste im Benehmen mit dem BSI sogenannte Mindeststandards für die IT-Sicherheit im Energiesektor erstellen und veröffentlichen. Dies ist im August 2015 zunächst mit einem „IT-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen“ geschehen. Hieran schloss sich jüngst im Dezember 2018 der „IT-Sicherheitskatalog für Betreiber von Energieanlagen“ an. Die letztgenannte Regelung erstreckt sich auf alle Energieanlagen, die nach der BSI-Kritis-Verordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind.
Bedarf: Die Notwendigkeit derartiger IT-Sicherheitsregelungen zeigt sich an zahlreichen Hackerangriffen, denen der Energiesektor in der Vergangenheit ausgesetzt war. Zu erwähnen ist hierbei etwa ein Hackerangriff auf ein Kraftwerk in der Ukraine, der dafür sorgte, dass im Dezember 2015 700.000 ukrainische Haushalte für Stunden nicht mit Elektrizität versorgt waren. Die involvierten Behörden warnen somit beständig, dass auch der deutsche Energiesektor, insbesondere die Stromversorger, derartigen Angriffen ausgesetzt sein könnten (vgl. etwa BSI, „Cyber-Angriffe auf deutsche Energieversorger“ PM v. 13.6.2018).
Den IT-Sicherheitspflichten aus dem EnWG unterliegen gemäß § 11 Abs. 1a und 1b EnWG Betreiber von Energieversorgungsnetzen i.S.d. § 3 Nr. 4, 16 EnWG sowie Betreiber von Energieanlagen, die mittels BSI-Kritis-Verordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind. Diese unterfallen als KRITIS-Betreiber grundsätzlich auch den Pflichten des BSIG, die jedoch angesichts der bereichsspezifischen Regelungen des EnWG zurücktreten.
2.       IT-Sicherheitsstandard
Unternehmen, die Gas- oder Stromnetze betreiben, sowie die Betreiber von Energieanlagen müssen angemessene Schutzvorkehrungen aufrechterhalten. Dadurch soll ein angemessener Schutz der Anlagen erreicht werden, die für einen sicheren Netzbetrieb notwendig sind. Gesetzlich wird dabei zwischen den Pflichten der Betreiber von Energieversorgungsnetzen und von Energieanlagen differenziert. So legt die BNetzA zusammen mit dem BSI Sicherheitsstandards für die jeweils betroffenen Unternehmen fest, § 11 Abs. 1a Satz 2, Abs. 1b Satz 2 EnWG.
Daraus ergeben sich nicht zu unterschätzende praktische Vorteile: Während die Bestimmung eines angemessenen Schutzniveaus etwa auf Grundlage von BSIG, TMG und TKG aufgrund der erforderlichen Einzelfallprüfung praktische Schwierigkeiten bereiten kann (s. Voigt, IT-Sicherheitsrecht, Rz. 362 ff.), konkretisiert der jeweilige Katalog der Sicherheitsanforderungen genau, welche IT-Sicherheitsmaßnahmen zu ergreifen sind.
a)Â Â Â Â Â Â Â Betreiber von Energieversorgungsnetzen
Gemäß § 11 Abs. 1a EnWG umfasst der Betrieb von sicheren Energieversorgungsnetzen insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Ein angemessener Schutz liegt vor,
wenn der Katalog der Sicherheitsanforderungen von BNetzA und BSI eingehalten und dies vom Betreiber dokumentiert worden ist, § 11 Abs. 1a Satz 4 EnWG.
Der Sicherheitskatalog für Betreiber von Energieversorgungsnetzen wurde bereits im August 2015 herausgeben und konkretisiert die Mindest-IT-Sicherheitsstandards. Die Kernforderungen des Sicherheitskatalogs sind:
- der sichere Betrieb der Telekommunikations- und EDV-Systeme zur Netzsteuerung;
- die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC 27001 und die entsprechende Zertifizierung des Unternehmens;
- die kontinuierliche Überprüfung und Verbesserung der Prozesse;
- die Erstellung eines Netzstrukturplans mit allen IT-Komponenten;
- die Benennung eines IT-Sicherheitsbeauftragten, der u.a. der BNetzA Informationen zu den unternehmensinternen IT-Sicherheitsmaßnahmen liefern kann.
Die Einführung des Informationssicherheits-Managementsystems gewährleistet einen ganzheitlichen IT-Sicherheitsansatz im Unternehmen. Einzelmaßnahmen, wie der Einsatz von Virenprogrammen und Firewalls, könnten die Sicherheit der Energieversorgungsnetze nicht ausreichend gewährleisten. Der maßgebliche Standard DIN/IEC 27001 sieht für eine umfassende Sicherheitslösung nicht nur allgemeine Sicherheitsvorgaben vor, sondern über die Norm ISO/IEC TR 27019 auch konkrete Vorgaben für den Energieversorgungssektor. Gegenüber der BNetzA müssen Unternehmen die Einhaltung der Vorgaben des IT-Sicherheitskatalogs durch Vorlage einer Kopie ihrer DIN/IEC 27001-Zertifizierung nachweisen. Wichtig ist hierbei, dass ein Netzbetreiber auch dann nicht von den Pflichten nach § 11 Abs. 1a EnWG entbunden wird, wenn die Anwendungen, Systeme und Komponenten, die den Sicherheitsanforderungen des Katalogs entsprechen müssen, im Wege des Outsourcings ausgelagert werden. Vielmehr muss der Netzbetreiber dann im Wege vertraglicher Vereinbarungen sicherstellen, dass der beauftragte Dienstleister die Sicherheitsanforderungen des Katalogs der BNetzA einhält.
b)Â Â Â Â Â Â Â Betreiber von Energieanlagen
Mit § 11 Abs. 1b EnWG gibt es eine dem Abs. 1a entsprechende IT-Sicherheitspflicht für die Betreiber von Energieanlagen, sofern diese KRITIS-Betreiber i.S.d. BSIG und an ein Energieversorgungsnetz angeschlossen sind. Hintergrund der Regelung ist, dass eine umfassende Absicherung der Energieversorgung nur über eine Abstimmung der Sicherheitsstandards für Netzbetreiber und die betroffenen Energieanlagen gewährleistet werden kann, da diese technisch eng miteinander verbunden sind (BT-Drs. 18/4096, S. 33). Betroffene Unternehmen müssen einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind, § 11 Abs. 1b Satz 1 EnWG. Der entsprechende Nachweis erfolgt wie bei den Betreibern von Energieversorgungsnetzen über die Einhaltung eines von der BNetzA im Benehmen mit dem BSI zu verabschiedenden IT-Sicherheitskatalogs.
Dieser IT-Sicherheitskatalog wurde jüngst im Dezember 2018 erstellt und veröffentlicht. Die enthaltenen Sicherheitsanforderungen entsprechen im Wesentlichen denen des zuvor dargestellten Sicherheitskatalogs für Betreiber von Energieversorgungsnetzen. Unterschiede ergeben sich jedoch dahingehend, dass zwar die Erstellung eines Netzstrukturplans nicht vorgesehen ist, aber im Hinblick auf die Risikobehandlung strengere Maßstäbe gelten (vgl. bereits Gehrmann/Voigt, CR 2017, 93, 96). Treten etwa im Rahmen der Risikoeinschätzung Risiken für zwingend betriebsnotwendige Anwendungen, Systeme und Komponenten zutage, dürfen diese nicht akzeptiert werden.
Zum Nachweis darüber, dass die vorstehenden Anforderungen des IT-Sicherheitskatalogs umgesetzt wurden, hat der Betreiber der Energieanlage der BNetzA bis zum 31.3.2021 den Abschluss des Zertifizierungsverfahrens durch Vorlage einer Kopie des Zertifikats mitzuteilen.
3.       Meldepflichten
§ 11 Abs. 1c EnWG schafft für KRITIS-Betreiber aus dem Sektor Energie eine spezialgesetzliche Meldepflicht, die die allgemeine Meldepflicht nach § 8b Abs. 4 BSIG verdrängt, aber mit dieser weitestgehend wortgleich ist. Zur Kommunikation mit dem BSI muss von den betroffenen Unternehmen eine jederzeit erreichbare Kontaktstelle eingerichtet werden, vgl. § 11 Abs. 1c Satz 1 EnWG a.E. Das BSI empfiehlt als Kontaktstelle ein Funktionspostfach, um eine Erreichbarkeit von 24 Stunden an sieben Tagen pro Woche sicherzustellen.
Nach § 11 Abs. 1c EnWG sind dem BSI unverzüglich erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse zu melden, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen können oder bereits geführt haben. Inhalt und Anforderungen an die Meldung entsprechen grundsätzlich denen aus der allgemeinen Meldepflicht nach § 8b Abs. 4 BSIG (BT-Drs. 18/4096, S. 33). So ermöglicht § 11 Abs. 1c Satz 3 EnWG auch für Energieunternehmen die Möglichkeit einer pseudonymen Meldung (s. Voigt, IT-Sicherheitsrecht, Rz. 377 ff.).
4.       Verletzungsfolgen
Bis zur Verabschiedung des NIS-UmsetzungsG sah das EnWG keine Sanktionsregelungen für Verstöße gegen die vorbeschriebenen IT-Sicherheitspflichten vor. Diese normative Lücke wurde mit Art. 3 NIS-UmsetzungsG geschlossen. So sind gem. § 95 Abs. 1 Nr. 2a, 2b i.V.m. Abs. 5 EnWG folgende Verstöße mit einer Geldstrafe bis zu 100.000 Euro bußgeldbewährt (§ 95 Abs. 2 S. 1 EnWG):
- Ein Unternehmen hält den Katalog von Sicherheitsanforderungen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig ein;
- ein Unternehmen nimmt eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vor.