Zertifizierungspflicht von Energienetzbe-treibern bei Betriebsführung durch Dritte

Zukünftig müssen Netzbetreiber in der Regel auch dann eine Zertifizierung nach IT-Sicherheitskatalog durchführen, wenn sie die Betriebsführung ausgelagert haben

(PresseBox) ( München, )
Netzbetreiber müssen gemäß §11 Abs. 1a EnWG den Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sicherstellen. Der Nachweis erfolgt durch eine Zertifizierung gemäß den Vorgaben des „IT-Sicherheitskatalog gemäß § 11 Abs. 1a Energiewirtschaftsgesetz“ der Bundesnetzagentur.

In einigen Fällen haben Energienetzbetreiber die Betriebsführung ihres Energieversorgungsnetzes an Dritte, den Betriebsführer, ausgelagert. Damit erlosch bisher in der Regel auch die Pflicht des Netzbetreibers eine eigene Zertifizierung nach dem IT-Sicherheitskatalog durchzuführen. Mit einem Schreiben hat die Bundesnetzagentur diese  Netzbetreiber adressiert. In Zukunft müssen diese in der Regel selbst eine Zertifizierung nachweisen. Ausnahmen davon sind jedoch in einem begrenztem Umfang möglich.

Netzbetreiber, die den Betrieb Ihres Netzes ausgelagert haben, konnten bisher relativ einfach dieser oft lästige und kostenträchtige Pflicht entkommen. Zukünftig ist dies schwieriger geworden. Mit Recht weist die BNetzA darauf hin, dass Netzbetreiber in Zukunft grundsätzlich selbst zertifizieren müssen. Zum Teil folgt dies aus den allgemeingültigen Zertifizierungsvorgaben der ISO/IEC 17021. Dazu macht es durchaus Sinn, dass Netzbetreiber eine eigene Zertifizierung anstreben müssen, wenn zumindest Teilprozesse im Unternehmen  angesiedelt sind, die in den Geltungsbereich der IT-Sicherheitskatalogs fallen. Ebenso wenn Netzbetreiber sich Durchgriffsrechte auf die Systeme oder Weisungsbefugnisse vorbehalten.

In Zukunft müssen daher nicht nur der Betriebsführer sondern auch der Netzbetreiber eine eigene Zertifizierung nach IT-Sicherheitskatalog nachweisen, wenn Sie den Netzbetrieb nicht so weit ausgelagert haben, dass sie nicht mehr zertifizierfähig sind. Dabei ist zu beachten, dass die Verantwortlichkeiten und Weisungsbefugnisse des Netzbetreibers und des Betriebsführers genau zu den Geltungsbereichen der jeweiligen Geltungsbereiche der Zertifizierungen passen müssen.

In vielen Fällen hat der Netzbetreiber den eigentlichen Betrieb komplett abgegeben. So gibt besonders im Süddeutschen Raum zahlreiche Stadtwerke die zwar Netzbetreiber sind, aber gar kein Fachpersonal mehr haben und die Aufgaben des Netzbetriebs komplett abgegeben haben. In vielen Fällen an einen größeren Verteilnetzbetreiber, der dann oft auch einen Anteil an den jeweiligen Stadtwerken besitzt.

In solchen und ähnlichen Fällen müssen die im Schreiben der BNetzA aufgeführten Kriterien geprüft und bewertet werden. Letztlich stellt sich die Frage, ob bei dem Netzbetreiber noch etwas vorhanden ist, was in den Geltungsbereich der IT-Sicherheitskatalog Zertifizierung fällt. Diese Prüfung kann im Einzelfall durchaus komplex sein. Nach den Vorstellungen der BNetzA soll die Prüfung durch die Zertifizierungsstellen erfolgen. Diese sind derzeit dafür jedoch nicht vorbereitet. Aufgabe einer Zertifizierungsstelle ist es eine Firma danach zu beurteilen, ob sie die Anforderungen einer Norm erfüllt, und nicht, ob eine Norm unter gewissen Randbedingungen sinnvoll anwendbar ist.

Die Süd IT bietet daher Netzbetreibern an in Workshops die Situation zu analysieren und danach Lösungen zu suchen weiter der Zertifizierungspflicht zu entgehen oder, wenn gewünscht, auch eine Zertifizierung anzustreben.

 
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.