Bessere Umsetzung des IT-Sicherheitskatalog § 11 Abs. 1a EnWG

Änderungen zur Zertifizierungspflicht bei Betriebsführung durch Dritte
Welche Netzbetreiber betrifft die neue Mitteilung der Bundesnetzagentur und warum?

Es gibt Netzbetreiber, die ihre Netzführung durch einen oder mehrere Dienstleister (Betriebsführer) betreiben lassen. Dadurch konnten sie sich von der Zertifizierungspflicht befreien lassen und mussten nur die entsprechenden ITSK-Zertifikate der Betriebsführer vorlegen.

Hier sind nun bei einer genaueren Analyse durch BNetzA und DAkkS Fragen aufgetaucht, die eine Anpassung der bisherigen Regelungen erfordern.

Es gibt aber gute Nachrichten für Strom- und Gasnetzbetreiber, in deren Netz keine Systeme, Anwendungen und Komponenten (IKT) zum Einsatz kommen, die für einen sicheren Netzbetrieb notwendig sind: Sie sind auch weiterhin nicht zertifizierungspflichtig.

Aktuelles Verfahren

„Betriebsführung durch Dritte“ bedeutet in diesem Kontext, „dass alle Systeme, Anwendungen und Komponenten im Geltungsbereich des IT-Sicherheitskatalogs von einem oder mehreren Dritten betrieben werden.“

Die bisherige Regelung zur Befreiung von der Zertifizierungspflicht sieht vor, dass der Netzbetreiber der BNetzA folgende Dokumente vorzulegen hat:

• Zertifikatsduplikate von allen Betriebsführern
• eine Erklärung des bzw. der Betriebsführer, dass im Zertifizierungsprozess alle Systeme, Anwendungen und Komponenten des betriebsgeführten Unternehmens berücksichtigt wurden
• eine „Verbindliche Erklärung des Netzbetreibers zur Betriebsführung durch Dritte“ als eine Bestätigung, dass vom Netzbetreiber keine weitere, vom Geltungsbereich des IT-Sicherheitskatalogs erfasste Netzinfrastruktur selbst betrieben wird.

Der Netzbetreiber bekommt dadurch Zugriff zum Informationssicherheits-Managementsystem und Zertifikaten eines Dritten, was im Widerspruch zu Akkreditierungsregeln der Deutschen Akkreditierungsstelle GmbH (DAkkS) steht.

Fragen entstehen auch bezüglich der wirksamen Umsetzung des Auditprogramms der Zertifizierungsstelle in Bezug auf alle Assets des Netzbetreibers, da dieser nicht in den Zertifizierungsvertrag des Betriebsführers einbezogen ist.

Neue Regeln benötigen neue Verfahren

Die o.g. Gründe führen nun dazu, dass grundsätzlich jeder Netzbetreiber, in dessen Netz IKT eingesetzt wird, eine eigene Zertifizierung nach ITSK vorlegen muss.

Für Netzbetreiber, die einen Dritten als Betriebsführer bestellt haben und sich deshalb bisher von der Zertifizierungspflicht haben befreien lassen, kommen dafür folgende Lösungsmöglichkeiten in Frage:

1. Ein ISMS selbst aufbauen und zertifizieren lassen: Der Netzbetreiber muss in diesem Fall sicherstellen, dass er das volle Durchgriffsrecht bezüglich der Regelungen seines Informationssicherheits-Managementsystems sowie auch aller Akkreditierungs- und Zertifizierungsregeln gegenüber seinem Betriebsführer vertraglich abgesichert hat. Der Betriebsführer muss in diesem Fall keine eigen ITSK-Zertifizierung erlangen.
2. Falls dieses Durchgriffsrecht nur für einen Teil der IKT-Systeme möglich ist, hat neben dem Netzbetreiber auch der Betriebsführer ein ISMS nach dem IT-Sicherheitskatalog einzuführen und zertifizieren zu lassen.
3. Vollständige Übertragung des Durchgriffsrechts auf alle IKT-Assets an den Betriebsführer, verbunden mit dem Verzicht auf das eigene Durchgriffsrecht und alle Weisungsrechte gegenüber Mitarbeitern des Betriebsführers: In diesem Fall ist der Netzbetreiber nicht zertifizierungsfähig, allerdings muss vertraglich eine Nachweispflicht für den Betriebsführer für die Vorlage einer ITSK-Zertifizierung bei der BNetzA vereinbart werden. Nach den Aussagen der BNetzA muss die Feststellung dieser „Nicht-Zertifizierbarkeit“ durch „die beauftragte akkreditierte Zertifizierungsstelle“ erfolgen.

Die BNetzA geht davon aus, dass durch diese Neuregelung einige Netzbetreiber nun doch zur Vorlage eines eigenen ITSK-Zertifikates verpflichtet sind. Um den dafür notwendigen zeitlichen und personellen Aufwand erbringen zu können und ein wirksames Informationssicherheits-Managementsystem zu etablieren, haben die neu zu zertifizierenden Netzbetreiber der BNetzA erst bis zum 30.11.2022 ein ITSK-Zertifikat vorzulegen.

Möchten Sie wissen, ob Ihr Betrieb zertifizierbar ist? Unser Team hilft Ihnen gerne das zu klären und macht Ihnen gerne auch ein unverbindliches Angebot für eine Zertifizierung Ihres ISMS.

Wenden Sie sich gerne an Andreas Lemke.