Sie sind hier: Home » Markt » Hinweise & Tipps

Befreiung von der Zertifizierungspflicht


Erfahrungsbericht: Nicht jeder Energienetzbetreiber muss eine Zertifizierung gemäß IT-Sicherheitskatalog durchführen
Viele Netzbetreiber konnten bereits eine Befreiung von der Zertifizierungspflicht erreichen



Nicht jeder Netzbetreiber muss eine eigene Zertifizierung durchführen, um die Anforderungen des IT-Sicherheitskataloges zu erfüllen. Dabei ist nicht alleine die Größe des Unternehmens wesentlich. Entscheidend ist, ob er gengenüber der Bundesnetzagentur nachweisen kann, dass er keine Anlagen betreibt, die vom IT-Sicherheitskatalog erfasst sind. Die Süd IT AG hat bereits umfangreiche Erfahrungen gesammelt, Netzbetreiber mit ihrem bewährten Vorgehen bei der Argumentation gegenüber der Bundesnetzagentur erfolgreich zu unterstützen.

Wann muss ein Netzbetreiber tatsächlich die Zertifizierung durchführen?
Im Abschnitt D des IT-Sicherheitskataloges sind Kriterien aufgestellt, welche Anlagen in den Geltungsbereich fallen. Diese werden durch die FAQs zum Thema auf den Webseiten der Bundesnetzagentur (BNetzA) ergänzt. Letztlich können die Kriterien etwas vereinfacht auf die drei Kernfragen reduziert werden:

• >> Werden durch den Netzbetreiber Schalthandlungen am Netz unter Verwendung von ITK-Systemen durchgeführt?
• >> Würde ein Ausfall oder Manipulation von ITK-Systemen des Netzbetreibers die Sicherheit des Netzbetriebes gefährden?
• >> Sind für die Wiederherstellung der Energieversorgung nach einem Schwarzfall ITK Systeme des Netzbetreibers erforderlich?

Letztlich ist entscheidend, ob der Netzbetreiber selbst Anlagen betreibt, von denen ein Risiko für den sicheren Netzbetrieb ausgeht. Ist der Netzbetrieb vollständig zu einem Dienstleister ausgelagert, entfällt folglich ebenfalls die Zertifizierungspflicht
Bei der Betrachtung sind dabei neben den aktiven Komponenten innerhalb des Netzes grundsätzlich auch alle mit dem Netz verbundenen Anlagen zu betrachten, die vom Netzbetreiber in irgendeiner Weise gesteuert werden. In vielen Fällen betreibt der Netzbetreiber solche Anlagen, die indirekt Einfluss auf das Netz nehmen, wie eine Steuerung von Erzeugungsanlagen oder Verbrauchern. Diese Anlagen müssen gegebenenfalls detailliert analysiert werden um das Risiko für einen sicheren Netzbetrieb zu bewerten.

Erstellung eines Gutachtens
Um eine Befreiung von der Zertifizierungspflicht zu erwirken, muss der Netzbetreiber gegenüber der BNetzA schlüssig nachweisen, dass von den Anlagen die er betreibt kein Risiko für den sicheren Netzbetrieb ausgeht. Für den praxisorientierten Netzbetreiber ist dabei oftmals nicht eindeutig, welche Anlagen hier auf welche Weise nach den Vorgaben des IT-Sicherheitskataloges zu bewerten sind. Zu diesem Zweck hat die Süd IT zusammen mit den Verbänden EGEVU, KOV und PEG ein standardisiertes Gutachten-Verfahren erarbeitet und dieses erfolgreich bei der BNetzA vorgestellt.
Das Vorgehen gliedert sich dabei in die Schritte:

1. Telefonisches Erstgespräch zur Netzstruktur
2. Vor-Ort Aufnahme der wesentlichen Leistungsdaten und Besichtigung der relevanten Anlagen
3. Erstellung eines Gutachtens zur Vorlage bei der BNetzA.

In Schritt 1 werden dabei die grundsätzlichen Voraussetzungen für das Gutachtenverfahren abgeklärt. Schritt 2 dient der Erhebung aller Grundlagen für das Gutachten. Dabei werden in der Praxis immer wieder Anlagen identifiziert, die eigentlich in den Anwendungsbereich des IT-Sicherheitskataloges fallen. In diesen Fällen hat der Netzbetreiber die Wahl, die betroffenen Anlagen, sofern möglich, abzubauen oder eine Zertifizierung durchzuführen.

In jedem Fall sind die Aufwände vom Erstgespräch bis zur schriftliche Ausarbeitung des Gutachtens mit einer sorgfältigen Risikobewertung nur ein Bruchteil dessen, was für eine Zertifizierung aufgewendet werden müsste.

Nachweis gegenüber der Bundesnetzagentur
Das fertige Gutachten wird zusammen mit einem vorformulierten Anschreiben an die BNetzA übermittelt. In der Regel erfolgt dann innerhalb weniger Wochen eine Bestätigung durch die BNetzA, dass von einer Forderung zur Umsetzung der Zertifizierungspflicht abgesehen wird. Zumindest wurde in allen Fällen, welche die Süd IT bisher bearbeitet hat, diese Bestätigung ausgesprochen. Um sich in der Bestätigung nicht zu genau festzulegen, wählt dabei die BNetzA in der Regel die Formulierung "Da sich auf der Basis Ihres Sachvortrags jedenfalls keine Anhaltspunkte für mich ergeben haben, dass Ihre Einschätzung zur Nichtanwendbarkeit des IT-Sicherheitskatalogs offensichtlich falsch ist, werde ich davon absehen, nach Ablauf der Umsetzungsfrist zum 31.01.2018 die grundsätzlich erforderliche Zertifizierung Ihres Unternehmens zu verlangen". Netzbetreiber ohne juristischen Beistand kommen bei dieser Formulierung schon einmal ins Grübeln.

Zusammen mit der Bestätigung macht die BNetzA in der Regel den Netzbetreiber auch auf haftungsrechtliche Konsequenzen bei fehlerhaften Angaben aufmerksam. Auch aus diesem Grund ist eine Bewertung durch einen unabhängigen Gutachter empfehlenswert. Zuletzt lässt die BNetzA den Netzbetreiber im Regelfall eine Formular unterschreiben, in dem er bestätigt wirklich keine Anlagen mit Gefährdungspotential zu betreiben, etwaige Änderungen der BNetzA umgehend mitzuteilen, und die Erklärung zur Nichtanwendbarkeit des IT-Sicherheitskataloges in regelmäßigen Abständen zu wiederholen. (Süd-IT: ra)

eingetragen: 11.04.17
Home & Newsletterlauf: .17

Süd IT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

  • NIS-2-Umsetzung in Deutschland

    Mit dem neuen für NIS-2-Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu - doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln. Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess.

  • Dem Fiskus drei Schritte voraus

    Teure Materialien sowie steigende Energie- und Transportpreise sind nur zwei Gründe, warum in zahlreichen Unternehmen der Sparzwang wächst. "Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer ohnehin angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen", weiß Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld.

  • Gesetze über Gesetze

    Der Countdown läuft: Die NIS2-Richtlinie steht praktisch schon vor der Tür und Betreiber kritischer Infrastrukturen (KRITIS) arbeiten auf Hochtouren daran, bis Oktober alle notwendigen Maßnahmen zu treffen.

Haftungsverschärfung für natürliche Personen Auslagerungsmanagement von Banken

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen