VKU zum neuen IT-Sicherheitskatalog der Bundesnetzagentur für Energiewirtschaft
Halbgarer Entwurf, der nur Unsicherheiten und Bürokratie schafft
Die Bundesnetzagentur überarbeitet den IT-Sicherheitskatalog für die Energiewirtschaft, der die spezifischen Anforderungen an die IT-Sicherheit bei Energieversorgern und Stadtwerken festgelegt. Der VKU sieht zwar gute Akzente, dringt jedoch auf eine Verschiebung für einen besseren Entwurf und nimmt Stellung.
11.06.25
Die Bundesnetzagentur überarbeitet den IT-Sicherheitskatalog für die Energiewirtschaft, der die spezifischen Anforderungen an die IT-Sicherheit bei Energieversorgern und Stadtwerken festgelegt. Der VKU sieht zwar gute Akzente, dringt jedoch auf eine Verschiebung für einen besseren Entwurf und nimmt Stellung.
Berlin. Die Bundesnetzagentur überarbeitet den IT-Sicherheitskatalog für die Energiewirtschaft, der die spezifischen Anforderungen an die IT-Sicherheit bei Energieversorgern und Stadtwerken festgelegt. Der Verband kommunaler Unternehmen (VKU) sieht zwar gute Akzente, dringt jedoch auf eine Verschiebung für einen besseren Entwurf und nimmt Stellung (s. Link unten).
Kritik an halbgarem Entwurf, der Unsicherheiten und Bürokratie schafft
Der VKU setzt sich dafür ein, den neuen IT-Sicherheitskatalog zu verschieben. Grund: Bis zu seinem geplanten Inkrafttreten am 1.1.2027 wird das neue NIS2-Umsetzungsgesetz bereits gelten – und damit eine neue Rechtslage schaffen. Der Katalog müsste dann erneut angepasst werden. „Ohne das NIS 2.0-Umsetzungsgesetz ist Entwurf für den neuen IT-Sicherheitskatalog nur halbgar. Das verunsichert. Wir brauchen einen IT-Sicherheitskatalog aus einem Guss, kein Stückwerk“, kritisiert Ingbert Liebing, VKU-Hauptgeschäftsführer.
„Stadtwerke und Energieversorger müssten binnen kürzester Zeit ihre IT-Sicherheit zwei Mal an neue Anforderungen anpassen. Das führt zu mehr Aufwand und höheren Kosten bei den Unternehmen – und das in einer Zeit, in der es doch eigentlich um Bürokratieabbau gehen sollte. Es wäre besser, den neuen IT-Sicherheitskatalog zu verschieben und mit den Anforderungen des NIS 2.0-Umsetzungsgesetzes zu verknüpfen, um einen Entwurf aus einem Guss zu bekommen.“ Für manche Vorschläge fehlt der Bundesnetzagentur auf Grundlage der jetzigen Gesetze sogar eine Ermächtigungsgrundlage. Beispielsweise hat die Bundesnetzagentur nach dem aktuellen Gesetz keine Befugnis die Office-IT von Energieversorgungsunternehmen zu regulieren.
VKU für Nachbessern bei Spielräumen und Bürokratie und Nachdenken beim Sicherheitsverständnis
Der Entwurf des IT-Sicherheitskatalogs schürt weitere Unsicherheiten für die Unternehmen. Das betrifft insbesondere die Informationsmanagementsicherheitssysteme (ISMS), die durch externe Auditoren zertifiziert werden. Konkret geht es um zu große Auslegungsspielräume für Auditoren und ein in Teilen utopisches Sicherheitsverständnis.
So sollen künftig nicht mehr deutsche, sondern englische Normen bei den ISMS gelten: Mangels offizieller Übersetzung haben Auditoren große Auslegungsspielräume, Unternehmen bleiben Unsicherheiten. Neu ist auch der Anspruch, dass für bestimmte Systeme keine Risiken akzeptiert werden können. „100 Prozent Sicherheit gibt es nicht. Auch dann nicht, wenn man sie in Verordnungstexte schreibt. Dieser Anspruch ist utopisch, weil immer ein Restrisiko bleibt,“ mahnt Liebing.
Lob für Differenzierung zwischen IT für kritische Anlagen und für Office
„Wir erkennen den Willen, sorgfältig zwischen den Pflichten zu differenzieren, die notwendig für den Betrieb kritischer Anlagen sind, und jenen, die die restliche Unternehmens-IT betreffen. Dieses Abschichten ist sehr vernünftig“, lobt Liebing. Der VKU wirbt seit langem dafür, den Fokus auf den Schutz der kritischen Anlagen und Systeme zu legen und nicht die gleichen Anforderungen an Office-IT zu stellen. „Ohne diese Differenzierung müssen die knappen finanziellen und technischen Ressourcen auf das gesamte Unternehmen verteilt werden und können nicht gezielt in die strategisch wichtigen Bereiche fließen,“ so Liebing.
Die gesamte Stellungnahme finden Sie hier zum Download: Zu Eckpunkten des IT-Sicherheitskatalogs nach § 11 Abs. 1a und 1b EnWG: VKU
Der Verband kommunaler Unternehmen e. V. (VKU) vertritt 1.592 Stadtwerke und kommunalwirtschaftliche Unternehmen in den Bereichen Energie, Wasser/Abwasser, Abfallwirtschaft sowie Telekommunikation. Mit rund 309.000 Beschäftigten wurden 2022 Umsatzerlöse von 194 Milliarden Euro erwirtschaftet und mehr als 17 Milliarden Euro investiert. Im Endkundensegment haben die VKU-Mitgliedsunternehmen signifikante Marktanteile in zentralen Ver- und Entsorgungsbereichen: Strom 66 Prozent, Gas 65 Prozent, Wärme 91 Prozent, Trinkwasser 88 Prozent, Abwasser 40 Prozent. Die kommunale Abfallwirtschaft entsorgt jeden Tag 31.500 Tonnen Abfall und hat seit 1990 rund 78 Prozent ihrer CO2-Emissionen eingespart – damit ist sie der Hidden Champion des Klimaschutzes. Immer mehr Mitgliedsunternehmen engagieren sich im Breitbandausbau: 220 Unternehmen investieren pro Jahr über 912 Millionen Euro. Künftig wollen 90 Prozent der kommunalen Unternehmen den Mobilfunkunternehmen Anschlüsse für Antennen an ihr Glasfasernetz anbieten. Zahlen Daten Fakten 2024
Wir halten Deutschland am Laufen – denn nichts geschieht, wenn es nicht vor Ort passiert: Unser Beitrag für heute und morgen: #Daseinsvorsorge. Unsere Positionen: https://www.vku.de/vku-positionen/