Betriebsführung durch Dritte BNetzA veröffentlicht neue Mitteilung
Die Bundesnetzagentur (BNetzA) hat mit Mitteilung vom 29.03.2022 neue Kriterien festgelegt, auf welche Weise die IT-Sicherheitspflichten bei der Betriebsführung durch Dritte erfüllt werden müssen. Ergebnis ist, dass sich die Netzbetreiber und die Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen selbst zertifizieren lassen müssen.
Betreiber von Energieversorgungsnetzen und Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen müssen einen angemessenen Schutz gegen Bedrohungen ihrer telekommunikations- und elektronischen Datenverarbeitungssysteme sicherstellen. Die näheren Einzelheiten regeln hierbei die IT-Sicherheitskataloge der BNetzA. Allerdings übertragen die Betreiber die Betriebsführung häufig auf Dritte (Dienstleister). Betriebsführung durch Dritte meint in diesem Kontext, dass alle Systeme, Anwendungen und Komponenten im Geltungsbereich des IT-Sicherheitskatalogs von einem oder mehreren Dritten betrieben werden.
Um der Pflicht zur Umsetzung des IT-Sicherheitskatalogs nachzukommen, muss sich jeder nach dem IT-Sicherheitskatalog verpflichtete Betreiber grundsätzlich selbst zertifizieren lassen (also auch im Fall der Betriebsführung durch Dritte). In einer Mitteilung der BNetzA vom 19.01.2021 wurden drei Lösungsmöglichkeiten angeführt. Eine in der Vergangenheit häufig genutzte Möglichkeit war, dass der Betreiber dem Dritten die vollumfänglichen und organisatorischen Durchgriffsrechte auf die in Frage stehenden Systeme, Anwendungen oder Komponenten einräumt. Ein eigenes Zertifikat war in diesem Fall nicht mehr notwendig.
Durch Mitteilung der BNetzA vom 29.03.2022 wurde die Mitteilung vom 19.01.2021 für obsolet erklärt und für die Betriebsführung durch Dritte neue Kriterien aufgestellt. Das wesentliche Resultat der Anpassung ist, dass sich die Netzbetreiber und die Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen in der Konstellation „Betriebsführung durch Dritte“ selbst zu zertifizieren haben (wobei für konzerneigene Betriebsführer Ausnahmen formuliert werden). Hierüber ist ein Nachweis zu erbringen. Für die Nachweiserbringung wird eine Frist bis zum 31.03.2024 gesetzt.
Aufgrund der Mitteilung der BNetzA vom 29.03.2022 und der damit verbundenen Neuregelung kann es Netzbetreiber und Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen geben, die bisher nicht zur Zertifizierung Ihres Unternehmens in dieser Form verpflichtet waren. Die Einführung eines ISMS nach den IT-Sicherheitskatalogen und deren Zertifizierung für diese Betreiber wird Voraussichtlich einen Mehraufwand bedeuten.