Betriebsführung durch Dritte BNetzA veröffentlicht neue Mitteilung

20.04.2022

Die Bundesnetzagentur (BNetzA) hat mit Mitteilung vom 29.03.2022 neue Kriterien festgelegt, auf welche Weise die IT-Sicherheitspflichten bei der Betriebsführung durch Dritte erfüllt werden müssen. Ergebnis ist, dass sich die Netzbetreiber und die Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen selbst zertifizieren lassen müssen.

Betreiber von Energieversorgungsnetzen und Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen müssen einen angemessenen Schutz gegen Bedrohungen ihrer telekommunikations- und elektronischen Datenverarbeitungssysteme sicherstellen. Die näheren Einzelheiten regeln hierbei die IT-Sicherheitskataloge der BNetzA. Allerdings übertragen die Betreiber die Betriebsführung häufig auf Dritte (Dienstleister). Betriebsführung durch Dritte meint in diesem Kontext, dass alle Systeme, Anwendungen und Komponenten im Geltungsbereich des IT-Sicherheitskatalogs von einem oder mehreren Dritten betrieben werden.

Um der Pflicht zur Umsetzung des IT-Sicherheitskatalogs nachzukommen, muss sich jeder nach dem IT-Sicherheitskatalog verpflichtete Betreiber grundsätzlich selbst zertifizieren lassen (also auch im Fall der Betriebsführung durch Dritte). In einer Mitteilung der BNetzA vom 19.01.2021 wurden drei Lösungsmöglichkeiten angeführt. Eine in der Vergangenheit häufig genutzte Möglichkeit war, dass der Betreiber dem Dritten die vollumfänglichen und organisatorischen Durchgriffsrechte auf die in Frage stehenden Systeme, Anwendungen oder Komponenten einräumt. Ein eigenes Zertifikat war in diesem Fall nicht mehr notwendig.

Durch Mitteilung der BNetzA vom 29.03.2022 wurde die Mitteilung vom 19.01.2021 für obsolet erklärt und für die Betriebsführung durch Dritte neue Kriterien aufgestellt. Das wesentliche Resultat der Anpassung ist, dass sich die Netzbetreiber und die Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen in der Konstellation „Betriebsführung durch Dritte“ selbst zu zertifizieren haben (wobei für konzerneigene Betriebsführer Ausnahmen formuliert werden). Hierüber ist ein Nachweis zu erbringen. Für die Nachweiserbringung wird eine Frist bis zum 31.03.2024 gesetzt.

Aufgrund der Mitteilung der BNetzA vom 29.03.2022 und der damit verbundenen Neuregelung kann es Netzbetreiber und Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen geben, die bisher nicht zur Zertifizierung Ihres Unternehmens in dieser Form verpflichtet waren. Die Einführung eines ISMS nach den IT-Sicherheitskatalogen und deren Zertifizierung für diese Betreiber wird Voraussichtlich einen Mehraufwand bedeuten.

Mit der Gigabit-Infrastrukturverordnung (GIA) werden die Themen Mitnutzung von Breitband-Infrastrukturen und Mitverlegung neu geregelt. Aus Sicht kommunaler Telekommunikationsunternehmen weist der Kommissionsvorschlag für den GIA an einigen Stellen…

Der Verbraucherzentrale Bundesverband (vzbv) hat am 15.05.2023 mitgeteilt, dass das Landgericht (LG) Hamburg mit nicht rechtskräftigem Urteil vom 30.03.2023 | Az.: 312 O 61/22 dem Energieversorger Fuxx-Die Sparenergie untersagt hat,…

Um die Leistungen der kommunalen Baubetriebshöfe nachvollziehbar zu machen und gleichzeitig auch Potenzial für weitere Verbesserungen zu identifizieren, führte der VKU erstmalig 2018 und erneut 2020 eine bundesweite Betriebsdatenumfrage unter…

Publikationen

KOMMUNAL VERANKERT, WELTWEIT ENGAGIERT

Betriebsführung durch Dritte BNetzA veröffentlicht neue Mitteilung

Europäische Breitbandverordnung VKU sieht Nachbesserungsbedarf bei Entwurf für die EU Gigabit-Infrastrukturverordnung

Energiepreise Unzulässige Preisänderung bei eingeschränkter Preisgarantie - LG Hamburg

Neue VKU-Umfrage Betriebsdatenerfassung auf Baubetriebshöfen - Nehmen Sie teil!

Positionspapier "Kommunale Daseinsvorsorge: Wahlperiode 2021-2026"

Die deutsche Kommunalwirtschaft in der internationalen Zusammenarbeit