Sie sind hier: Home » Markt » Hinweise & Tipps

Befreiung von der Zertifizierungspflicht


Erfahrungsbericht: Nicht jeder Energienetzbetreiber muss eine Zertifizierung gemäß IT-Sicherheitskatalog durchführen
Viele Netzbetreiber konnten bereits eine Befreiung von der Zertifizierungspflicht erreichen



Nicht jeder Netzbetreiber muss eine eigene Zertifizierung durchführen, um die Anforderungen des IT-Sicherheitskataloges zu erfüllen. Dabei ist nicht alleine die Größe des Unternehmens wesentlich. Entscheidend ist, ob er gengenüber der Bundesnetzagentur nachweisen kann, dass er keine Anlagen betreibt, die vom IT-Sicherheitskatalog erfasst sind. Die Süd IT AG hat bereits umfangreiche Erfahrungen gesammelt, Netzbetreiber mit ihrem bewährten Vorgehen bei der Argumentation gegenüber der Bundesnetzagentur erfolgreich zu unterstützen.

Wann muss ein Netzbetreiber tatsächlich die Zertifizierung durchführen?
Im Abschnitt D des IT-Sicherheitskataloges sind Kriterien aufgestellt, welche Anlagen in den Geltungsbereich fallen. Diese werden durch die FAQs zum Thema auf den Webseiten der Bundesnetzagentur (BNetzA) ergänzt. Letztlich können die Kriterien etwas vereinfacht auf die drei Kernfragen reduziert werden:

• >> Werden durch den Netzbetreiber Schalthandlungen am Netz unter Verwendung von ITK-Systemen durchgeführt?
• >> Würde ein Ausfall oder Manipulation von ITK-Systemen des Netzbetreibers die Sicherheit des Netzbetriebes gefährden?
• >> Sind für die Wiederherstellung der Energieversorgung nach einem Schwarzfall ITK Systeme des Netzbetreibers erforderlich?

Letztlich ist entscheidend, ob der Netzbetreiber selbst Anlagen betreibt, von denen ein Risiko für den sicheren Netzbetrieb ausgeht. Ist der Netzbetrieb vollständig zu einem Dienstleister ausgelagert, entfällt folglich ebenfalls die Zertifizierungspflicht
Bei der Betrachtung sind dabei neben den aktiven Komponenten innerhalb des Netzes grundsätzlich auch alle mit dem Netz verbundenen Anlagen zu betrachten, die vom Netzbetreiber in irgendeiner Weise gesteuert werden. In vielen Fällen betreibt der Netzbetreiber solche Anlagen, die indirekt Einfluss auf das Netz nehmen, wie eine Steuerung von Erzeugungsanlagen oder Verbrauchern. Diese Anlagen müssen gegebenenfalls detailliert analysiert werden um das Risiko für einen sicheren Netzbetrieb zu bewerten.

Erstellung eines Gutachtens
Um eine Befreiung von der Zertifizierungspflicht zu erwirken, muss der Netzbetreiber gegenüber der BNetzA schlüssig nachweisen, dass von den Anlagen die er betreibt kein Risiko für den sicheren Netzbetrieb ausgeht. Für den praxisorientierten Netzbetreiber ist dabei oftmals nicht eindeutig, welche Anlagen hier auf welche Weise nach den Vorgaben des IT-Sicherheitskataloges zu bewerten sind. Zu diesem Zweck hat die Süd IT zusammen mit den Verbänden EGEVU, KOV und PEG ein standardisiertes Gutachten-Verfahren erarbeitet und dieses erfolgreich bei der BNetzA vorgestellt.
Das Vorgehen gliedert sich dabei in die Schritte:

1. Telefonisches Erstgespräch zur Netzstruktur
2. Vor-Ort Aufnahme der wesentlichen Leistungsdaten und Besichtigung der relevanten Anlagen
3. Erstellung eines Gutachtens zur Vorlage bei der BNetzA.

In Schritt 1 werden dabei die grundsätzlichen Voraussetzungen für das Gutachtenverfahren abgeklärt. Schritt 2 dient der Erhebung aller Grundlagen für das Gutachten. Dabei werden in der Praxis immer wieder Anlagen identifiziert, die eigentlich in den Anwendungsbereich des IT-Sicherheitskataloges fallen. In diesen Fällen hat der Netzbetreiber die Wahl, die betroffenen Anlagen, sofern möglich, abzubauen oder eine Zertifizierung durchzuführen.

In jedem Fall sind die Aufwände vom Erstgespräch bis zur schriftliche Ausarbeitung des Gutachtens mit einer sorgfältigen Risikobewertung nur ein Bruchteil dessen, was für eine Zertifizierung aufgewendet werden müsste.

Nachweis gegenüber der Bundesnetzagentur
Das fertige Gutachten wird zusammen mit einem vorformulierten Anschreiben an die BNetzA übermittelt. In der Regel erfolgt dann innerhalb weniger Wochen eine Bestätigung durch die BNetzA, dass von einer Forderung zur Umsetzung der Zertifizierungspflicht abgesehen wird. Zumindest wurde in allen Fällen, welche die Süd IT bisher bearbeitet hat, diese Bestätigung ausgesprochen. Um sich in der Bestätigung nicht zu genau festzulegen, wählt dabei die BNetzA in der Regel die Formulierung "Da sich auf der Basis Ihres Sachvortrags jedenfalls keine Anhaltspunkte für mich ergeben haben, dass Ihre Einschätzung zur Nichtanwendbarkeit des IT-Sicherheitskatalogs offensichtlich falsch ist, werde ich davon absehen, nach Ablauf der Umsetzungsfrist zum 31.01.2018 die grundsätzlich erforderliche Zertifizierung Ihres Unternehmens zu verlangen". Netzbetreiber ohne juristischen Beistand kommen bei dieser Formulierung schon einmal ins Grübeln.

Zusammen mit der Bestätigung macht die BNetzA in der Regel den Netzbetreiber auch auf haftungsrechtliche Konsequenzen bei fehlerhaften Angaben aufmerksam. Auch aus diesem Grund ist eine Bewertung durch einen unabhängigen Gutachter empfehlenswert. Zuletzt lässt die BNetzA den Netzbetreiber im Regelfall eine Formular unterschreiben, in dem er bestätigt wirklich keine Anlagen mit Gefährdungspotential zu betreiben, etwaige Änderungen der BNetzA umgehend mitzuteilen, und die Erklärung zur Nichtanwendbarkeit des IT-Sicherheitskataloges in regelmäßigen Abständen zu wiederholen. (Süd-IT: ra)

eingetragen: 11.04.17
Home & Newsletterlauf: .17

Süd IT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Ethik für KI-Technologien ein Muss

    Das Europäische Parlament hat kürzlich mit dem "AI-Act" die weltweit erste staatliche Regulierung von KI verabschiedet. Die Verordnung soll die Entwicklung und den Einsatz von KI-Technologien maßgeblich regeln, indem sie Transparenz, Rechenschaftspflichten und Sicherheitsstandards vorschreibt.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld. "Mit einer gründlichen Vorbereitung können Firmen, Freiberufler und Selbstständige der Kontrolle ihrer Buchführung durch das Finanzamt aber in aller Regel gelassen entgegenblicken", betont Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Bausteine für ein erfolgreiches ESG-Reporting

    Das Europäische Parlament hat bereits zum Jahresende 2022 die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, kurz CSRD) angenommen. Zahlreiche Unternehmen - kapitalmarktorientierte, aber auch viele aus dem Mittelstand - sind spätestens Anfang 2025 rechtlich dazu verpflichtet, Informationen über die gesellschaftlichen und ökologischen Auswirkungen ihres Handelns zu veröffentlichen und nach einem klar vorgegebenen Kriterienkatalog Rechenschaft abzulegen.

  • Chaos bei der Umsetzung von NIS-2 droht

    Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft - genauer gesagt endete die 24-monatige Übergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen.

  • Die Uhr für DORA-Compliance tickt

    Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt.

Haftungsverschärfung für natürliche Personen Auslagerungsmanagement von Banken

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen