Strom und Wärme sind essenziell, Erzeugungsanlagen müssen entsprechend gut gesichert sein. Hier ist aktuell viel in Bewegung, manches muss noch glattgezogen werden. Die Kraftwerksexperten Thomas Eck und Jörg Kaiser vom Fachverband vgbe energy bringen auf den neuesten Stand.
Kritische Infrastrukturen (KRITIS) sind gemäß europäischer Definition Anlagen, Systeme oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind – und deren Störung oder Zerstörung erhebliche Auswirkungen hätten, wenn ihre Funktionen nicht aufrechterhalten werden könnten.
Gemäß EU-Kommission ist die Elektrizitätsversorgung ein Wirtschaftszweig, der als KRITIS definiert wurde. Wenn man den Begriff als Energieversorgung etwas weiter fasst, sind zumindest die Gas- und Fernwärmebereiche eingeschlossen, aber auch die Schnittstellen zu anderen Wirtschaftszweigen sind von Bedeutung.
Die bestehenden Vorgaben zum Schutz der KRITIS-Anlagen fokussieren sich mit dem IT-Sicherheitsgesetz und den zugehörigen Rechtsverordnungen KRITIS auf die Sicherheit informationstechnischer Systeme. Demensprechend verpflichtet der Gesetzgeber die Betreiber von Energieanlagen zur Umsetzung IT-sicherheitstechnischer Mindeststandards mit Vorgaben für die Erhöhung der IT-Sicherheit. Mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ wurde ein konkreter Rahmen geschaffen, der in weiteren gesetzlichen und regulatorischen Vorgaben konkretisiert und ständig weiterentwickelt wird.
Aktuelle regulatorische Entwicklungen erfolgen in einem KRITIS-Dachgesetz. Die Regelungen des KRITIS Dachgesetzes, die den physischen Schutz betreffen, sollen die bestehenden IT-Sicherheitsmaßnahmen ergänzen. Somit soll die Widerstandskraft kritischer Infrastrukturen, die Resilienz gegen Gefährdungen, insgesamt in Deutschland gestärkt werden.
Die Gefährdung ist im Blick
Die Aktivitäten der vgbe-Mitgliedsunternehmen, die unter dem Begriff „IT-Sicherheit“ zusammengefasst werden, sind seit einigen Jahren fester Bestandteil der operativen und strategischen Geschäftsaktivitäten. Die Mitglieder sind sich dabei ihrer Verantwortung bewusst, dass sie mit ihren Anlagen systemkritische Dienstleistungen erbringen und behandeln das Thema IT-Sicherheit mit sehr hoher Priorität.
Aus diesem Grunde arbeitet eine eigene Arbeitsgruppe bereits seit vielen Jahren innerhalb der vgbe Gremien. Außerdem werden jährlich Fachtagungen mit dem Schwerpunkt IT-/OT-Sicherheit durchgeführt. Dabei stehen der Erfahrungsaustausch mit Betreibervorträgen sowie die OT-Sicherheit im Vordergrund. Ergänzend sind Hersteller und Dienstleister eingeladen, mit den Anlagenbetreibern über ihre Produkte und Services zu diskutieren, Neuentwicklungen vorzustellen und gemeinsame Handlungsfelder anzugehen.
Die Umsetzung der gesetzlichen und regulatorischen Vorgaben in den Unternehmen der Branche ist eine große Herausforderung, insbesondere dessen Nachweis. Durch das Unbundling, das mit der Einführung des Europäischen Strommarktes erfolgte – im Wesentlichen die Trennung von Erzeugung und Netz – und weitere sektorspezifische Ausgestaltungen entwickelten sich auch die gesetzlichen Rahmenbedingungen unterschiedlich. Das heißt, dass für die Unternehmen der Branche in der Umsetzung und dem Nachweis im Detail unterschiedliche Vorgaben existieren, zum Beispiel nach EnWG (Energiewirtschaftsgesetz) oder nach BSI-Gesetz.
Es gibt noch Klärungsbedarf
Dementsprechend sind auch die nachgeschalteten Behörden und deren Vorgaben für die Umsetzung und Nachweise nicht gleich, zum Beispiel BNetzA (Bundesnetzagentur) oder BSI (Bundesamt für Sicherheit in der Informationstechnologie). In diesem Zusammenhang ist noch nicht konkret absehbar, welche zusätzlichen Aufwendungen durch das KRITIS-Dachgesetz entstehen werden.
Die Unternehmen der Branche stehen vor der Herausforderung, die aktuellen Entwicklungen zu verfolgen und rechtzeitig auf gestiegene Anforderungen zu reagieren. Die Betroffenheit einzelner Unternehmen hängt dabei unter anderem von der Einstufung als kritische Anlage, besonders wichtiges oder wichtiges Unternehmen sowie den zugehörigen überarbeiteten Schwellenwerten ab.
Insbesondere der Übergang von eigenen unregulierten (freiwilligen) Aktivitäten zur „KRITIS-Sicherheit“ der Anlagen zu einer Umsetzung der regulatorischen Vorgaben ist entscheidend. Denn damit werden viele formale Festlegungen getroffen, Nachweise mit möglicherweise erforderlichen Zertifikaten werden explizit erforderlich, und bei Nichteinhaltung drohen Bußgelder.
Herausforderung für die Branche
Hier gilt es, frühzeitig Einfluss auf den Gesetz- und Verordnungsgeber zu nehmen, um das Ziel – die Verbesserung der Sicherheit und Resilienz – nicht in der Flut formaler Vorgaben aus den Augen zu verlieren. vgbe arbeitet hierbei eng mit dem Bundesverband der Energie- und Wasserwirtschaft (BDEW), aber auch mit anderen Verbänden der Branche zusammen. Zudem ist vgbe Mitglied im Branchenarbeitskreis Strom des UP KRITIS und hat damit die Möglichkeit, die Interessen der Mitglieder zu positionieren sowie Informationen auszutauschen.
Die neuesten Entwicklungen wurden gerade auf der Fachtagung IT-/OT-Sicherheit in Energieanlagen 2023 in Hamburg diskutiert. Mehr dazu und zu den spezifischen Anforderungen der kommunalen Energieversorgung demnächst in „der gemeinderat“.
Thomas Eck, Jörg Kaiser
Die Autoren
Dr.-Ing. Thomas Eck ist Leiter Kraftwerkstechnologien und Umwelttechnik beim Fachverband vgbe energy e.V. Dipl.-Ing. Jörg Kaiser ist dort im Bereich Elektro- und Leittechnik tätig.