Die Bundesnetzagentur bestätigt die Zertifizierungspflicht für betriebsgeführte Betreiber nach EnWG §11 1a) und b).

Am 29.03.2022 hat die Bundesnetzagentur auf Ihrer Website ein Dokument veröffentlicht, welches die Zertifizierungspflicht für Betriebsgeführte bestätigt. Bisher war die Zertifizierung eines Netzbetreibers nach IT-Sicherheitskatalog in zwei Konstellationen nicht nachzuweisen.

Dies galt für

  • Betreiber von Energieversorgungsnetzen, in deren Netz keine Systeme, Anwendungen und Komponenten zum Einsatz kommen, die für einen sicheren Netzbetrieb notwendig sind, sodass die Voraussetzungen des § 11 Abs. 1a EnWG nicht vorliegen („Nicht-Anwendbarkeit“) und
  • Betreiber von Energieversorgungsnetzen, deren Systeme, Anwendungen und Komponenten im Geltungsbereich des IT-Sicherheitskatalogs liegen, welche aber vollständig von einem oder mehreren Dritten betrieben werden („Betriebsführung durch Dritte“).

Während die Konstellation der „Nicht-Anwendbarkeit“ von den Neuerungen unberührt bleibt, entsteht für die Konstellation der „Betriebsführung durch Dritte“ akuter Handlungsbedarf: Netzbetreiber und Betreiber von als Kritische Infrastruktur klassifizierte Energieanlagen müssen sich fortan selbst zertifizieren lassen, zusätzlich zur Zertifizierung des Betriebsführers, und diese der Bundesnetzagentur vorlegen. Zur Umsetzung dieser Anforderungen bleibt den Betreibern eine Frist von zwei Jahren, also bis zum 31.03.2024.

Als Hintergrund der Anpassungen nannte die Bundesnetzagentur bestehende Widersprüche zwischen den bisher angewandten Verfahren im Falle der Betriebsführung durch Dritte und den allgemein geltenden Zertifizierungsnormen. Des Weiteren könne die Zertifizierungsstelle dadurch wichtige Maßnahmen weder rechtlich noch auf anderem Wege durchsetzen.

Für gewisse Betriebskonstellationen gelten allerdings Ausnahmen, welche das sind und welche Änderungen daraus hervorgehen können Sie hier nochmal nachlesen.

Wie sollte so ein schlankes, auf die Dienstleistersteuerung fokussiertes ISMS nun aussehen, das den betriebsgeführten Betreiber nicht unnötig belastet? Sprechen Sie uns an. Wir helfen Ihnen, wenn Sie als betriebsgeführter Betreiber jetzt vor dieser Herausforderung stehen oder als Betriebsführer ihre betriebsgeführten Unternehmen bei dieser Aufgabe unterstützen wollen. Beispielsweise können die Anforderung auch bei mehreren betriebsgeführten Unternehmen gleichzeitig in einem Konvoi-ISMS-Projekt umgesetzt werden, das optimale Schnittstellen zum Betriebsführer bietet.

 

Leistungen
Ihr Partner für Informationssicherheit