Sie sind hier: Home » Markt » Hinweise & Tipps

Befreiung von der Zertifizierungspflicht


Erfahrungsbericht: Nicht jeder Energienetzbetreiber muss eine Zertifizierung gemäß IT-Sicherheitskatalog durchführen
Viele Netzbetreiber konnten bereits eine Befreiung von der Zertifizierungspflicht erreichen




Nicht jeder Netzbetreiber muss eine eigene Zertifizierung durchführen, um die Anforderungen des IT-Sicherheitskataloges zu erfüllen. Dabei ist nicht alleine die Größe des Unternehmens wesentlich. Entscheidend ist, ob er gengenüber der Bundesnetzagentur nachweisen kann, dass er keine Anlagen betreibt, die vom IT-Sicherheitskatalog erfasst sind. Die Süd IT AG hat bereits umfangreiche Erfahrungen gesammelt, Netzbetreiber mit ihrem bewährten Vorgehen bei der Argumentation gegenüber der Bundesnetzagentur erfolgreich zu unterstützen.

Wann muss ein Netzbetreiber tatsächlich die Zertifizierung durchführen?
Im Abschnitt D des IT-Sicherheitskataloges sind Kriterien aufgestellt, welche Anlagen in den Geltungsbereich fallen. Diese werden durch die FAQs zum Thema auf den Webseiten der Bundesnetzagentur (BNetzA) ergänzt. Letztlich können die Kriterien etwas vereinfacht auf die drei Kernfragen reduziert werden:

• >> Werden durch den Netzbetreiber Schalthandlungen am Netz unter Verwendung von ITK-Systemen durchgeführt?
• >> Würde ein Ausfall oder Manipulation von ITK-Systemen des Netzbetreibers die Sicherheit des Netzbetriebes gefährden?
• >> Sind für die Wiederherstellung der Energieversorgung nach einem Schwarzfall ITK Systeme des Netzbetreibers erforderlich?

Letztlich ist entscheidend, ob der Netzbetreiber selbst Anlagen betreibt, von denen ein Risiko für den sicheren Netzbetrieb ausgeht. Ist der Netzbetrieb vollständig zu einem Dienstleister ausgelagert, entfällt folglich ebenfalls die Zertifizierungspflicht
Bei der Betrachtung sind dabei neben den aktiven Komponenten innerhalb des Netzes grundsätzlich auch alle mit dem Netz verbundenen Anlagen zu betrachten, die vom Netzbetreiber in irgendeiner Weise gesteuert werden. In vielen Fällen betreibt der Netzbetreiber solche Anlagen, die indirekt Einfluss auf das Netz nehmen, wie eine Steuerung von Erzeugungsanlagen oder Verbrauchern. Diese Anlagen müssen gegebenenfalls detailliert analysiert werden um das Risiko für einen sicheren Netzbetrieb zu bewerten.

Erstellung eines Gutachtens
Um eine Befreiung von der Zertifizierungspflicht zu erwirken, muss der Netzbetreiber gegenüber der BNetzA schlüssig nachweisen, dass von den Anlagen die er betreibt kein Risiko für den sicheren Netzbetrieb ausgeht. Für den praxisorientierten Netzbetreiber ist dabei oftmals nicht eindeutig, welche Anlagen hier auf welche Weise nach den Vorgaben des IT-Sicherheitskataloges zu bewerten sind. Zu diesem Zweck hat die Süd IT zusammen mit den Verbänden EGEVU, KOV und PEG ein standardisiertes Gutachten-Verfahren erarbeitet und dieses erfolgreich bei der BNetzA vorgestellt.
Das Vorgehen gliedert sich dabei in die Schritte:

1. Telefonisches Erstgespräch zur Netzstruktur
2. Vor-Ort Aufnahme der wesentlichen Leistungsdaten und Besichtigung der relevanten Anlagen
3. Erstellung eines Gutachtens zur Vorlage bei der BNetzA.

In Schritt 1 werden dabei die grundsätzlichen Voraussetzungen für das Gutachtenverfahren abgeklärt. Schritt 2 dient der Erhebung aller Grundlagen für das Gutachten. Dabei werden in der Praxis immer wieder Anlagen identifiziert, die eigentlich in den Anwendungsbereich des IT-Sicherheitskataloges fallen. In diesen Fällen hat der Netzbetreiber die Wahl, die betroffenen Anlagen, sofern möglich, abzubauen oder eine Zertifizierung durchzuführen.

In jedem Fall sind die Aufwände vom Erstgespräch bis zur schriftliche Ausarbeitung des Gutachtens mit einer sorgfältigen Risikobewertung nur ein Bruchteil dessen, was für eine Zertifizierung aufgewendet werden müsste.

Nachweis gegenüber der Bundesnetzagentur
Das fertige Gutachten wird zusammen mit einem vorformulierten Anschreiben an die BNetzA übermittelt. In der Regel erfolgt dann innerhalb weniger Wochen eine Bestätigung durch die BNetzA, dass von einer Forderung zur Umsetzung der Zertifizierungspflicht abgesehen wird. Zumindest wurde in allen Fällen, welche die Süd IT bisher bearbeitet hat, diese Bestätigung ausgesprochen. Um sich in der Bestätigung nicht zu genau festzulegen, wählt dabei die BNetzA in der Regel die Formulierung "Da sich auf der Basis Ihres Sachvortrags jedenfalls keine Anhaltspunkte für mich ergeben haben, dass Ihre Einschätzung zur Nichtanwendbarkeit des IT-Sicherheitskatalogs offensichtlich falsch ist, werde ich davon absehen, nach Ablauf der Umsetzungsfrist zum 31.01.2018 die grundsätzlich erforderliche Zertifizierung Ihres Unternehmens zu verlangen". Netzbetreiber ohne juristischen Beistand kommen bei dieser Formulierung schon einmal ins Grübeln.

Zusammen mit der Bestätigung macht die BNetzA in der Regel den Netzbetreiber auch auf haftungsrechtliche Konsequenzen bei fehlerhaften Angaben aufmerksam. Auch aus diesem Grund ist eine Bewertung durch einen unabhängigen Gutachter empfehlenswert. Zuletzt lässt die BNetzA den Netzbetreiber im Regelfall eine Formular unterschreiben, in dem er bestätigt wirklich keine Anlagen mit Gefährdungspotential zu betreiben, etwaige Änderungen der BNetzA umgehend mitzuteilen, und die Erklärung zur Nichtanwendbarkeit des IT-Sicherheitskataloges in regelmäßigen Abständen zu wiederholen. (Süd-IT: ra)

eingetragen: 11.04.17
Home & Newsletterlauf: .17

Süd IT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Vorsicht vor Betrug bei Festgeldanlagen

    Wer auf der Suche nach attraktiven Tages- oder Festgeldanlagen ist, nutzt häufig eine Suchmaschinensuche oder ein Vergleichsportal im Internet. Doch hier heißt es, wachsam zu sein. Auch Unternehmensseiten wie Bankportale und Vergleichsportale können perfekt gefälscht sein.

  • Bestandteil der Investmentsteuer

    Die Vorabpauschale für Investmentfonds ist bereits seit 2018 Bestandteil der Investmentsteuer in Deutschland ist. Die Berechnung der Vorabpauschale basiert allerdings auf dem sogenannten Basiszins, der in der Vergangenheit oft im negativen Bereich lag. Daher wurde die Vorabpauschale erst wieder Anfang 2024 für das Vorjahr, also das Jahr 2023, erhoben. Doch was ist die Vorabpauschale und wie funktioniert sie? In diesem Artikel zeigen wir Ihnen, worauf Sie achten sollten.

  • KI, Datenschutz & Datensicherheit

    Bevor Unternehmen generative KI einführen, sollten sie sich einige Fragen stellen, damit die neuen Dienste nicht den Datenschutz und die Datensicherheit gefährden. Forcepoint verrät, welche Fragen das sind. Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten.

  • Cybersicherheit & NIS2-Compliance

    Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt - und verunsichert.

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen