Energiewirtschaftsgesetz (EnWG)

Das Energiewirtschaftsgesetz regelt die Versorgung der Allgemeinheit mit Strom und Gas.
  
Es trat erstmals am 13. Dezember 1935 in Kraft und wurde seitdem mehrfach novelliert.
  
Im Kontext der Informationssicherheit ist Teil 3 Regulierung des Netzbetriebes, Abschnitt 1 Aufgaben der Netzbetreiber, § 11 Betrieb von Energieversorgungsnetzen  besonders relevant.

Teil 3 Regulierung des Netzbetriebes
Abschnitt 1 Aufgaben der Netzbetreiber
§ 11 Betrieb von Energieversorgungsnetzen

Ziel des Gesetzes:
Diskriminierungsfeier Betrieb eines sicheren, zuverlässigen und leistungsfähigen Energieversorgungsnetzes
Anwendungsbereich:
Betreiber von Energieversorgungsnetzen und Energieanlagen
Kurzüberblick:
Absatz (1a) – Betreiber von Energieversorgungsnetzen:

Pflicht zur Umsetzung und Dokumentation von Sicherheitsanforderungen zum Schutz von Systemen der Informations- und Kommunikationstechnik (IKT) mit dem Ziel ein sicheres Energieversorgungsnetz gewährleisten zu können. Die Einhaltung kann von der Bundesnetzagentur regelmäßig überprüft werden.

 

Absatz (1b) – Betreiber von Energieanlagen:

KRITIS Unternehmen (gem. BSI-KritisV), die an ein Energieversorgungsnetz angeschlossene Energieanlagen betreiben, müssen ebenfalls entsprechende Sicherheitsanforderungen umsetzen und dokumentieren. Die Einhaltung kann von der regelmäßig Bundesnetzagentur überprüft  werden. Fallen die Anlagen unter § 7 Absatz 1 des Atomgesetzes, so haben die darin enthaltenen Vorgaben Vorrang.

 

Absatz (1c) – Betreiber von Energieversorgungsnetzen und von Energieanlagen (wie in 1b):

Pflicht zur Meldung von Störungen über eine Kontaktstelle an das Bundesamt für Sicherheit in der Informationstechnik. Es müssen solche Störungen gemeldet werden, die die

  • Verfügbarkeit,
  • Integrität,
  • Authentizität und
  • Vertraulichkeit

der IKT verletzt haben, so dass es zu einem Ausfall oder einer (erheblichen) Beeinträchtigung der Energieversorgung gekommen ist oder noch kommen könnte.

 

Absatz (2) – Betreiber von Energieversorgungsnetzen:

Veröffentlichungs-,  Mitteilungs- und Dokumentationspflicht von Spitzenkappungen in der Netzplanung.

 

Absatz (3) – Betreiber von Übertragungsnetzen:

Regelung zur Anschaffung besonderer netztechnischer Betriebsmittel.

 

Absatz (4) – Betreiber von Energieversorgungsnetzen:

Regelung zur Haftung für Sach- und Vermögensschäden, die ein Kunde durch Beeinträchtigungen der Energieversorgung erleidet.

Fristen:
  • 30. November 2015: Bennenung eines Ansprechpartners IT-Sicherheit,
  • 31. Januar 2018: Nachweis über die Umsetzung der Sicherheitsanforderungen nach IT-Sicherheitskatalog (Vgl. IT-Sicherheitskatalog , S. 16).
Konsequenzen:
keine, da § 14 BSIG wegen § 8d BSIG nicht anwendbar.
Dokumente:
IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG der Bundesnetzagentur, Stand: August 2015

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)

Das BSIG ist am 20. August 2009 in Kraft getreten.
 
Es regelt die Aufgaben und Befugnisse des Bundesamt für Sicherheit und Informationstechnik (BSI).
  
Aufgabe des BSI ist, die Sicherheit der Informationstechnik zu fördern.
  
Im Rahmen der Informationssicherheit für Strom- und Gasnetzbetreiber sind die §§ 8a, 8b, 8d und 14 besonders interessant.

§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen

Ziel des Gesetzes:
Regelung der Nachweispflicht für KRITIS über die Einhaltung von IT-Sicherheit nach dem Stand der Technik.
Anwendungsbereich:
Betreiber Kritischer Infrastrukturen (KRITIS) nach BSI-KritisV
Kurzüberblick:
Absatz (1) – Betreiber Kritischer Infrastrukturen:

Pflicht zur Umsetzung technischer Vorkehrungen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IKT der Kritischen Infrastrukturen zu vermeiden.

Absatz (2) – Betreiber Kritischer Infrastrukturen und ihre Branchenverbände:

Vorschlagsrecht für branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1.

Absatz (3) – Betreiber Kritischer Infrastrukturen:

Nachweispflicht zur Erfülllung der Sicherheitsanforderungen.

Absatz (4) – Bundesamt:

Recht zur Überprüfung der Sicherheitsanforderungen bei Betreibern Kritischer Infrastrukturen.

Absatz (5) – Bundesamt:

Recht zur Festlegung von Anforderungen an die Verfahrensweise von Sicherheitsaudits, Prüfungen und Zertifizierungen.

Fristen:
  • 2. Mai 2018: Umsetzung und Nachweis von Sicherheitsmaßnahmen zur Einhaltung von IT-Sicherheit nach dem Stand der Technik,
  • ab 2. Mai 2020: alle zwei Jahre Nachweis von Sicherheitsmaßnahmen zur Einhaltung von IT-Sicherheit nach dem Stand der Technik.
Konsequenzen:
Geldbußen bis zu 100.000,- € bei ordnungswidrigem Handeln (Vgl. § 14 BSIG).
Dokumente:

§ 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen

Ziel des Gesetzes:
Regelung der Meldepflicht für KRITIS bei Störungen der IT-Sicherheit von IKT Systemen, Komponenten oder Prozessen
Anwendungsbereich:
Betreiber Kritischer Infrastrukturen (KRITIS) nach BSI-KritisV
Kurzüberblick:
Absatz (1) – Bundesamt:

Bundesamt ist zentrale Meldestelle für KRITIS.

Absatz (2) – Bundesamt:

Befugnisse des Bundesamates als Meldestelle.

Absatz (3) – Betreiber kritischer Infrastrukturen:

Benennung einer Kontaktstelle für das Bundesamt.

Absatz (4) – Betreiber kritischer Infrastrukturen:

Differenzierung der meldepflichtigen Störungen und Inhalte der Störungsmeldung.

Absatz (5) – Betreiber kritischer Infrastrukturen:

Möglichkeit zur Benennung von gemeinsamen übergeordneten Ansprechstellen für Sektoren.

Absatz (6) – Hersteller von IT-Produkten:

Mitwirkungspflicht bei der Beseitigung oder Vermeidung von Störungen.

Absatz (7) – Bundesamt und Betreiber Kritischer Infrastrukturen:

Einhaltung des Bundesdatenschutzgesetzes bei Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten.

Fristen:
2. November 2016: KRITIS müssen dem BSI eine jederzeit erreichbare Kontaktstelle benennen
Konsequenzen:
Geldbußen bis zu 100.000,- € bei ordnungswidrigem Handeln (Vgl. § 14 BSIG).
Dokumente:

§ 8d Anwendungsbereich

Ziel des Gesetzes:
Definition für den Anwendungsbereich des BSIG
Anwendungsbereich:
Unternehmen aus KRITIS-Sektoren und Anbieter digitaler Dienste
Kurzüberblick:
Absatz (1) – Kleinstunternehmen:

§§ 8a und 8b nicht anwendbar auf Kleinstunternehmen.

Absatz (2) – KRITIS und Andere:

Ausgeschlossen von § 8a sind unter anderem Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes (EnWG) soweit sie den Regelungen des § 11 des EnWG unterliegen.

Absatz (3) – KRITIS und Andere:

Ausgeschlossen von § 8b Abs. 4 sind unter anderem Betreiber von Energieversorgungsnetzen oder Energieanlagen soweit sie den Regelungen des § 11 des EnWG unterliegen.

Absatz (4) – Kleinstunternehmen und kleine Unternehmen:

Kriterien für Kleinstunternehmen und kleine Unternehmer zum Ausschluss von § 8c Abs. 1 bis 3.

Fristen:
keine
Konsequenzen:
keine
Dokumente:
Empfehlung 2003/361/EC der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen

§ 14 Bußgeldvorschriften

Ziel des Gesetzes:
Durchsetzung der Aufgaben und Pflichten aus den §§ 8a, 8b, 8c.
Anwendungsbereich:
KRITIS und Anbieter Digitaler Dienste
Kurzüberblick:
Absatz (1) – KRITIS und Anbieter Digitaler Dienste:

Definitionen ordnungswidriger Handlungen.

Absatz (2) – KRITIS und Anbieter Digitaler Dienste:

Regelung für die Ahndung von Geldbußen und deren Höhe.

Absatz (3) – Bundesamt:

Bennung zur Verwaltungsbehörde.

Fristen:
keine
Konsequenzen:
keine
Dokumente:
§ 36 Abs. 1 Nr. 1 des Gesetzes über Ordnungswidrigkeiten

Gesetz zur Umsetzung der NIS-Richtlinie (NIS-Richtlinien-Umsetzungsgesetz)

Das Gesetz zur Umsetzung der NIS-Richtlinie beschreibt die nationale Umsetzung von Maßnahmen für ein gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der Europäischen Union.
 
Insbesondere werden die Aufsichts- und Durchsetzungsbefugnisse des BSI gegenüber KRITIS-Betreibern erweitert.
 
Das NIS-Richtlinien-Umsetzungsgesetz ist am 30. Juni 2017 in Kraft getreten. Artikel 1 ändert das BSIG und Artikel 3 das EnWG.

Artikel 3
Änderung des Energiewirtschaftsgesetzes

Ziel des Gesetzes:
Ausweitung der Meldepflicht auf alle Energieversorgungsnetzbetreiber und KRITIS-Betreiber von Energieanlagen, Differenzierung der Störungen.
Anwendungsbereich:
Energieversorgungsnetzbetreiber und KRITIS-Betreiber von Energieanlagen
Kurzüberblick:

siehe § 11 Abs. 1c EnWG

Fristen:
siehe § 11 Abs. 1c EnWG
Konsequenzen:
siehe § 11 Abs. 1c EnWG
Dokumente:

Gesetze zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG)

Als erstes konkretes Ergebnis der Digitalen Agenda aus 2014 hat das IT-Sicherheitsgesetz zum Ziel, die Sicherheit der IT-Systeme und digitalen Infrastrukturen Deutschlands zu verbessern.
  
Neben der Erhöhung der Sicherheit von IT-Systemen im Bereich der Kritischen Infrastrukturen, Unternehmen und der Bundesverwaltung wird auch ein besserer Schutz der Bürgerinnen und Bürger im Internet angestrebt.
   
Das IT-Sicherheitsgesetz ist am 25. Juli 2015 in Kraft getreten. Es ist ein Artikelgesetz, das das BSIG, EnWG und weitere Gesetze ändert und ergänzt.

Artikel 3
Änderung des Energiewirtschaftsgesetzes

Ziel des Gesetzes:
Anpassung des Energiewirtschaftsgesetzes an die Anforderungen der IT-Sicherheit
Anwendungsbereich:
Betreiber von Energieversorgungsnetzen und Energieanlagen
Kurzüberblick:

siehe § 11 Absätze 1a, 1b und 1c EnWG

Fristen:
siehe § 11 Absätze 1a, 1b und 1c EnWG
Konsequenzen:
siehe § 11 Absätze 1a, 1b und 1c EnWG
Dokumente:

IT-Sicherheits­katalog gemäß § 11 EnWG (IT-Sicherheitskatalog)

Der IT-Sicherheitskatalog wird 2011 erstmals mit Einführung des § 11 Absatz 1a EnWG erwähnt. Mit der Änderung des § 11 EnWG vom 25. Juli 2015 wird Absatz 1b eingeführt. Auch dort findet der IT-Sicherheitskatalog Erwähnung.
 
Der IT-Sicherheitskatalog verpflichtet Energienetzbetreiber zur Umsetzung von Mindeststandards der IT-Sicherheit.
   
Ziel ist, Telekommunikations- und elektronische Datenverarbeitungssysteme vor Bedrohungen zu schützen, um einen sicheren Netzbetrieb gewährleisten zu können.
 
Der IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG wurde schließlich im August 2015 veröffentlicht. Für Absatz 1b wurde ein erster Entwurf des Kataloges am 11. Januar 2018 vorgelegt.

IT-Sicherheitskatalog
gemäß
§ 11 Absatz 1a EnWG

Ziel des Gesetzes:
Ziel ist die Sicherstellung der Verfügbarkeit zu schützender Systeme und Daten und die Integrität der verarbeiteten Informationen sowie die Gewährleistung ihrer Vertraulichkeit.
Anwendungsbereich:
Alle Netzbetreiber, die über Systeme verfügen, die in den Anwendungsbereich des Sicherheitskataloges fallen.
Kurzüberblick:
A. Einleitung

Nutzung von IKT-Systemen und Implementierung eines angemessenen Schutzes gegen Bedrohungen für IKT-Systeme sind eng verbunden.

B. Rechtliche Grundlagen

§ 11 Absatz 1a EnWG

C. Schutzziele
  • Verfügbarkeit der zu schützenden Systeme und Daten
  • Integrität der verarbeiteten Informationen und Systeme
  • Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen
D. Geltungsbereich

Netzbetreiber mit eignen oder durch einen externen Dienstleister betriebenen

  • TK- und EDV-Systemen, die unmittelbar Einfluss auf die Netzfahrweise nehmen
  • oder deren Ausfall die Sicherheit des Netzbetriebes gefährden könnte (z.B. Messeinrichtungen an Trafo- oder Netzkoppelstationen).
E. Sicherheitsanforderungen
  • Umsetzung eines ganzheitlichen Ansatzes zur Erreichung der Schutzziele in Form eines Informationsmanagementsystems (ISMS) nach DIN ISO/IEC 27001
  • Berücksichtigung der Normen DIN ISO/IEC 27002 und DIN ISO/IEC TR 27019
  • Aufstellung eines Netzstrukturplanes
  • Definition und Implementierung eines Prozesses zur Risikoeinschätzung
  • Auswahl geeigneter und angemessener Sicherheitsmaßnahmen
  • Ansprechpartner gegenüber der Bundesnetzagentur
F. Umsetzungsvorgaben
  • Zertifizierung des ISMS bis zum 31. Januar 2018
  • Benennung eines Ansprechpartner bis zum 30. November 2015
Literaturverzeichnis
Fristen:
  • 30. November 2015: Bennenung eines Ansprechpartners IT-Sicherheit,
  • 31. Januar 2018: Nachweis über die Umsetzung der Sicherheitsanforderungen nach IT-Sicherheitskatalog.
Konsequenzen:
keine, da § 14 BSIG wegen § 8d BSIG nicht anwendbar.
Dokumente:

ENTWURF: IT-Sicherheitskatalog
gemäß
§ 11 Absatz 1b EnWG

Ziel des Gesetzes:
Ziel ist die Sicherstellung der Verfügbarkeit zu schützender Systeme und Daten und die Integrität der verarbeiteten Informationen sowie die Gewährleistung ihrer Vertraulichkeit.
Anwendungsbereich:
Alle Energieanlagenbeteiber, die als Betreiber kritischer Infrastrukturen einzuordnen sind und an ein Energieversorgungsnetz angeschlossen sind.
Kurzüberblick:
A. Einleitung

Der IT-Sicherheitskatalog für KRITIS-Betreiber von Energieanlagen ist notwendig, um einen umfassenden Schutz für den Anlagenbetrieb sicherzustellen.

B. Schutzziele

I. Allgemeine Schutzziele

  • Verfügbarkeit der zu schützenden Systeme und Daten
  • Integrität der verarbeiteten Informationen und Systeme
  • Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen

II. Besondere Schutzziele nach Anlagentyp

1. Erzeugungsanlagen

  • Bereitstellung von elektrischer Leistung entsprechend den
    • kommunizierten Fahrplänen
    • Anforderungen des Übertragungsnetzbetreibers
    • Verfügungen des Lastverteilers
  • Gewährleistung der Schwarzstartfähigkeit

2. Gasspeicher

  • Bereitstellung von Speicherkapazität entsprechend den kommunizierten Anweisungen des Dispatchings
  • Ein- und Ausspeisung von Gasmengen entsprechend den
    • vertraglichen Verpflichtungen
    • Anforderungen des Fernleitungsnetzbetreibers
    • Verfügungendes Lastverteilers
C. Geltungsbereich

Alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Anlagenbetrieb notwendig sind.

Einteilung der eingesetzten TK- und EDV-Systeme einschließlich der Leitsysteme und Prozessführungssysteme sowie Büro- und Verwaltungsinformationssysteme in sechs Zonen. Die Zonen klassifizieren die Anwendungen, Systeme und Komponenten einer Energieanlage nach ihrer Bedeutung für einen sicheren Anlagenbetrieb.

D. Sicherheitsanforderungen

I. Informationssicherheitsmanagementsystem

Der ganzheitliche Ansatz zur Gewährleistung eines angemessenen Sicherheitsniveaus für TK- und EDV-Systeme soll durch ein Informationssicherheitsmanagementsystem (ISMS) gewährleistet werden.

Implementierung eines ISMS gemäß DIN ISO/IEC 27001, dass mindestens die Zonen 1 bis 3 umfasst.

II. Sicherheitskategorien und Maßnahmen

Berücksichtigung von Handlungsempfehlungen aus Leitlinien und Normen bei der Umsetzung des ISMS.

1. Erzeugungsanlagen:

  • VGB-Standard „IT-Sicherheit für Erzeugungsanlagen“ (VGB-S-175)
  • DIN ISO/IEC 27002
  • DIN ISO/IEC 27019

2. Gasspeicher:

  • DIN ISO/IEC 27002
  • DIN ISO/IEC 27019

III. Ordnungsgemäßer Betrieb der betroffenen IKT-Systeme

IKT-Systeme und darauf basierende Verfahren müssen funktionieren, Störungen müssen erkannt und behoben werden.

IV. Risikoeinschätzung

Einführung eines Prozesses zur Einschätzung des Risikos in Hinblick auf die Schutzziele. Jede Anlage muss dabei im Gesamtkontext der Energieversorgung betrachtet werden, um zu vermeiden, dass eine Anlage als Teilziel einers Angriffes auf die Strom- oder Gasversorgung mißbraucht wird.

Schadenskategorien:

Standardwert für eine Einstufung ist die Kategorie „hoch“. Eine Einstufung als „kritisch“ muss geprüft werden. Abweichende Einstufungen sind ausführlich zu begründen.

V. Risikobehandlung

Risiken von Anwendungen, Systemen und Komponenten aus den Zonen 1 bis 3 dürfen nicht akzeptiert werden.

Kommunizieren Anwendungen, Systeme und Komponenten aus den Zonen 4 bis 6 mit welchen aus den Zonen 1 bis 3, sind auch diese einem höheren Schutzbedarf unterstellt.

VI. Ansprechpartner IT-Sicherheit

Meldung eines Ansprechpartners an die Bundesnetzagentur.

E. Umsetzungsvorgaben

I. Zertifizierung

Belegung der Umsetzung der Anforderungen des IT-Sicherheitskataloges durch ein Zertifikat.

II. Umsetzungsfristen

Vorlage des ISMS-Zertifikates innerhalb von 1,5 Jahren nach Veröffentlichung des IT-Sicherheitskataloges.

Bennenung eines Ansprechpartners innerhalb von 2 Monaten nach Veröffentlichung des IT-Sicherheitskataloges.

F. Abweichende Regelungen für Anlagen nach § 7 Absatz 1 des Atomgesetzes
  • Anwendung der „Richtlinie für den Schutz von IT-Systemen in kerntechnischen Anlagen und Einrichtungen der Sicherungskategorien I und II gegen Störmaßnahmen oder sonstige Einwirkungen Dritter (SEWD-Richtlinie IT)“.
  • Beachtung der Schutzziele unter B./II./1.
  • Vorlage einer Bestätigung zur Erfüllung der Anforderungen durch die zuständigen Genehmigungs- und Aufsichtsbehörden der Länder bis zum 30. Juni 2019.
  • Wiederholte Vorlage des Nachweises an jedem 30. Juni eines Jahres.
Fristen:
  • 2 Monate nach Veröffentlichung des Kataloges: Bennenung eines Ansprechpartners IT-Sicherheit,
  • 1,5 Jahre nach Veröffentlichung des Kataloges: Nachweis über die Umsetzung der Sicherheitsanforderungen nach IT-Sicherheitskatalog,
  • Zum 30. Juni 2019: Nachweis der Anforderungen durch Anlagenbetreiber nach § 7 Absatz 1 AtG.
Konsequenzen:
keine
Dokumente:

NIS-Richtline

Die NIS-Richtlinie definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union.
     
Mit der Richtlinie wird ein einheitlicher Rechtsrahmen für den Eu-weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit, eine stärkere Zusammenarbeit der Mitgliedsstaaten, Mindestsicherheitsanforderungen an Kritische Infrastrukturen und eine Meldepflicht für Kritische Infrastrukturen und bestimmte Anbieter digitaler Dienste geschaffen.
      
Die Abkürzung NIS steht für Netz- und Informationssicherheit. Die NIS-Richtlinie ist am 8. August 2016 in Kraft getreten. Bis zum 10. Mai 2018 musste sie umgesetzt werden. Am 30 Juni 2017 wurde die Richtlinie in Deutschland umgesetzt.

RICHTLINIE (EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 6. Juli 2016
über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union

Ziel des Gesetzes:
Verbesserung der Netzwerk- und Informationssytemsicherheit in der EU
Anwendungsbereich:
Mitgliedsstaaten der EU
Kurzüberblick:

Begründung zum Erlass der Richtlinie
Kapitel I ALLGEMEINE BESTIMMUNGEN
Artikel 1 Gegenstand und Anwendungsbereich
Artikel 2 Verarbeitung personenbeszogener Daten
Artikel 3 Mindestharmonisierung
Artikel 4 Begriffsbestimmungen
Artikel 5 Ermittlung der Bereiber wesentlicher Dienste
Artikel 6 Erhebliche Störung
Kapitel II NATIONALE RAHMEN FÜR DIE SICHERHEIT VON NETZ- UND INFORMATIONSSYSTEMEN
Artikel 7 Nationale Strategie für die Sicherheit von Netz- und Informationssystemen
Artikel 8 Nationale zuständige Behörden und zentrale Anlaufstelle
Artikel 9 Computer-Notfallteams (CSIRTs)
Artikel 10 Zusammenarbeit auf nationaler Ebene
Kapitel III ZUSAMMENARBEIT
Artikel 11 Kooperationsgruppe
Artikel 12 CSIRTs-Netzwerk
Artikel 13 Internationale Zusammenarbeit
Kapitel IV SICHERHEIT DER NETZ- UND INFORMATIONSSYSTEME DER BETREIBER WESENTLICHER DIENSTE
Artikel 14 Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen
Artikel 15 Umsetzung und Durchsetzung
Kapitel V SICHERHEIT DER NETZ- UND INFORMATIONSSYSTEME DER ANBIETER DIGITALER DIENSTE
Artikel 16 Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen
Artikel 17 Umsetzung und Durchsetzung
Artikel 18 Gerichtliche Zuständigkeit und Territorialität
Kapitel VI Normung und Freiwillige Meldung
Artikel 19 Normung
Artikel 20 Freiwillige Meldung
Kapitel VII SCHLUSSBESTIMMUNGEN
Artikel 21 Sanktionen
Artikel 22 Ausschussverfahren
Artikel 23 Überprüfung
Artikel 24 Übergangsmaßnahmen
Artikel 25 Umsetzung
Artikel 26 Inkrafttreten
Artikel 27 Adressaten

Fristen:
9. Mai 2018: Umsetzungsfrist
Konsequenzen:
Von den Mitgliedsstaaten bis zum 9. Mai 2018 zu erarbeiten.
Dokumente:
keine

Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV)

Die BSI-KritisV ist eine Rechtsverordnung, die klärt welche Unternehmen zu den Betreibern einer Kritischen Infrastruktur, den sog. KRITIS, gehören.
 
Die Verordnung definiert damit Kritische Infrastrukturen im Sinne des BSIG in den Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung im ersten von zwei Teilen. Der erste Teil ist am 3. Mai 2016 in Kraft getreten.
 
Im zweiten Teil der BSI-KritisV werden Kriterien für die Sektoren Transport und Verkehr, Gesundheit und Finanz- und Versicherungswesen aufgestellt. Er trat am 30. Juni 2017 in Kraft.

§ 2 Sektor Energie

Ziel des Gesetzes:
Definition von Kriterien zur Bestimmung von KRITIS im Sektor Energie
Anwendungsbereich:
Unternehmen im Sektor Energie
Kurzüberblick:
Absatz (1) – Unternehmen im Sektor Energie:

Definition kritischer Dientstleistungen:

  • Stromversorgung
  • Gasversorgung
  • Kraftstoff- und Heizölversorgung
  • Fernwärmeversorgung
Absatz (2) – Strom- und Gasversorger:

Unterteilung in die Bereiche :

  • Erzeugung
  • Übertragung
  • Verteilung

für Strom und die Bereiche:

  • Transport
  • Verteilung

für Gas.

Absatz (3) – Kraftstoff- und Heizölversorger:

Unterteilung in die Bereiche:

  • Rohölförderung
  • Produktherstellung
  • Öltransport
  • Kraftstoff- und Heizölverteilung
Absatz (4) – Fernwärmeversorgung:

Unterteilung in die Bereiche:

  • Erzeugung
  • Verteilung
Absatz (5) – Unternehmen im Sektor Energie:

Bestimmung Kritischer Infrastrukturen nach Kategorien mit Verweis auf Anhang 1

Fristen:
2. Mai 2018: Alle zwei Jahre überprüft das Bundesministerium für Wirtschaft und Energie zusammen mit Vertretern der Wissenschaft und Betreibern den Kriterienkatalog.
Konsequenzen:
keine
Dokumente:
keine

Anhang 1
Anlagenkategorien und Schwellenwerte
im Sektor Energie

Ziel des Gesetzes:
Definition von Kriterien zur Bestimmung von KRITIS im Sektor Energie
Anwendungsbereich:
Unternehmen im Sektor Energie
Kurzüberblick:
Teil 1 Grundsätze und Fristen:
  • Begriffsbestimmungen von verschiedenen Anlagen und Systemen
  • Geltungszeitpunkt einer Kritischen Infrastruktur
  • Fristen für die Ermittlung des Versorgungsgrades einer Anlage
  • Stichtage für die Gültigkeit von Versorgungsgraden
Teil 2 Berechnungsformeln zur Ermittlung der Schwellenwerte:

Erläuterung der Annahmen, die der Berechnung der Schwellenwerte zugrunde liegen.

Teil 3 Anlagenkategorien und Schwellenwerte:

Tabellarische Darstellung der Anlagenkategorie, des Bemessungskriteriums und des Schwellenwertes unterteilt nach kritischen Dienstleistungen.

Fristen:
2. Mai 2018: Alle zwei Jahre überprüft das Bundesministerium für Wirtschaft und Energie zusammen mit Vertretern der Wissenschaft und Betreibern den Kriterienkatalog.
Konsequenzen:
keine
Dokumente:
keine