Erfahrungsbericht: Befreiung von der Zertifizierungspflicht gemäß IT-Sicherheitskatalog

Viele Netzbetreiber konnten bereits eine Befreiung von der Zertifizierungspflicht erreichen. Die Süd IT hat dazu ein Vorgehen entwickelt mit denen Netzbetreiber unnötige Aufwände vermeiden können und größtmögliche Rechtsicherheit erlangen.

Nicht jeder Netzbetreiber muss eine  Zertifizierung durchführen, um die Anforderungen des IT-Sicherheitskataloges zu erfüllen. Dabei ist nicht die Größe des Unternehmens wesentlich. Entscheidend ist, ob es gengenüber der Bundesnetzagentur nachweisen kann, dass es keine Anlagen betreibt, die vom IT-Sicherheitskatalog erfasst sind. Die Süd IT hat bereits umfangreiche Erfahrungen gesammelt, Netzbetreiber mit ihrem bewährten Vorgehen bei der Argumentation gegenüber der Bundesnetzagentur erfolgreich zu unterstützten

Wann muss ein Netzbetreiber tatsächlich die Zertifizierung durchführen? 

Im Abschnitt D des IT-Sicherheitskataloges sind Kriterien aufgestellt, welche Anlagen in den Geltungsbereich fallen. Diese werden durch die FAQs zum Thema auf den Webseiten der Bundesnetzagentur (BNetzA) ergänzt. Letztlich können die Kriterien etwas vereinfacht auf die drei Kernfragen reduziert werden:

  • Werden durch den Netzbetreiber Schalthandlungen am Netz unter Verwendung von ITK-Systemen durchgeführt?
  • Würde ein Ausfall oder Manipulation von ITK Systemen des Netzbetreibers die Sicherheit des Netzbetriebes gefährden?
  • Sind für die Wiederherstellung der Energieversorgung nach einem Schwarzfall ITK Systeme des Netzbetreibers erforderlich?

Letztlich ist entscheidend, ob der Netzbetreiber selbst Anlagen betreibt, von denen ein Risiko für den sicheren Netzbetrieb ausgeht. Ist der Netzbetrieb vollständig zu einem Dienstleister ausgelagert, entfällt folglich ebenfalls die Zertifizierungspflicht

Bei der Betrachtung sind dabei neben den aktiven Komponenten innerhalb des Netzes grundsätzlich auch alle mit dem Netz verbundenen Anlagen zu betrachten, die vom Netzbetreiber in irgendeiner Weise gesteuert werden. In vielen Fällen betreibt der Netzbetreiber solche Anlagen, die indirekt Einfluss auf das Netz nehmen, wie eine Steuerung von Erzeugungsanlagen oder Verbrauchern. Diese Anlagen müssen gegebenenfalls detailliert analysiert werden um das Risiko für einen sicheren Netzbetrieb zu bewerten.

Erstellung eines Gutachtens 

Um eine Befreiung von der Zertifizierungspflicht zu erwirken, muss der Netzbetreiber gegenüber der BNetzA schlüssig nachweisen, dass von den Anlagen die er betreibt kein Risiko für den sicheren Netzbetrieb ausgeht. Für den praxisorientierten Netzbetreiber ist dabei oftmals nicht eindeutig, welche Anlagen hier auf welche Weise nach den Vorgaben des IT-Sicherheitskataloges zu bewerten sind. Zu diesem Zweck hat die Süd IT zusammen mit den Verbänden EGEVU, KOV und PEG ein standardisiertes Gutachten-Verfahren erarbeitet und dieses erfolgreich bei der BNetzA vorgestellt. 

Das Vorgehen gliedert sich dabei in die Schritte:

  1. Telefonisches Erstgespräch zur Netzstruktur
  2. Vor-Ort Aufnahme der wesentlichen Leistungsdaten und Besichtigung der relevanten Anlagen
  3. Erstellung eines Gutachtens zur Vorlage bei der BNetzA.

In Schritt 1 werden dabei die grundsätzlichen Voraussetzungen für das Gutachtenverfahren abgeklärt. Schritt 2 dient der Erhebung aller Grundlagen für das Gutachten. Dabei werden in der Praxis immer wieder Anlagen identifiziert, die eigentlich in den Anwendungsbereich des IT-Sicherheitskataloges fallen. In diesen Fällen hat der Netzbetreiber die Wahl, die betroffenen Anlagen, sofern möglich, abzubauen oder eine Zertifizierung durchzuführen.

In jedem Fall sind die Aufwände vom Erstgespräch bis zur schriftliche Ausarbeitung des Gutachtens mit einer sorgfältigen Risikobewertung nur ein Bruchteil dessen, was für eine Zertifizierung aufgewendet werden müsste. 

Nachweis gegenüber der Bundesnetzagentur

Das fertige Gutachten wird zusammen mit einem vorformulierten Anschreiben an die BNetzA übermittelt. In der Regel erfolgt dann innerhalb weniger Wochen eine Bestätigung durch die BNetzA, dass von einer Forderung zur Umsetzung der Zertifizierungspflicht abgesehen wird. Zumindest wurde in allen Fällen, welche die Süd IT bisher bearbeitet hat, diese Bestätigung ausgesprochen. Um sich in der Bestätigung nicht zu genau festzulegen, wählt dabei die BNetzA in der Regel die Formulierung "Da sich auf der Basis Ihres Sachvortrags jedenfalls keine Anhaltspunkte für mich ergeben haben, dass Ihre Einschätzung zur Nichtanwendbarkeit des IT-Sicherheitskatalogs offensichtlich falsch ist, werde ich davon absehen, nach Ablauf der Umsetzungsfrist zum 31.01.2018 die grundsätzlich erforderliche Zertifizierung Ihres Unternehmens zu verlangen". Netzbetreiber ohne juristischen Beistand kommen bei dieser Formulierung schon einmal ins Grübeln.

Zusammen mit der Bestätigung macht die BNetzA in der Regel den Netzbetreiber auch auf haftungsrechtliche Konsequenzen bei fehlerhaften Angaben aufmerksam. Auch aus diesem Grund ist eine Bewertung durch einen unabhängigen Gutachter empfehlenswert. Zuletzt lässt die BNetzA den Netzbetreiber im Regelfall eine Formular unterschreiben, in dem er bestätigt wirklich keine Anlagen mit Gefährdungspotential zu betreiben, etwaige Änderungen der BNetzA umgehend mitzuteilen, und die Erklärung zur Nichtanwendbarkeit des IT-Sicherheitskataloges in regelmäßigen Abständen zu wiederholen. 

Erfahrungen aus der Praxis

Die Süd IT hat zählt zu Ihrem Kundenkreis für das beschrieben Gutachten-Verfahren bereits über 40 Strom- und Gasnetzbetreiber. Dazu zählen kleinere Stromnetzbetreiber die keine Fernwirktechnik betreiben, aber auch größere Stadtwerke, die den Netzbetrieb im Wesentli-chen outgesourced haben oder ihr Gas-Netz rein pneumatisch betreiben. 

Dazu äußerte sich Marcus Hanff von den Stadtwerken Furth im Wald: "Herr Peter Unter-mann von der Süd IT, als der für uns zuständigen Mitarbeiter, überzeugte durch fachlich kompetente Unterstützung. Die Durchführung und Erstellung des Gutachtens erfolgte zeitnah und unkompliziert. Durch die Vorlage eines qualifizierten und vollumfänglichen Gutachtens zur Situation bei den Stadtwerken Furth im Wald durch die IT Süd an die BNetzA wurde bestätigt, das keine Anlagen mit Gefährdungspotential für den sicheren Netzbetrieb in unserem Versorgungsgebiet vorhanden sind und somit keine Zertifizierung nach IT-Sicherheitskatalog notwendig ist. Dies hat letztendlich zu erheblichen Kosteneinsparungen für die Stadtwerke Furth im Wald führt."