VDE-Position zur KRITIS

VDE-POSITION
Stellungnahme zum Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz
Eine hohe Versorgungsqualität und ein jederzeit sicherer Systembetrieb des
Energieversorgungssystems bilden die Grundvoraussetzungen für die Funktionsfähigkeit
fast aller gesellschaftlichen Bereiche.
Der Verordnungsentwurf zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz
spezifiziert für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation
sowie Ernährung die Umsetzung des § 10 des BSI-Gesetzes. Es werden erstmals
Vorgaben in Form von Schwellenwerten gemacht, nach denen die Bewertung der
Kritikalität einer Infrastruktur erfolgt. Als Zielvorgabe der Rechtsverordnung ergibt sich,
dass ausschließlich Anlagen mit hinreichender Bedeutung zur Sicherstellung der
Versorgung der Allgemeinheit als Kritische Infrastrukturen gelten.
Die Gremien des FNN und der DKE haben den Verordnungsentwurf hinsichtlich des
Sektors Energie - Stromversorgung analysiert und schlagen folgende Änderungen vor:
Sektorübergreifende Vererbbarkeit der Kritikalität begrenzen
Im Abschnitt E.2 Erfüllungsaufwand wird die Aussage getroffen, dass die Anzahl erfasster
Betreiber deutlich geringer ausfallen wird als die Anzahl der als Kritische Infrastrukturen
geltenden Anlagen.
Folge:
Diese Aussage ist nur teilweise zutreffend, da in der Verordnung die Betrachtung von
Interdependenzen außer Acht gelassen wird. Der Sektor Energie ist zur Erbringung vieler
anderer kritischer Dienstleistungen notwendig (evtl. sogar als Nebeneinrichtung nach § 1
BSI-KritisV).
Vorschlag:
Verankert werden muss der Grundsatz, dass jeder Sektor für seine Vorsorgemaßnahmen
verantwortlich ist. Betreiber müssen bei bekannten Interdependenzen die
VDE-POSITION
Substituierbarkeiten von Nebeneinrichtungen für ihre kritischen Dienstleistungen stets
selbst überprüfen.
Alternativ könnten die Maßgaben zur Ermittlung des Versorgungsgrades, im Teil B zu
Nr.4, in den Verordnungstext unter §1 aufgenommen werden.
Erbringung kritischer Dienstleistungen präzisieren
Unbeschadet der festgelegten Anlagenkategorien gilt eine Anlage laut Begründungsteil B. Besonderer Teil, zu § 1, Nr. 4 nicht bereits deshalb als Kritische Infrastruktur,
weil durch sie Dienstleistungen für die Betriebsführung einer Kritischen Infrastruktur
erbracht werden. Nicht erfasst sind Anlagen, die zur Versorgung ausschließlich
betriebsinterner Prozesse, z. B. innerhalb eines Konzernverbundes, dienen.
Folge:
Sofern ein Verfahrensschritt bzw. eine Dienstleistung für eine Kritische Infrastruktur
betriebsnotwendig ist, ist sie der Anlage zuzurechnen. Anlagen, die der Selbst-/
Eigenversorgung dienen (wie z. B. Netzersatzanlagen für Rechenzentren) sind für den
Betrieb der Kritischen Infrastrukturen notwendig, unterliegen aber nicht der Verordnung
und gehören demnach nicht zu Kritischen Infrastrukturen.
Vorschlag:
Ausnahmetatbestände für nicht Kritische Infrastrukturen müssen klar aus der Verordnung
hervorgehen:
Der referenzierte Begründungsteil ist zu präzisieren: Es sollte klargestellt werden, dass
eine Anlage, die eine Dienstleistung für eine Kritische Infrastruktur erbringt, nur dann nicht
kritisch ist, wenn diese Anlage mit der kritischen Dienstleistung nicht in einem
betriebstechnischen Zusammenhang steht oder nicht für die kritische Dienstleistung von
Bedeutung sein kann.
Konkretisierung des Anlagenbegriffs notwendig
Im Begründungsteil B. Besonderer Teil, zu § 1, Nr. 1 wird ausgeführt, dass bei
Betriebsstätten wie Erzeugungsanlagen und Energieversorgungsnetzen, die im Anhang
genannt werden, der Anlagenumfang besonders weit reicht und die gesamte
Betriebsstätte erfasst wird, nicht lediglich einzelne Kraftwerksblöcke.
Folge:
Betreiber von Energieerzeugungsanlagen müssen in Zukunft die Anforderungen des
Sicherheitskatalogs nach § 11 Absatz 1b EnWG einhalten und eine entsprechende
Zertifizierung nachweisen. Durch den weitreichenden Anlagenumfang bedeutet dies, dass
Stand: Februar 2016
Seite 2 von 8
VDE-POSITION
auch Bereiche der Betriebsstätte, die u. U. nicht zum Betrieb einer Kritischen Infrastruktur
beitragen, erfasst werden.
Die Erfassung eines Verteilnetzes in einem Begriff entspricht keinem praxisnahen
Vorgehen. Durch den weitreichenden Anlagenumfang und die resultierende Zertifizierung
entsteht ein signifikanter Mehraufwand.
Vorschlag:
In Bezug auf den Begriff des Energieversorungsnetzes sollte der Anlagenbegriff weiter
spezifiziert werden, z. B. durch eine Ermöglichung einer weiteren Untergliederung.
Handel als eigene Anlagenkategorie
Nach Begründung B. Besonderer Teil zu § 2, Absatz 1, Nr. 1 umfassen kritische
Dienstleistungen weiterhin den Betrieb des öffentlichen Stromversorgungsnetzes
einschließlich der vorgelagerten Stromerzeugung. Dem Bereich Übertragung ist
entsprechend der Erläuterung zu Absatz 2 neben der Durchleitung von Elektrizität auch
der Stromhandel zuzuordnen, weil dieser den Übertragungsnetzbetreibern als
Mechanismus zur Beschaffung von Elektrizität zur Deckung von Verlusten und für den
Ausgleich von Differenzen zwischen Ein- und Ausspeisung nach § 22 Absatz 1 EnWG
dient.
Folge:
Diese Regelung bildet nicht die wesentlichen drei Säulen Erzeugung, Übertragung/Verteilung, Vertrieb/Handel der Stromversorgung ab.
Vorschlag:
Aus Sicht der Übertragungs-/Netzbetreiber ist unter zentralen Handelssystemen die Börse
EEX zu verstehen. Dies sollte in der Rechtsverordnung als eigenständige
Anlagenkategorie dargestellt und nicht der Anlagenkategorie Übertragung/Stromnetz
zugeordnet werden. Die hier gegebenenfalls notwendigen Maßnahmen (Stand der
Technik) zur Absicherung dieser Handelssysteme sind daher durch die Börse und nicht
durch die Übertragungs-/Netzbetreiber zu verantworten.
Stand: Februar 2016
Seite 3 von 8
VDE-POSITION
Bemessungskriterium für Verteilnetze spezifizieren
Im Anhang 1 Teil 3, Nr. 1 wird das Bemessungskriterium für Verteilernetze als
entnommene Arbeit in GWh/a über alle Netzebenen festgelegt.
Folge:
Bei dieser Festlegung ergeben sich Interpretationsspielräume in der praktischen
Umsetzung. Unternehmen können mit ihrer Anlage „Verteilnetz“ sowohl auf allen
Spannungsebenen als auch nur in einzelnen die Schwellenwerte überschreiten. Es ist
folglich unklar, in welchem Fall sie als kritisch gelten.
Vorschlag:
Konkretisierung der Aussage „über alle Netzebenen“ wie folgt: Kritisch wird ein Verteilnetz
erst dann, wenn der genannte Schwellenwert in sämtlichen Netzebenen dieser Anlage
überschritten wird. Das Überschreiten in nur einer Netzebene führt nicht zum Status einer
Kritischen Infrastruktur.
Meldungsanzahl überprüfen
Entsprechend des Abschnitts E.2 Erfüllungsaufwand für die Wirtschaft sind nach
Abschätzung der Annahmen maximal sieben Meldungen von IT-Sicherheitsvorfällen pro
Jahr und betriebener Anlage zu Grunde gelegt.
Folge:
Diese Zahl erscheint zu willkürlich gewählt. Es ist nicht klar, auf welchen Annahmen sie
basiert. Die Anzahl der sieben Meldungen kann nur als Eingangsschätzung dienen.
Vorschlag:
Die maximale Meldungszahl sollte nach sechs Monaten geprüft und wenn notwendig
angepasst werden, um den Erfüllungsaufwand für die Wirtschaft korrekt abschätzen zu
können.
Erfüllungsaufwand Umsetzung Stand der Technik
Der Erfüllungsaufwand für die Wirtschaft wird rein an den Meldeprozessen festgemacht.
Dies ist für die Branche Strom und hier insbesondere für die „Energieerzeugungsanlagen“, nicht zutreffend. Nach § 11 Absatz 1b EnWG müssen alle Betreiber von
Energieerzeugungsanlagen, die nach Rechtsverordnung § 10 BSI-Gesetz als Betreiber
Kritischer Infrastrukturen identifiziert werden, einen Sicherheitskatalog zur „Herstellung
des Stands der Technik“ erfüllen. Dieser Sicherheitskatalog wird, so wie der für die
Stand: Februar 2016
Seite 4 von 8
VDE-POSITION
Energienetze nach § 11 Absatz 1a, eine Zertifizierung nach ISO 27001 zum Nachweis der
Erfüllung mit sich bringen.
Folge:
Die Umsetzung von zusätzlichen Maßnahmen zur IT- und Informationssicherheit und die
Zertifizierung nach ISO 27001 bedeutet für die betroffenen Betreiber von
Energieerzeugungsanlagen erheblichen Mehraufwand.
Vorschlag:
Die Bemessung des Erfüllungsaufwands sollte auch den durch die Zertifizierung
entstehenden Mehraufwand berücksichtigen.
Kerntechnische Anlagen aus dem Geltungsbereich nehmen
Kerntechnische Anlagen fallen in den Geltungsbereich der vorliegenden Verordnung. Im
August 2013 wurde auf Betreiben des Bundesministeriums für Umwelt, Naturschutz, Bau
und Reaktorsicherheit eine „Richtlinie für den Schutz von IT-Systemen in kerntechnischen
Anlagen und Einrichtungen der Sicherungskategorien I und II gegen Störmaßnahmen
oder sonstige Einwirkungen Dritter“ (SEWD-RL IT) in Kraft gesetzt, welche mit gestuften
Übergangsfristen bereits in fortgeschrittener Umsetzung ist und zum 13.08.2016
uneingeschränkt wirksam wird. Die Richtlinie regelt für die betroffenen Anlagen
umfassende Vorgaben zu organisatorischen, prozessualen und technischen
Anforderungen der IT-Sicherheit und schließt hierbei alle installierten IT-Systeme ein. Die
Umsetzung dieser Richtlinie obliegt der Aufsicht der atomrechtlich zuständigen
Landesbehörden, wird in deren Auftrag durch unabhängige Sachverständige begleitet und
wird in definierten zeitlichen Abständen regelmäßig überprüft.
Folge:
Mit der SEWD-RL IT und den eingeführten Meldepflichten für IT-Sicherheitsvorfälle sind
somit bereits umfassende, alle Betriebsbereiche einer kerntechnischen Anlage
abdeckende und in Umfang und Wesensgehalt über die reinen verfügbarkeitsrelevanten
Anforderungen einer Kritischen Infrastruktur hinausgehende, regulatorische Vorgaben für
kerntechnische Anlagen der Energieerzeugung in Kraft, welche durch die atomrechtlich
verantwortlichen staatlichen Stellen überwacht und überprüft werden.
Vorschlag:
Kerntechnische Anlagen sollten aus dem Geltungsbereich der Rechtsverordnung
herausgenommen werden.
Stand: Februar 2016
Seite 5 von 8
VDE-POSITION
Schwellenwert bei Definition der kritischen Dienstleistung
ergänzen
Als kritische Dienstleistungen werden in § 1 Nr. 3 Dienstleistungen definiert, die zur
Versorgung der Allgemeinheit dienen und deren Ausfall oder Beeinträchtigungen zu
erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit
oder zu vergleichbaren Folgen führen würden.
Folge:
Die der Verordnung zugrunde gelegte Schwelle von 500.000 betroffenen Einwohnern wird
in der Begründung nicht erwähnt.
Vorschlag:
Der Schwellenwert von 500.000 Einwohnern ist eine zentrale Festlegung, die in der
Definition für kritische Dienstleistungen integriert werden sollte.
Beachtung struktureller Unterschiede anstreben
In der Begründung B. Besonderer Teil zu § 2 Absatz 1 Nummer 1 werden kritische
Dienstleistungen der Stromversorgung als fortdauernde und im gesamten
Verteilungsgebiet gesicherte Versorgung der Allgemeinheit mit elektrischer Energie
bezeichnet.
Folge:
Netzbetreiber mit einem Flächenversorgungsauftrag bringen deutlich andere Methoden
zur Anwendung als Netzbetreiber in Ballungsgebieten. Die BNetzA berücksichtigt dies
über Strukturparameter/-daten.
Vorschlag:
Strukturelle Unterschiede sollten in zukünftigen Anpassungen der Verordnung
berücksichtigt werden.
Anpassungsbedarf
Im Folgenden werden Passagen des vorliegenden Verordnungsentwurfes aufgeführt, bei
denen VDE empfiehlt, inhaltliche Spezifizierungen bzw. redaktionelle Anpassungen
durchzuführen.

E.2 Erfüllungsaufwand: Die Summe der geschätzten Anzahl der Anlagen ist in der
Tabelle und im Text anzugleichen (vgl. S. 4 und 24)
Stand: Februar 2016
Seite 6 von 8
VDE-POSITION

§ 1: Anlagen werden allen vorgesehehen Anlagenteile und Verfahrensschritte
zugerechnet, die zum Betrieb notwendig sind und die für die Erbringung einer
kritischen Dienstleistung von Bedeutung sein können. „Können“ ersetzen durch
„Anlagen, die von Bedeutung sind“.

§ 2, Absatz 2: Für die Dienstleistungen Strom- und Gasversorgung werden die
Bereiche Erzeugung/Gewinnung und Betrieb von Energieversorgungsnetzen
genannt. Für eine konsistente Begriffsverwendung sollten die Bereiche
Stromerzeugung, -übertragung und -verteilung sowie Gasförderung, -transport und
-verteilung verwendet werden.

Anhang 1, Teil 1, Nr. 3: Bei Übertragungsnetzen und Fernwärmenetzen ist
vorgesehen, die Anzahl der unmittelbar versorgten Personen/Haushalte direkt zu
ermitteln. Für die unmittelbare Ermittlung der angeschlossenen Verbraucher sollte
nicht auf 1.2.1 Übertragungsnetz sondern auf 1.3.2 Messstelle verwiesen werden.

Anhang 1, Teil 1, Nr. 4: Bei Stromversorgung und Fernwärmeversorgung ist
generell die installierte Leistung (Kapazität) zu verwenden. In Anhang 1, Teil 1,
Nr. 4, sollte nicht auf Teil 3 Nr. 1 und Nr. 4 sondern nur auf Teil 3 Nr. 1.1 und
Nr. 4.1 verwiesen werden.

Begründung A. Allgemeiner Teil, IV. Gesetzesfolgen: Es wird auf die Anzahl der
Betreiber Kritischer Infrastrukturen über alle sieben Sektoren referenziert. Der
vorliegende Verordnungsentwurf deckt zunächst nur Korb 1 ab, welcher nur vier
der gesamten Sektoren umfasst (vgl. auch Abschnitt B. Besonderer Teil, zu
Nummer 3).

Begründung B. Besonderer Teil, § 1, zu Nr. 5: Relevanz der Beispiele zur
Notfallversorgung sollten überdacht werden. Zusätzlich sollte auf die Verwendung
von Unternehmensnamen verzichtet werden. Der bereits genannte Begriff „private
Anbieter“ schließt alle privaten Unternehmen ein und macht gesonderte
Benennungen überflüssig.

Begründung B. Besonderer Teil , § 2, Absatz 1: Die Verwendung des Begriffs
kurzzeitige Versorgungsunterbrechung sollte überprüft werden. Kurzzeitige
Unterbrechungen sind betriebsbedingt. Kurzunterbrechungen sind eine
Schutzmaßnahme und dienen dazu, den sicheren und zuverlässigen Betrieb
aufrechtzuerhalten.

Begründung B. Besonderer Teil § 2, Absatz 5, Nr. 1: Definition einer
Erzeugungsanlage erfolgt im Sinne des § 3 Nr. 18c EnWG. In der vorliegenden
Stand: Februar 2016
Seite 7 von 8
VDE-POSITION
Fassung des EnWG vom 15.12.2015 ist diese nicht vorhanden, die Erzeugungsanlage entsprechend nicht definiert.

Begründung B. Besonderer Teil § 2, Absatz 5, Nr. 2: Anlagenkategorie Messstelle:
Hier ist eine weitere Definition erforderlich
VDE Verband der Elektrotechnik Elektronik Informationstechnik e. V.
Finja Bauer
Bismarckstr. 33
10625 Berlin
Andreas Harner
Stresemannallee 15
60596 Frankfurt am Main
Tel.: +49 30 383868-26
E-Mail: [email protected]
www.vde.com/fnn
Tel.: +49 69 63089392
E-Mail: [email protected]
www.dke.de
Stand: Februar 2016
Seite 8 von 8

Download Report