Karla Klasen, Rechtsanwältin mit Spezialisierung auf das Recht der Erneuerbare Energien bei Osborne Clarke erläutert wichtige Aspekte der Kritis-Verordnung.
Wen betrifft die Kritis-Verordnung in der Erneuerbare-Energien-Branche?
Karla Klasen: Sie ist für Betreiber von Energieerzeugungsanlagen relevant – also für Betreiber von Wind- und Solarparks. Anlagen ab einer Leistung von 104 Megawatt gelten als Kritische Infrastruktur. Niedrigere Schwellenwerte greifen nur bei Anlagen, die Primärregelleistung bereitstellen oder schwarzstartfähig sind, was bei Wind- und Solarparks bislang nicht der Fall ist. In Deutschland fallen also vor allem Offshore-Windparks darunter. Der Kritis-Schwellenwert lag bislang bei 420 Megawatt und wurde durch die zweite Änderungsverordnung zur Kritis-Verordnung reduziert, die zum 1.1.2022 in Kraft getreten ist. Zudem ist die Kritis-Verordnung für sogenannte Aggregatoren relevant, Betreiber einer Anlage zur Steuerung oder Bündelung elektrischer Leistung. Hier gelten ebenfalls die 104 Megawatt. Aggregatoren sind zum Beispiel Hersteller, Direktvermarkter oder Wartungsunternehmen mit Fernzugriffen auf Windparks als Betreiber eines virtuellen Kraftwerks. Technische Betriebsführer sind Aggregatoren, wenn sie steuernden Zugriff auf ein großes Portfolio haben. Und wenn mehr als 104 Megawatt Leistung über ein Umspannwerk ans Stromnetz angeschlossen sind, dann kommt dieses ebenfalls als Kritische Infrastruktur in Betracht.
Die kleinen Betreiber sind also fein raus?
Karla Klasen: Sofern Betreiber die Schwellenwerte nicht überschreiten, sind sie keine Betreiber Kritischer Infrastruktur. Allerdings ist die Geschäftsführung aus allgemeinen Grundsätzen verpflichtet, zumindest gewisse IT-Sicherheitsmaßnahmen zu ergreifen, wenn dies notwendig ist, um Schaden von dem Unternehmen abzuwenden. So muss jedes Unternehmen für einen gewissen Mindeststandard an IT-Sicherheit sorgen, auch wenn kleinere Betreiber keine Zertifizierung und Auditierung als Kritische Infrastruktur anstoßen müssen.
Ganz unabhängig von gesetzlichen Pflichten, sollten sich Unternehmen natürlich schon aus wirtschaftlichen Interessen mit IT-Sicherheit beschäftigen. Andernfalls macht man sich erpressbar oder riskiert, dass der Betrieb stillliegt. Wir sehen zudem im Markt, dass zunehmend Fokus auf die Einhaltung gewisser Mindeststandards gelegt wird. Mit zunehmender Digitalisierung nimmt auch das Bedürfnis nach IT-Sicherheit in der Breite zu. Die Log4J-Sicherheitslücke, die die ganze Welt letztes Jahr in Atem gehalten hat, zeigt, dass es enorm wichtig ist, schnell zu reagieren. Das funktioniert nur, wenn man gut aufgestellt ist.
Was sind die Kritischen Schnittstellen bei einer Windenergieanlage?
Karla Klasen: Kritisch sind die Schnittstellen, die es einem Dritten ermöglichen, die Windenergieanlage zu steuern bzw. zu regeln. So haben Netzbetreiber, Hersteller, Direktvermarkter, Wartungsunternehmen und teilweise auch die technischen Betriebsführer direkten steuerbaren Zugriff auf die Windenergieanlage, wenn auch über unterschiedliche Schnittstellen und Techniken.
Worauf müssen Betriebsführer achten?
Karla Klasen: Wenn Betriebsführer ein Portfolio von mehr als 104 Megawatt steuern bzw. regeln können, dann sind sie Betreiber einer Kritischen Infrastruktur und müssen dementsprechend gesetzliche Pflichten erfüllen. So muss man sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und eine Kontaktstelle benennen. Außerdem ist es notwendig, angemessene IT-Sicherheitsmaßnahmen umzusetzen, die dem Stand der Technik entsprechen, und die Umsetzung auch gegenüber dem BSI nachzuweisen. Für Aggregatoren hat der Bundesverband der Deutschen Energie- und Wasserwirtschaft (BDEW) einen branchenspezifischen Sicherheitsstandard (B3S) entwickelt, dessen Eignung vom BSI festgestellt wurde. Seither können Aggregatoren nachweisen, dass sie den B3S einhalten. Gelingt ihnen dies, wird vermutet, dass sie den Stand der Technik einhalten. Im Grunde läuft es in beiden Varianten auf die Implementierung eines Information Security Management Systems (ISMS) gemäß DIN ISO 27001 hinaus. Schließlich müssen Betreiber Kritischer Infrastruktur ab Mai 2023 Systeme zur Angriffserkennung einsetzen.
Und wenn die Umsetzung versäumt wird?
Karla Klasen: Dann drohen Bußgelder in Höhe von bis zu zwei Millionen Euro je Verstoß. Durch Zahlen des Bußgelds kann man sich allerdings nicht freikaufen, sondern muss die Vorgaben trotzdem noch umsetzen. Für die Umsetzung haben Aggregatoren, die dieses Jahr erstmals durch die abgesenkten Schwellenwerte Kritische Infrastruktur werden, allerdings noch etwas Zeit: Sie müssen sich erst zum April 2023 beim BSI melden und die Maßnahmen umgesetzt haben. Den Nachweis über die Umsetzung müssen sie erst 2025 erbringen. Das heißt, unmittelbar ist der Handlungsdruck nicht so groß. Man muss aber auch beachten, dass die Dienstleister, die bei der Umsetzung unterstützen, ein Bottleneck sein können und die Implementierung der Maßnahmen einige Zeit in Anspruch nehmen kann. Deshalb ist es sinnvoll, frühzeitig zu beginnen.
Wie lange dauert die Umsetzung ungefähr?
Karla Klasen: Die Einführung eines ISMS kann ein Jahr oder je nach IT-Architektur (vor allem bei Aggregatoren) auch länger dauern. Häufig ist das auch damit verbunden, dass man in einem Unternehmen eine neue Stelle schafft, die sich hauptverantwortlich um IT-Sicherheit kümmert und von der Geschäftsleitung mit entsprechenden Kompetenzen, Budget aber auch Verantwortung ausgestattet ist. Das ist wichtig, um klare Verantwortlichkeiten zuzuweisen. Mit der Implementierung eines ISMS ist es aber nicht getan, denn die Einhaltung des Stands der Technik muss alle zwei Jahre erneut nachgewiesen werden. Da dieser sich in der IT schnell weiterentwickelt, ist der Prozess niemals abgeschlossen.
Wann ist man Aggregator?
Karla Klasen: Viele Betriebsführer führen an, sie seien keine Aggregatoren, weil sie keinen steuernden Zugriff auf die Windenergieanlagen selbst hätten. Ob das wirklich zutrifft, muss man im Einzelfall prüfen. Denn, sobald es eine Schnittstelle zur Windenergieanlage gibt, mittels derer die Windenergieanlage faktisch gesteuert werden kann, ist es unerheblich, ob diese auch tatsächlich genutzt wird oder nach dem Betriebsführungsvertrag genutzt werden darf. Die Möglichkeit zur Steuerung (z.B. bei einem Hacker-Angriff durch einen Dritten) genügt, um einen Betriebsführer bei Überschreiten des Schwellenwerts zu einem Betreiber Kritischer Infrastruktur zu machen. Bei Herstellern, Direktvermarktern und Wartungsunternehmen ist dies meist eindeutiger.W
IT-Sicherheit
Kritis-Verordnung - Anlagen als kritische Infrastruktur und Pflichten von Betreibern - so der Titel eines Webinars des BWE mit Karla Klasen am 2. Februar.
Weitere Informationen:
bwe-seminare.de