Eine zuverlässige Stromversorgung ist von elementarer Bedeutung für unsere moderne Gesellschaft. Ein flächendeckender Stromausfall hätte bereits nach kurzer Zeit verheerende Folgen. Ein Blackout, der durch Hacker verursacht wurde, ist dabei ein realistisches Szenario und die Anzahl an Hackerangriffen nimmt stetig zu. Mit zunehmender Digitalisierung steigt auch in der Erneuerbaren-Branche die Gefahr von IT-Vorfällen. Um die Sicherheit von informationstechnischen Systemen in kritischen Sektoren nicht dem Zufall zu überlassen, hat der Gesetz-geber für bestimmte Anlagen und ab einer gewissen Größe gesetzliche Mindeststandards verankert, u. a. zum 1. Januar 2022 in Form einer novellierten BSI-Kritisverordnung. Dieser Beitrag beleuchtet die gesetz-lichen Pflichten von Betreibern in der Erneuerbaren-Branche bezüglich der Informationssicherheit. Dabei wird sowohl auf die Betreiber von Wind- und Solarparks als auch auf die Pflichten von Aggregatoren, also bspw. Herstellern, Betriebsführern, Direktvermarktern und Wartungs-unternehmen, eingegangen.
Kritische Infrastrukturen
Verpflichtende IT-Sicherheitsmaßnahmen für Betreiber Kritischer Infra-strukturen werden durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und das Energiewirtschaftsgesetz
(EnWG) geregelt. Ziel der Regelungen ist es, die Sicherheit von IT-Sys-temen Kritischer Infrastrukturen in Deutschland zu verbessern. Die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIG (KritisV) bestimmt, wann ein Unternehmen als Betreiber einer Kriti-schen Infrastruktur gilt.
Kritische Infrastrukturen sind Einrichtungen, Anlagen oder Teile davon, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versor-gungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintre-ten würden. Für die Erneuerbaren-Branche sind sowohl die Anlagenkate-gorie „Erzeugungsanlage“ als auch die Anlagenkategorie „Anlage oder System zur Steuerung/Bündelung elektrischer Leistung“ relevant.
Betreiber Kritischer Infrastrukturen in der Erneuerbaren-Branche
Erzeugungsanlagen, also Wind. und Solarparks, gelten seit der zum
1. Januar 2022 in Kraft getretenen BSI-KritisV ab einer installierten Netto-nennleistung von 104 MW als Kritische Infrastruktur. Bislang lag der Schwellenwert noch bei 420 MW.. Niedrigere Schwellenwerte gelten nur für Anlagen, die Primärregelleistung bereitstellen oder schwarzstartfähig sind, was in der Regel bei Wind- und Solarparks nicht der Fall ist.
Beachten sollte man, dass mehrere Windparks als gemeinsame Anlage gelten können, wenn sie in einem engen räumlichen und betrieblichen Zusammenhang stehen. Wenn die Windparks gemeinsam den Schwellen-wert überschreiten, gelten sie zusammen als Kritische Infrastruktur. Dies ist gegeben, wenn die Anlagen auf demselben Betriebsgelände liegen, mit gemeinsamen Betriebseinrichtungen verbunden sind, einem vergleichba-ren technischen Zweck dienen und unter gemeinsamer Leitung stehen.
Neben den Erzeugungsanlagen können auch Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung, sog. Virtuelle Kraftwerke, eine Kritische Infrastruktur sein. In dieser Anlagenkategorie wird nicht auf die Erzeugungsanlage (d. h. den Wind- oder Solarpark) abgestellt, sondern auf die IT-Systeme desjenigen, der Erzeugungsanlagen mittels Fernzugriff steuert. Dies ist nachvollziehbar, da Virtuelle Kraftwerke die Leistung einer Vielzahl von Parks bündeln und damit ein effektiveres Angriffsziel bieten. Der Anlagenbegriff ist generell weit zu verstehen und kann neben Betriebsstätten oder Maschinen auch Software oder IT-Dienste umfassen. Betreiber solcher Anlagen oder Systeme (auch Aggregatoren genannt) können zum Beispiel Hersteller, Betriebsführer, Direktvermarkter oder Wartungsunternehmen sein. Auch in dieser Anlagenkategorie wurde der Schwellenwert für das Portfolio von 420 MW auf 104 MW abgesenkt.
Maßgeblich ist, ob Aggregatoren einen steuernden Zugriff auf ein Portfo-lio von Erzeugungsanlagen > 104 MW haben. Nur dann sind sie Betreiber einer Kritischen Infrastruktur. Ob lediglich ein lesender oder doch ein steuernder Zugriff auf die Parks besteht, muss im Zweifel für jeden Park gesondert anhand der verwendeten Schnittstellen und Fernzugriffe auf das jeweilige SCADA-System betrachtet werden. Als Steuern gilt sowohl das Drosseln als auch das Ein-/Ausschalten. Dabei kommt es nicht auf die ver-tragliche Berechtigung an, sondern primär auf die technische Möglichkeit. Auf Solarparks haben Betriebsführer bzw. Wartungsunternehmen sowie Direktvermarkter über die Wechselrichter in der Regel steuernden Zugriff. Sofern auch Umspannwerke gesteuert werden können, sollten auch diese bei der Berechnung des Schwellenwerts betrachtet werden.
Weiterhin können Umspannwerke auch selbst eine Anlage zur Steuerung oder Bündelung elektrischer Leistung sein, wenn über diese mehr als 104 MW Leistung an das Stromnetz angeschlossen sind. Als Betreiber kommt dann in der Regel die Infrastrukturgesellschaft des Umspann-werks in Betracht.
Pflichten von Betreibern Kritischer Infrastrukturen
Betreiber Kritischer Infrastrukturen müssen sich beim Bundesamt für Sicherheit der Informationstechnik (BSI) registrieren und eine Kontakt-stelle benennen (Formulare sind auf der Website des BSI verfügbar). Unternehmen, die im Kaldenderjahr 2021 erstmals den Schwellenwert von 104 MW überschritten haben, müssen sich spätestens am 1. April 2022 beim BSI registrieren und angemessene IT-Sicherheitsmaßnahmen umsetzen.
Für Betreiber von Erzeugungsanlagen ergeben sich gemäß EnWG die umzusetzenden Maßnahmen aus dem IT-Sicherheitskatalog der Bundes-netzagentur. Kern der Maßnahmen ist ein Informationssicherheits- Managementsystems nach der DIN 27001. Dessen Umsetzung muss durch eine akkreditierte Zertifizierungsstelle zertifiziert werden.
Für Aggregatoren gelten hingegen die allgemeinen Vorschriften des BSIG. Danach müssen Betreiber Kritischer Infrastrukturen angemesse-ne Vorkehrungen zur Vermeidung von Störungen ihrer informations-technischen Systeme treffen. Auch hier geht es in der Regel um die Einführung eines Informationssicherheits-Managementsystem nach der DIN 27001. Die Erfüllung dieser Anforderungen muss alle zwei Jahre dem BSI durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nach-gewiesen werden. Aggregatoren, die im Kaldenderjahr 2021 erstmals den Schwellenwert von 104 MW überschritten haben, müssen den Nachweis über die Umsetzung spätestens am 1. April 2024 erbringen.
Branchenverbände können branchenspezifische Sicherheitsstandards
(sog. B3S) vorschlagen, die für eine Branche den Stand der Technik definieren und damit den Nachweis gegenüber dem BSI erleichtern. Für Aggregatoren hat der Bundesverband der Deutschen Energie- und Wasserwirtschaft (bdew) einen branchenspezifischen Sicherheitsstandard entwickelt, dessen Eignung vom BSI festgestellt wurde.
Werden die IT-Sicherheitsanforderungen nach dem BSIG nicht umgesetzt, drohen hingegen Bußgelder von bis zu zwei Millionen Euro je Verstoß.
Anforderungen an Betreiber nicht-kritischer Infrastrukturen
Sofern Betreiber von Energieerzeugungsanlagen oder Aggregatoren die Schwellenwerte nicht überschreiten, sind sie nicht Betreiber von Kriti-schen Infrastrukturen. Dennoch ist die Geschäftsführung aus allgemeinen Grundsätzen angehalten, gewisse IT-Sicherheitsanforderungen zu erfüllen und Verantwortlichkeiten zuzuweisen. Auch das Datenschutzrecht verpflichtet zur Implementierung von IT-Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten. Bereits aus wirtschaftlichen Gründen ist es für Unternehmen ratsam, sich mit IT-Sicherheitsmaßnahmen zu be-fassen und entsprechende Mindeststandards umzusetzen. Neben einem Reputationsverlust kann das Verschlüsseln von Daten durch Hacker (meist einhergehend mit einer Erpressung) auch negative finanzielle Folgen haben. Zudem verlangen zunehmend Vertragspartner und finanzierende Banken die Einhaltung gewisser IT-Sicherheitsstandards.
Die passende Veranstaltung:
