„Hacker-Angriffe und Störungen sind unverzüglich zu melden“ Interview mit Dr. Daniel Breuer, RA bei Osborne Clarke

Zuständig für die Verordnung ist zuständige Bundesministerium des Inneren (BMI).

Was kommt auf die Windenergie im Bezug auf IT Sicherheit zu? Dr.Daniel Breuer, Rechtsanwalt bei Osborne Clarke spricht im Interview über die Aufgaben und Verantwortlichkeiten im Zug der BSI Kritis Verordnung, die voraussichtlich zum 01.04.2016 in Kraft tritt und trotzdem in der Windbranche noch weitgehend unbekannt ist.

 

BSI-Kritisverordnung – für viele ein vollkommen unvertrautes Thema. Wieso sollte sich gerade die Windbranche damit beschäftigen?

Für die Windbranche haben IT-Systeme aufgrund der zunehmenden Vernetzung und ferngesteuerten Direktvermarktung einen besonderen Stellenwert. Höhere Anforderungen an die IT-Sicherheit sollen Hacker-Angriffe verhindern und Blackout-Szenarien vorbeugen.

Welche Infrastrukturen und Dienstleistungen werden denn mit Blick auf die Windbranche als kritisch eingestuft?

Derzeit trifft es vor allem die Direktvermarkter und Anbieter von Regelenergie als Betreiber von sog. "Anlagen von Poolanbietern". In der Verordnung werden zwar auch "Erzeugungsanlagen", "dezentrale Erzeugungsanlagen" und "Speicheranlagen" als kritisch eingestuft. Nach dem aktuellen Verordnungsentwurf jedoch jeweils erst bei Überschreiten des Schwellenwerts von 420 MW installierter Leistung. Das erreichen im Windbereich lediglich ein Großteil der virtuellen Kraftwerke der Direktvermarkter. 

In der Verantwortung stehen zunächst nur die Betreiber der Kritischen Infrastrukturen, derzeit also vorwiegend die Direktvermarkter

Bei IT-Sicherheit werden Stromhändler an ihre eigenen IT-Dienstleister denken. Können sie die Verantwortung an diese weitergeben?

In der Verantwortung stehen zunächst nur die Betreiber der Kritischen Infrastrukturen, derzeit also vorwiegend die Direktvermarkter. Um dieser Verantwortung gerecht zu werden und Haftungsrisiken zu verringern, bietet sich eine Unterstützung durch spezialisierte Dienstleister an.

Der Stromhändler kann es also wegdelegieren?

Nein, im Schadensfall muss die Betreibergesellschaft nachweisen, dass man sämtliche (marktüblichen) Maßnahmen getroffen hat, um die IT-Sicherheitsanforderungen zu erfüllen. Entsprechend sind auch beim sog. Outsourcing bestimmte Mindestanforderungen zu beachten. Eine generelle Auslagerung sämtlicher Pflichten und IT-Systeme ohne jegliche Überwachung durch die Betreibergesellschaft ist nicht ausreichend. Zudem ist sicherzustellen, dass branchenspezifische Anforderungen und Pflichten vom Dienstleister erfüllt werden und der Dienstleister auf sich verändernde Marktstandards reagiert. Fällt ein Dienstleister aus oder erbringt nicht die gewünschte Leistung, ist zudem für einen reibungslosen Übergang auf den Betreiber selbst oder Dritte Vorsorge zu treffen. Der Vertragsgestaltung kommt an dieser Stelle besondere Bedeutung zu.

Welche kurzfristigen aber auch langfristigen Aufgaben kommen auf die Stromhändler genau zu?

Ab Inkrafttreten der Verordnung sind die Betreiber Kritischer Infrastruktur zunächst verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Hacker-Angriffe und Störungen unverzüglich zu melden. Dazu müssen sie zunächst in der Lage sein, solche Angriffe überhaupt festzustellen.

Zudem ist innerhalb von zwei Jahren ein angemessener Schutz gegen Bedrohungen der IT-Systeme umzusetzen. Was angemessen ist, veröffentlicht die Bundesnetzagentur nach Abstimmung mit dem BSI in einem IT-Sicherheitskatalog, der kürzlich bereits für den Betrieb von Energieversorgungsnetzen erstellt wurde und teilweise wohl auch für den Erzeugungsbereich übernommen wird. Wesentlicher Kern ist die Einrichtung und Zertifizierung eines sog. Informationssicherheits-Managementsystems (ISMS).

Dazu müssen sie zunächst in der Lage sein, solche Angriffe überhaupt festzustellen.

An welcher Stelle wird der Anlagenbetreiber gefordert?

Dies hängt maßgeblich von der Ausgestaltung des IT-Sicherheitskatalogs und den Anforderungen ab, die die Direktvermarkter konkret umzusetzen haben. Da die einzelnen Windenergieanlagen regelmäßig über einen geringeren Schutz verfügen, jedoch direkt mit dem virtuellen Kraftwerk kommunikativ verbunden sind und über die IT-Systeme des Direktvermarkters bzw. IT-Dienstleisters gesteuert werden, sind künftig höhere Anforderungen an die Kommunikations- oder auch Fernsteuerungstechnik bzw. -prozesse denkbar. Stärker gefordert  werden deshalb gerade auch die IT-Dienstleister, die im Rahmen des Outsourcing in der Lage sein müssen, die gestiegenen Anforderungen umzusetzen.

Welche Fristen dürfen die Branchenakteure nicht versäumen?

Zu beachten sind vor allem zwei Fristen. Die Meldepflichten gelten ab dem Tag des Inkrafttretens der Verordnung, was nach dem derzeitigen Entwurf der Tag nach der Verkündung ist. Derzeit beabsichtigt das zuständige Bundesministerium des Inneren (BMI) wohl ein Inkrafttreten bereits zum 1. April 2016. Der 1. April eines Jahres ist derzeit zudem als Übergangsregelung für Betreiber vorgesehen, deren Anlagen erst künftig als Kritische Infrastrukturen einzustufen sind, etwa durch Überschreiten der Schwellenwerte.

Die Frist zur Umsetzung des IT-Sicherheitskatalogs läuft zwei Jahre nach dem Inkrafttreten der Verordnung, also nach aktuellem Stand der 31. März 2018.