In unserer elektrifizierten Welt ist eine unterbrechungsfreie Energieversorgung essentiell. Ein anhaltender Stromausfall, bedingt durch Angriffe auf Erneuerbare-Energien-Anlagen („EE-Anlagen“) oder das Stromnetz stellen eine ernstzunehmende Gefahr dar und hätten innerhalb kürzester Zeit massive Auswirkungen auf das öffentliche Leben. Laut dem Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) besteht derzeit eine erhöhte abstrakte Gefährdung und auch konkrete Angriffe sind zu verzeichnen. So schloss das BSI einen Cyberangriff als Ursache für die Störung der Fernwartung von tausenden Windkraftanlagen in Deutschland Ende Februar 2022 nicht aus. Im April 2022 erfolgte ein Angriff auf die IT-Systeme der Deutsche Windtechnik, die für die Wartung, Überwachung und die Sicherheit von Windparks zuständig ist. Die Funktionsfähigkeit der Energieversorgung ist daher mehr denn je von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig.

Auch der Gesetzgeber ist sich der stetig steigenden Gefährdungssituation bewusst: Im Jahr 2015 trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) für Betreiber von sogenannten Kritischen Infrastrukturen in Kraft und ergänzte so die bereits bestehenden Regelungen zur IT-Sicherheit im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und im Energiewirtschaftsgesetz (EnWG). Das im Jahr 2021 verabschiedete IT-Sicherheitsgesetz 2.0 setzte diese Entwicklung, etwa durch eine Ausweitung der Pflichten für betroffene Unternehmen sowie deutlich erhöhte Bußgelder, fort.

Unsere Experten Dr. Paul Voigt und Dr. Markus Böhme, LL.M. widmen sich im Folgenden zentralen Fragen rund um EE-Anlagen als Kritische Infrastruktur und den sich ergebenden Anforderungen an die Betreiber betroffener Anlagen.

Frage: Wann gelten EE-Anlagen als Kritische Infrastruktur und welche Gesetze sind einschlägig?

Antwort: Die Verpflichtungen für Betreiber Kritischer Infrastrukturen im Energiebereich sowie die Beantwortung der grundlegenden Frage, ob die betreffende Erzeugungsanlage als Kritische Infrastruktur einzuordnen ist, ergeben sich aus einer ganzen Reihe verschiedener Gesetze und Verordnungen:

• BSI-Gesetz (IT-Sicherheitsgesetz)
• BSI-KritisV
• EnWG
• IT-Sicherheitskatalog der BNetzA

Im BSIG ist festgelegt, dass Kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon sind, die u.a. dem Sektor Energie angehören und die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden (§ 2 Abs. 10). Der BSI-KritisV als auf dem BSIG basierende Verordnung kommt eine besondere Bedeutung zu. Hier wird anhand qualitativer und quantitativer Kriterien festgelegt, welche Infrastrukturen als kritisch gelten.

Im Sektor Energie (Stromversorgung) sind dies u.a. Erzeugungsanlagen sowie Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung. Ob eine Energieerzeugungsanlage als Kritische Infrastruktur gilt, hängt maßgeblich davon ab, ob die in Anhang 1 Teil 3 der KritisV festgelegten Schwellenwerte überschritten werden. Diese Schwellenwerte wurden zum Januar 2022 deutlich abgesenkt, wodurch auch weniger große EE-Anlagen in ihren Anwendungsbereich fallen. Galt bislang ein Schwellenwert von 420 MW, liegt der Schwellenwert für Erzeugungsanlagen nunmehr bei einer Nettonennleistung von lediglich 104 MW. Damit fallen viele Onshore Windparks, Solarparks und vor allem Offshore Windparks in den Anwendungsbereich der KritisV. Schwarzstartfähige Erzeugungsanlagen unterliegen unabhängig vom Umfang der installierten Leistung der KritisV. Bei Anlagen zur Erbringung von Primärregelleistung liegt der Schwellenwert bei 36 MW.

Frage: Wer ist als Betreiber einer EE-Anlage, die als Kritische Infrastruktur gilt, anzusehen?

Antwort: Betreiber ist nach § 1 Abs. 1 Nr. 2 KritisV eine natürliche oder juristische Person, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausübt. Die Möglichkeit, bestimmenden Einfluss zu nehmen, hat, wer weisungsfrei und selbstständig über die Anlage oder Teile davon verfügen kann, wobei die rechtliche Verfügungsgewalt i. d. R. mit der tatsächlichen Sachherrschaft einhergeht. Bei der Beurteilung der wirtschaftlichen Umstände ist maßgebend, wer den wirtschaftlichen Nutzen aus der Anlage ziehen kann und wer das wirtschaftliche Risiko trägt. Die Betreibereigenschaft bestimmt sich nach einer Gesamtbewertung der vorgenannten Aspekte.

Frage: Wie wirkt es sich aus, wenn sich der Betreiber beim Betrieb der EE-Anlage eines Dritten bedient?

Antwort: Es ist für die Betreibereigenschaft grundsätzlich unbeachtlich, wenn sich der Betreiber beim Betrieb der Anlage Dritter bedient, solange er den bestimmenden Einfluss über die Kritische Infrastruktur nicht zugleich selbst aufgibt. Auch wenn die tatsächliche Sachherrschaft bei einem beauftragten Dienstleister liegt, verbleibt durch vertraglich vermittelte Weisungs- und Kontrollrechte des Auftraggebers der bestimmende Einfluss i. d. R. weiterhin bei ihm. Etwas Anderes kann jedoch gelten, wenn der Dienstleister seine Leistungen weitgehend weisungsunabhängig erbringt.

Frage: Kann eine EE-Anlage mehrere Betreiber haben?

Antwort: Nein, eine Anlage kann nur einen verantwortlichen Betreiber haben (Grundsatz der Betreiberidentität). Hierdurch soll gewährleistet werden, dass Rechte und Pflichten klar zugewiesen werden können.

Frage: Welche Anforderungen an die Informationssicherheit gelten für Betreiber von EE-Anlagen, die als Kritische Infrastruktur bestimmt wurden?

Antwort: Gemäß § 11 Abs. 1b EnWG sind Betreiber von Energieanlagen, die als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, dazu verpflichtet, einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. Ein angemessener Schutz liegt vor, wenn der IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG der BNetzA eingehalten wird und dies vom Betreiber dokumentiert worden ist. Erforderlich ist demgemäß insbesondere die Implementierung eines Informationssicherheits-Managementsystems (ISMS), das den Anforderungen der DIN EN ISO/IEC 27001 entspricht. Bei der Implementierung des ISMS sind darüber hinaus die Normen DIN EN ISO/IEC 27002 sowie 27019 in der jeweils gültigen Fassung zu berücksichtigen. Der Betreiber ist ferner verpflichtet, die Konformität seines ISMS durch ein Zertifikat einer für die Zertifizierung des IT-Sicherheitskatalogs bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditierten unabhängigen Zertifizierungsstelle zu belegen. Die Einhaltung kann von der BNetzA überprüft werden. Spätestens ab dem am 1. Mai 2023 müssen Betreiber darüber hinaus angemessene Systeme zur Angriffserkennung einsetzen sowie dies dem BSI erstmalig an diesem Datum und danach alle zwei Jahre nachweisen, § 11 Abs. 1d, Abs. 1e EnWG.

Frage: Wer muss der BNetzA durch ein entsprechendes Zertifikat die Einhaltung des IT-Sicherheitskatalogs nachweisen, wenn sich der Betreiber eines konzernfremden Betriebsführers auf vertraglicher Grundlage bedient?

Antwort: Zunächst muss der Betreiber selbst die Einhaltung der Anforderungen des IT-Sicherheitskatalogs in Form eines Zertifikats nachweisen. Unabhängig davon muss auch der Betriebsführer bestimmte Sicherheitskriterien erfüllen, wobei der Nachweis durch ein eigenständiges Zertifizierungsverfahren erfolgt. Nähere Informationen sind in der Mitteilung der BNetzA zur Zertifizierung nach IT-Sicherheitskatalog § 11 Abs. 1a und 1b EnWG im Fall einer Betriebsführung durch Dritte zu finden.

Frage: Besteht eine Meldepflicht, falls eine Störung auftreten sollte?

Antwort: Ja, gemäß § 11 Abs. 1c EnWG haben Betreiber von Energieanlagen, die als Kritische Infrastruktur bestimmt wurden, Störungen, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der betreffenden Energieanlage geführt haben, oder erhebliche Störungen, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der betreffenden Energieanlage führen können, unverzüglich – also ohne schuldhaftes Zögern – über die Kontaktstelle an das BSI zu melden. Eine Störung liegt vor, wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken.

Frage: Müssen sich Betreiber Kritischer Infrastrukturen registrieren?

Antwort: Ja, Betreiber Kritischer Infrastrukturen sind verpflichtet, die von ihnen betriebenen Anlagen beim BSI zu registrieren und eine Kontaktstelle zu benennen, § 8b Abs. 3 BSIG. Darüber hinaus ist sicherzustellen, dass der Betreiber über die Kontaktstelle jederzeit erreichbar ist. Die Registrierung hat spätestens bis zum ersten Werktag, der darauf folgt, dass die Anlage erstmalig oder erneut als Kritische Infrastruktur gilt, zu erfolgen.

Frage: Gibt es sonstige Pflichten, die zu beachten sind?

Antwort: Grundsätzlich haben Betreiber Kritischer Infrastrukturen den geplanten erstmaligen Einsatz einer sog. kritischen Komponente (§ 2 Abs. 13 BSIG) dem BMI vor ihrem Einsatz anzuzeigen, § 9b Abs. 1 BSIG. Kritische Komponenten sind nur solche, die konkret per Gesetz definiert werden. Bisher ist diese Anzeigepflicht vor allem im Bereich Telekommunikation relevant.

Frage: Welche Bußgelder drohen bei Nichteinhaltung der vorgenannten Pflichten?

Antwort: Grundsätzlich können Verstöße gegen das BSIG mit Geldbußen i. H. v. bis zu 20 Mio. Euro geahndet werden; das EnWG sieht einen Bußgeldrahmen von bis zu 5 Mio. Euro vor. Aufgrund der abgestuften Sanktionskataloge sind diese Beträge jedoch nur bei bestimmten – besonders schwerwiegenden – Verstößen einschlägig, wie beispielsweise bei Zuwiderhandlungen gegen bestimmte vollziehbare Anordnungen des BSI. Demgegenüber stellen Verstöße gegen die IT-Sicherheits- und Meldepflichten des § 11 EnWG gemäß § 95 Abs. 1 Nr. 2a, 2b EnWG Ordnungswidrigkeiten dar, die mit einer Geldbuße i. H. v. bis zu hunderttausend Euro geahndet werden können, § 95 Abs. 2 Satz 1 EnWG. Ein Verstoß gegen die Registrierungspflicht aus § 8b Abs. 3 BSIG ist gemäß § 14 Abs. 2 Nr. 5, Abs. 5 Satz 2 BSIG mit einer Geldbuße i. H. v. bis zu fünfhunderttausend Euro bedroht; die fehlende Sicherstellung der Erreichbarkeit der Kontaktstelle mit einer Geldbuße i. H. v. bis zu einhunderttausend Euro, § 14 Abs. 2 Nr. 6, Abs. 5 Satz 2 BSIG.

Frage: Sind bevorstehende Änderungen der Rechtslage absehbar?

Antwort: Ja, denn auf europäischer Ebene ist das Gesetzgebungsverfahren für die sog. „NIS2-Richtlinie“ bereits weit fortgeschritten. Kürzlich haben sich das Europäische Parlament und der Rat auf eine Kompromissfassung geeinigt. Durch die NIS2-Richtlinie sollen die Anforderungen an die Cybersicherheit erhöht und mitgliedstaatliche Anforderungen vereinheitlicht werden. Insbesondere soll es keine sektorspezifischen Schwellenwerte mehr geben, sondern in erster Linie das Tätigkeitsfeld eines Unternehmens sowie dessen Größe (Mitarbeiteranzahl sowie Jahresumsatz bzw. -bilanz) wird entscheiden, ob es als „wesentliche“ oder „wichtige Einrichtung“ dem Anwendungsbereich der Richtlinie unterfällt. Auf der Rechtsfolgenseite sollen die Anforderungen an ein hinreichendes Cybersicherheitsrisikomanagement erhöht sowie die Meldepflichten ausgedehnt werden. Ferner werden den Behörden erweiterte Befugnisse zugestanden. Zwar haben Unternehmen derzeit noch nichts zu befürchten, da nach dem derzeit noch nicht endgültig absehbaren Inkrafttreten der Richtlinie erst einmal eine nach dem aktuellen Entwurf 21-monatige Umsetzungsfrist für die Mitgliedstaaten beginnt. Angesichts drohender Bußgelder in Höhe von bis zu 10 Mio. EUR oder bis zu 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes sollten Unternehmen die weiteren Entwicklungen jedoch wachsam verfolgen, um rechtzeitig die zur NIS-2-Compliance erforderlichen Schritte einleiten zu können.

Fazit

In den vergangenen Monaten sind deutsche Windenergie-Unternehmen mutmaßlich bereits mehrfach Opfer von Cyberangriffen geworden und die Cybersicherheit in der Energiebranche steht auch vor dem Hintergrund der jüngsten geopolitischen Entwicklungen im Fokus. Mit der Absenkung der Schwellenwerte gelten zudem nun auch mittelgroße Anlagen aus dem Bereich Onshore Wind und Solar sowie praktisch jeder Offshore Windpark als Kritische Infrastruktur. Betreiber von KRITIS-Energieanlagen müssen diverse gesetzliche Anforderungen beachten, um diese angemessen zu schützen und Bußgeldrisiken zu vermeiden.

Sie sind Betreiber, Betriebsführer, Energieversorgungsunternehmen, Hersteller von Windenergieanlagen oder Netzbetreiber oder ganz einfach interessiert am Thema und /oder haben Fragen zu diesem Themenkomplex? Wir freuen uns auf Ihre Kontaktaufnahme.