Für Betreiber von Energieversorgungsnetzen wurde mit dem IT-SiG 2.0 die Verpflichtung zum Aufbau und Nachweis von Systemen zur Angriffserkennung (SzA) eingeführt. Diese Pflichten wurden im § 11 Abs. 1e EnWG für den Einsatz von SzA und Abs. 1f für den Nachweis von SzA verankert. Für beides gilt als Stichtag der 01.05.2023.
Bei vielen Energieversorgern herrschte in den letzten Wochen eine große Unklarheit, wie die Prüfungen für den Nachweis zu erfolgen haben und wer diese durchführen darf. Basierend auf mehreren Nachfragen von uns beim BSI gibt es nun aktuelle Informationen, auf die wir heute eingehen möchten.
Ist eine Selbstprüfung möglich?
Das BSI hat auf seiner Website Fragen und Antworten zum Einsatz von Systemen zur Angriffserkennung veröffentlicht. Darin wird für Prüfer Neutralität, Unabhängigkeit und die nötige Fachkompetenz gefordert. Da vor allem die ersten beiden Punkte von einem internen Mitarbeiter nicht erfüllt werden können, ist eine Selbstprüfung unzulässig.[1]
Welche Prüfer werden vom BSI akzeptiert?
Die Prüfungen können von Prüfern und Prüfstellen durchgeführt werden, die über die geforderte Unabhängigkeit, Neutralität und fachliche Kompetenz verfügen.[2]
Viele Energieversorger haben Beratungsunternehmen beauftragt, die sie bei der Erfüllung der Anforderungen des BSI-Gesetzes unterstützen und fragen sich nun, ob sie diese Dienstleister auch für eine Prüfung einsetzen dürfen.
Das BSI hat ganz klar kommuniziert, dass Unternehmen, die bereits beratend tätig waren, ebenfalls die Prüfung durchführen dürfen.[3] Dabei ist jedoch zu beachten, dass eine „personelle Unabhängigkeit“ gewährleistet werden muss. Das heißt, „dass die Berater- und Prüferrolle in persona voneinander getrennt werden“ müssen.[4]
Ist eine Fristverlängerung möglich?
Für den Einsatz und den Nachweis von SzA gilt als Stichtag grundsätzlich der 01.05.2023. In begründeten Fällen ist eine Fristverlängerung möglich. Gerne unterstützen wir Sie dabei, sprechen Sie uns an!
Darüber hinaus sollte beachtet werden, dass diese Regelungen ausschließlich für die erste Runde der Prüfungen der SzA in diesem Jahr gelten. Danach gelten wieder die ursprünglichen Anforderungen. Demnach können dann nur Prüfstellen die Prüfungen der SzA nach § 11 Abs. 1f EnWG durchführen, die dem entsprechenden Konformitätsbewertungsprogramm der BNetzA genügen.
[1] Vgl. https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-FAQ/FAQ-Systeme-Angriffserkennung/faq-systeme-angriffserkennung_node.html
[2] Ebd.
[3] Ebd.
[4] Ebd.