Wie kann ein mittelgroßes Stadtwerk, das ein Verteilnetz für 40.000 Haushalte betreibt, die *Wirksamkeit* der implementierten Systeme zur Angriffserkennung (SzA gemäß § 11 Abs. 1b EnWG) im zweijährlichen Audit nachweisen, wenn die eigenen IT/OT-Systeme aufgrund begrenzter interner Ressourcen stark heterogen sind und der Stichtag 1. Mai 2023 bereits verstrichen ist?

Der Nachweis der Wirksamkeit muss über die bloße Existenz der SzA hinausgehen (Pkt. 3 des Artikels). Das Stadtwerk muss durch externe, nach § 8a Abs. 3 BSIG anerkannte Prüfstellen regelmäßige Penetrationstests und 'Tabletop-Übungen' durchführen lassen, um zu demonstrieren, dass die SzA Anomalien zuverlässig erkennen und die Notfallpläne (Meldepflichten an das BSI) innerhalb der vorgeschriebenen Fristen auslösen können. Bei heterogenen Systemen ist eine zentralisierte Protokollierung und Analyse (SIEM-Lösung) entscheidend.

Angenommen, ein regionales Stadtwerk mit 100.000 Zählpunkten erlebt einen IT-Sicherheitsvorfall, der potenziell die Verfügbarkeit der kritischen Dienstleistung beeinträchtigt: Welche spezifischen Nachweise (ISMS-Dokumentation, Meldeketten) muss die Geschäftsführung gegenüber BNetzA und BSI erbringen, um zivilrechtliche Haftungsrisiken und empfindliche Bußgelder zu minimieren, falls sich herausstellt, dass das implementierte ISMS Mängel aufwies?

Um Bußgelder und Haftung (Pkt. 4) zu minimieren, muss die Geschäftsführung belegen, dass sie ihrer Pflicht zur angemessenen Vorkehrung (§ 11 Abs. 1a EnWG) nachgekommen ist. Dies geschieht durch: 1. Den Nachweis, dass ein aktives, nach dem IT-Sicherheitskatalog der BNetzA ausgerichtetes ISMS existierte und regelmäßig auditiert wurde (Pkt. 2A, Pkt. 3). 2. Die lückenlose Dokumentation der unverzüglichen Meldung des Vorfalls an das BSI (§ 8b Abs. 4 BSIG). 3. Die Vorlage des letzten Auditberichts, der die Wirksamkeit der SzA bestätigt.

Ein kleines Stadtwerk erreicht durch die Übernahme neuer Versorgungsgebiete erstmals die KRITIS-Schwelle (gemäß BSI-KritisV). Wie muss das Management die notwendigen CAPEX- und OPEX-Kosten strategisch planen, um den zweijährlichen Nachweis nach § 8a Abs. 3 BSIG (Auditierung des ISMS und der SzA) finanziell abzusichern und dabei die geforderte 'Angemessenheit' der Vorkehrungen (§ 11 Abs. 1a EnWG) zu erfüllen?

Die Planung muss sowohl einmalige Investitionen (CAPEX) als auch fortlaufende Betriebskosten (OPEX) berücksichtigen. CAPEX umfasst die initiale Anschaffung der Technologie für die Systeme zur Angriffserkennung (SzA). OPEX beinhaltet die Kosten für die fortlaufende Pflege des ISMS, die Schulung des Personals, die Lizenzkosten der SzA-Lösungen sowie die Budgetierung der externen Auditoren, die alle zwei Jahre den Nachweis der Compliance gegenüber BSI und BNetzA erbringen müssen (Pkt. 3). Die Angemessenheit wird durch die Einhaltung des BNetzA IT-Sicherheitskatalogs definiert.

KRITIS-Compliance: Was Stadtwerke jetzt zu Angriffserkennung und Nachweispflichten wissen müssen

Die Pflicht zur Resilienz: Warum die Regulatorik bei Stadtwerken nicht verhandelbar ist

Die jüngsten Schlagzeilen – sei es über großflächige Netzstörungen oder gezielte Datenangriffe – verdeutlichen, dass die Bedrohungslage für die kritischen Infrastrukturen Deutschlands real ist. Für kommunale Energieversorger und Netzbetreiber ist die Cybersicherheit längst aus der IT-Abteilung in die Chefetage gewandert. Dabei geht es nicht nur um Reputationsschäden. Vielmehr steht die Einhaltung strenger regulatorischer Vorgaben im Fokus, deren Missachtung empfindliche Konsequenzen nach sich zieht.

Als Regulatorik-Expertin möchte ich die zentrale Frage beantworten: Warum müssen Sie, als Entscheidungsträger in einem Stadtwerk, die KRITIS-Vorgaben nicht nur kennen, sondern aktiv umsetzen? Die Antwort liegt im Zusammenspiel von Energiewirtschaftsgesetz (EnWG) und Bundesamt für Sicherheit in der Informationstechnik Gesetz (BSIG).

1. Die Definition: Wer ist KRITIS-Betreiber im Energiemarkt?

Die Klassifizierung als Betreiber Kritischer Infrastrukturen (KRITIS) richtet sich nach der BSI-Kritisverordnung (BSI-KritisV). Im Sektor Energie sind dies primär Betreiber von Strom- und Gasversorgungsnetzen sowie Energieanlagen, die bestimmte Schwellenwerte überschreiten.

Die BSI-KritisV legt in ihren Anlagen (z.B. Anlage 2 für Strom) fest, ab welcher minimalen Versorgungsleistung oder ab welcher Anzahl versorgter Einwohner ein Netzbetreiber als kritisch gilt. Ein typisches Stadtwerk, das ein lokales oder regionales Verteilnetz betreibt, ist in aller Regel von diesen Pflichten betroffen.

Der regulatorische Kern: § 2 Abs. 10 BSIG definiert die Kritische Infrastruktur, während § 11 EnWG die spezifischen Anforderungen an die IT-Sicherheit im Energiemarkt festlegt.

2. Die Kernpflichten: ISMS, Meldungen und der Fokus auf Angriffserkennung

Einmal als KRITIS-Betreiber eingestuft, müssen Stadtwerke eine Reihe von Pflichten erfüllen, die weit über allgemeine IT-Sicherheitsstandards hinausgehen. Diese Pflichten dienen dem Schutz der Funktionsfähigkeit der Netze und der Versorgungssicherheit.

A. Angemessene Sicherheitsmaßnahmen (§ 11 Abs. 1a EnWG)

Netzbetreiber sind verpflichtet, angemessene Vorkehrungen zur Vermeidung von Störungen der IT-Systeme zu treffen, die für den sicheren Betrieb der Netze und Anlagen essenziell sind.

Die Praxis: Dies wird in der Regel durch die Implementierung eines Informationssicherheits-Managementsystems (ISMS) nachgewiesen. Die BNetzA hat hierzu spezifische Anforderungen im IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG festgelegt. Dieser Katalog dient als Richtschnur und verlangt oft die Orientierung an etablierten Standards wie ISO/IEC 27001 oder dem BSI IT-Grundschutz.

B. Systeme zur Angriffserkennung (SzA) – Die kritische Frist

Die wohl schärfste und aktuell relevanteste Pflicht resultiert aus dem IT-Sicherheitsgesetz 2.0 und dessen Überführung in das EnWG. Gemäß § 11 Abs. 1b EnWG müssen Betreiber Kritischer Infrastrukturen Systeme zur Angriffserkennung (SzA) implementieren und betreiben.

Warum diese Pflicht? Die Regulierung hat erkannt, dass präventive Maßnahmen (Firewalls, Verschlüsselung) nicht ausreichen. Es muss die Fähigkeit geschaffen werden, laufende Angriffe oder Anomalien in Echtzeit zu erkennen und darauf reagieren zu können (Detektion und Reaktion).

Wichtiger Stichtag: Diese Pflicht trat für die meisten KRITIS-Betreiber am 1. Mai 2023 in Kraft. Die fristgerechte Implementierung und der Betrieb der SzA sind nicht optional, sondern zwingend erforderlich.

C. Meldepflichten (§ 8b Abs. 4 BSIG)

Erhebliche IT-Sicherheitsvorfälle, die die Verfügbarkeit oder Funktionsfähigkeit der kritischen Dienstleistung beeinträchtigen können, müssen unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Diese in § 8b Abs. 4 BSIG verankerte Meldepflicht dient dem Lagebild des BSI und ermöglicht frühzeitige Warnungen an andere Betreiber.

3. Die Nachweispflicht: Auditierung und die Rolle der BNetzA

Regulierung ohne Überprüfung ist zahnlos. Deshalb sind KRITIS-Betreiber verpflichtet, die Erfüllung ihrer Sicherheitsanforderungen regelmäßig nachzuweisen.

Gemäß § 8a Abs. 3 BSIG muss der Nachweis der Einhaltung der Sicherheitsstandards alle zwei Jahre erbracht werden. Dieser Nachweis erfolgt in Form von Audits, Prüfungen oder Zertifizierungen durch anerkannte Prüfstellen.

Die Doppelrolle der BNetzA:

Festlegung der Standards: Die Bundesnetzagentur legt den bereits erwähnten IT-Sicherheitskatalog fest (§ 11 Abs. 1a EnWG), der die konkreten technischen und organisatorischen Anforderungen definiert.
Überwachung der Einhaltung: Die BNetzA ist die zuständige Aufsichtsbehörde im Energiesektor und überwacht die Einhaltung dieser Pflichten. Sie steht in engem Austausch mit dem BSI.

Die Konsequenz: Der Prüfbericht muss sowohl dem BSI als auch der BNetzA vorgelegt werden. Die Agentur prüft dabei nicht nur die formale Existenz eines ISMS, sondern auch die Wirksamkeit der implementierten Maßnahmen, insbesondere der Systeme zur Angriffserkennung.

4. Die Regina-Recht-Perspektive: Compliance als strategischer Vorteil

Die regulatorische Motivation hinter diesen strengen Anforderungen ist klar: Die Gewährleistung einer zuverlässigen und unterbrechungsfreien Energieversorgung (§ 1 EnWG) in einer zunehmend digitalisierten Welt. Die Abhängigkeit der Netzsteuerung von IT- und OT-Systemen macht diese zu primären Angriffsvektoren.

Warum Sie JETZT handeln müssen:

Vermeidung von Bußgeldern: Verstöße gegen die Pflichten des BSIG und des EnWG können als Ordnungswidrigkeiten geahndet werden und empfindliche Bußgelder nach sich ziehen. Die BNetzA besitzt die notwendigen Durchgriffsrechte.
Haftungsfragen: Im Falle eines schwerwiegenden Sicherheitsvorfalls, der auf mangelhafte oder nicht nachgewiesene Schutzmaßnahmen zurückzuführen ist, drohen zivilrechtliche Haftungsrisiken.
Betriebserlaubnis: Die Einhaltung der technischen Sicherheitsanforderungen ist implizit eine Voraussetzung für den fortlaufenden sicheren Netzbetrieb. Die BNetzA kann bei gravierenden Mängeln im Extremfall Maßnahmen ergreifen, um die Sicherheit wiederherzustellen.

Handlungsanweisung für die Geschäftsführung

Status Quo Analyse: Prüfen Sie anhand der BSI-KritisV, ob Ihr Unternehmen die Schwellenwerte überschreitet und damit KRITIS-Betreiber ist.
SzA-Check: Stellen Sie sicher, dass die Anforderungen des § 11 Abs. 1b EnWG (Systeme zur Angriffserkennung) vollständig und fristgerecht umgesetzt wurden.
Audit-Vorbereitung: Planen Sie den zweijährlichen Nachweis (Audit) proaktiv ein und binden Sie externe, nach § 8a Abs. 3 BSIG anerkannte Prüfstellen frühzeitig ein, um die Compliance gegenüber BSI und BNetzA sicherzustellen.

Die Cybersicherheit ist eine Daueraufgabe. Die Regulatorik liefert hierbei den Rahmen und die Fristen – die Verantwortung für die Umsetzung liegt klar bei Ihnen.