Update BNetzA Umsetzung IT-Sikat §11 Abs. 1b EnWG
Update der Regelung zur Vorlage des Nachweises zur Umsetzung des IT-Sicherheitskatalogs nach § 11 Abs. 1b EnWG im Zusammenhang mit der Ausbreitung von SARS-CoV-2
Betreiber von Energieanlagen, die nach der BSI-KritisV als Kritische Infrastruktur bestimmt wurden, sind gemäß § 11 Abs. 1b Energiewirtschaftsgesetz (EnWG) dazu verpflichtet, den von der Bundesnetzagentur (BNetzA) am 18. Dezember 2018 veröffentlichten IT-Sicherheitskatalog für Energieanlagen umzusetzen. Zum Nachweis der Umsetzung haben Betreiber von Energieanlagen bis zum 31. März 2021 den Abschluss des vorgeschriebenen Zertifizierungsverfahrens anzuzeigen.
Bereits im Dezember 2020 hat die BNetzA darüber informiert, dass es auf Grund der Corona Pandemie den Energieanlagenbetreibern derzeit nicht möglich ist, das vorgeschriebene Zertifizierungsverfahren durchzuführen. Zusätzlich wurde die BNetzA darüber in Kenntnis gesetzt, dass es auf Grund der aktuellen Lage seitens der Deutschen Akkreditierungsstelle GmbH (DAkkS) noch nicht möglich ist, die für die bevorstehenden Zertifizierungen benötigten Zertifizierungsstellen zu akkreditieren. Auch die geforderten Aufbauschulungen für die Auditoren aus dem Konformitätsbewertungsprogramm konnten zu diesem Zeitpunkt noch nicht angeboten werden. Derzeit gibt es nur wenige von der BNetzA anerkannten Schulungsanbieter, die diese Aufbauschulung anbieten.
Um auf die vorgetragenen Schwierigkeiten angemessen zu reagieren, wird die BNetzA zum Ablauf der Frist am 31. März 2021 lediglich das Erreichen der Zertifizierungsreife, nicht jedoch den Abschluss des geforderten Zertifizierungsverfahrens, verlangen. Es ist daher ausreichend, wenn Betreiber von Energieanlagen der BNetzA gegenüber zum genannten Stichtag eine schriftliche Erklärung abgeben, aus der hervorgeht, dass Sie die Anforderungen des IT-Sicherheitskatalogs gemäß § 11 Abs. 1b EnWG in Ihrem Haus vollständig umgesetzt haben. Dieser Erklärung ist ein Nachweis über die Beauftragung einer Zertifizierungsstelle und die geplante Terminierung der notwendigen Audits spätestens bis zum 31. Oktober 2021 anstatt dem 30. Juni 2021 beizufügen. Das Zertifizierungsverfahren selbst muss schnellstmöglich nach Rücksprache mit der beauftragten Zertifizierungsstelle abgeschlossen werden. Die eingereichten Dokumente müssen vom Vertretungsberechtigten des jeweiligen Unternehmens mit Unterschrift bestätigt werden.
Die ESecurity-CERT befindet sich im Akkreditierungsverfahren der DAkkS gemäß IT-Sicherheitskatalogs nach § 11 Abs. 1b EnWG. Unsere Auditoren besitzen bereits die notwendigen Qualifikationen, um entsprechende Audits durchzuführen.
Wir gehen davon aus, dass durch die Lockerungen der aktuellen Corona Regeln, eine Akkreditierung bis Ende Q4 / 2021 durch die DAkkS möglich ist.
Wir halten Sie auf dem Laufenden.
Haben Sie bis Fragen, so kontaktieren Sie uns gern.
Marc Alexander Luge | Juli 2021