Ein Team aus Expertinnen und Experten der europäischen Übertragungs- und Verteilnetzbetreiber haben am 30. April 2020 im Auftrag der Europäischen Kommission den ersten Zwischenbericht zu einem europaweit harmonisierten Regelwerk zur Cybersicherheit für Energienetze („EU Network Code on Cybersecurity“) vorgelegt.
Der BDEW begleitet das Projekt eng und hat am 14. August 2020 eine ausführliche Stellungnahme zum ersten Entwurf an die Europäische Kommission und den europäischen Verband der Elektrizitätswirtschaft Eurelectric übermittelt. Das Editorenteam des Network Codes sondiert in den nächsten Wochen alle eingegangenen Kommentierungen und entwirft auf dieser Basis einen überarbeiteten und vertieften Entwurf.
Cybersicherheit von Stromnetzen: BDEW-Stellungnahme zum 1. Entwurf eines EU Network Code on Cybersecurity eingereicht
Die Energieinfrastruktur gehört zu den Kritischen Infrastrukturen einer modernen, digitalen Gesellschaft und ist von zentraler Wichtigkeit für deren wirtschaftliche Aktivitäten und Sicherheit. Es liegt daher im Interesse der Europäischen Union und ihrer Mitgliedstaaten, die Energieinfrastruktur gegen Cyberrisiken und -bedrohungen zu sichern.
Der BDEW begrüßt das Ziel der Europäischen Kommission, die Cybersicherheit von Stromnetzen in den Mitgliedstaaten zu verbessern und in diesem Rahmen die innereuropäische Kooperation und ein einheitliches Mindestsicherheitsniveau von Netzbetreibern zu stärken. In seiner Stellungnahme kommentiert der BDEW insbesondere jene Kapitel des Entwurfs, die für deutsche Netzbetreiber von hoher Relevanz sind:
Zertifizierung nach ISO/IEC 27001: Der BDEW begrüßt die Referenz des von der Kommission gewählten, risikobasierten Ansatzes auf internationale Standards wie die Norm ISO/IEC 27001 und empfiehlt eine Zertifizierung auf Basis von ISO/IEC 27001 in Verbindung mit dem sektorspezifischen Standard ISO/IEC 27019. Dabei sollten die hier festgelegten Bestimmungen nur auf solche Betreiber Anwendung finden, deren Aktivitäten grenzüberschreitende Stromflüsse einschließen.
Gemeinsame funktionale Sicherheitsanforderungen: Eine Festlegung gemeinsamer funktionaler Sicherheitsanforderungen für alle Mitgliedstaaten hält der BDEW grundsätzlich für sinnvoll, weist jedoch darauf hin, dass hierbei bestehende nationale Bestimmungen berücksichtigt werden müssen.
Cyber-Risiko-Analyse: Der BDEW begrüßt die Schaffung von Arbeitsgruppen zur Durchführung von grenz- und organisationsüberschreitenden Cyber-Risikoanalysen auf europäischer Ebene. Bezüglich darüber hinausgehender Eingriffe in das operationale Risikomanagement von Betreibern weist der BDEW darauf hin, dass solche Aktivitäten stets einen massiven Eingriff in die unternehmerische Freiheit darstellen und dass in diesen Fällen eine frühzeitige Beteiligung der europäischen Agentur für die Zusammenarbeit der Energieregulierungsbehörden (ACER) und möglicherweise der Agentur der Europäischen Union für Cybersicherheit (ENISA) notwendig ist.
Product Assurance Scheme: Während ein System für die Gewährleistung grundsätzlicher Sicherheitsanforderungen prinzipiell vorteilhaft für die Sicherheit informationstechnischer Systeme sein kann, weist der BDEW darauf an, dass diese Vorteile nur selten und nur unter sehr spezifischen Voraussetzungen gegeben sind. Weiterhin besteht die Gefahr, durch diese Maßnahme die Zahl der am Markt aktiven Lieferanten spürbar zu reduzieren und so eine Konzentration auf wenige Anbieter am Markt zu begünstigen. Aufgrund einer Reihe von offenen Fragen und einer eher geringen positiven Wirkungserwartung empfiehlt der BDEW, die Überlegungen weiter voranzutreiben, um eine fundierte Abschätzung über den Mehrwert eines solches Systems abgeben zu können.
Teilen von technischen Informationen: Der BDEW begrüßt ausdrücklich die Empfehlung eines verstärkten innereuropäischen Austauschs von technischen Informationen über Cyber-Sicherheitsvorfälle. Hierbei sollte auf bestehenden Meldewegen und -verfahren aufgebaut werden. So könnten Meldungen über Vorfälle und Auffälligkeiten an die zuständige nationale Behörde erfolgen und von dieser in kondensierter Form auf europäische Ebene weitergeleitet werden.
Schutz von Legacy-Systemen: Der Schutz von Legacy-Systemen ist bereits in den deutschen IT-Sicherheitskatalogen für Energienetz- und Energieanlagenbetreiber nach § 11 Absatz 1a bzw. 1b EnWG verankert. Daher besteht aus nationaler Perspektive kein Handlungsbedarf. Der BDEW begrüßt die Empfehlung, auf europäischer Ebene eine einheitliche Vorgabe einzuführen, rät allerdings dazu, diese im Zuge der verpflichtenden Zertifizierung nach ISO/IEC 27001 und ISO/IEC 27019 zu integrieren.
Hintergrund: Erarbeitung eines EU Network Code on Cybersecurity
Die Energieinfrastruktur gehört zu den Kritischen Infrastrukturen einer modernen, digitalen Gesellschaft und ist von zentraler Wichtigkeit für deren wirtschaftliche Aktivitäten und Sicherheit. Es liegt daher im Interesse der Europäischen Union und ihrer Mitgliedstaaten, die Energieinfrastruktur gegen Cyberrisiken und -bedrohungen zu sichern.
Der BDEW begrüßt das Ziel der Europäischen Kommission, die Cybersicherheit von Stromnetzen in den Mitgliedstaaten zu verbessern und in diesem Rahmen die innereuropäische Kooperation und ein einheitliches Mindestsicherheitsniveau von Netzbetreibern zu stärken. In seiner Stellungnahme kommentiert der BDEW insbesondere jene Kapitel des Entwurfs, die für deutsche Netzbetreiber von hoher Relevanz sind:
Das EU-Legislativpaket „Saubere Energie für alle Europäer“ hebt die Bedeutung der Cybersicherheit für den Elektrizitätssektor und mögliche Auswirkungen auf die Versorgungssicherheit hervor. Insbesondere sieht die neue „Strombinnenmarkt-Verordnung“ (EU) 2019/943 vor, dass europaweit einheitliche Regeln zum Schutz gegen digitale Bedrohungen erlassen werden.
Dazu kann die EU-Kommission einen Netzkodex erarbeiten, der sektorspezifische Regeln für Cybersicherheitsaspekte grenzüberschreitender Stromflüsse festlegt. Zu diesem Zweck arbeitet seit Anfang Februar 2020 auf Einladung der Europäischen Kommission ein Editorenteam, bestehend aus zwölf Expertinnen und Experten von Verteilnetzbetreibern (VNB) und Übertragungsnetzbetreibern (ÜNB) aus ganz Europa, an einem Entwurf des neuen Netzkodex für Cybersicherheit.
Der Netzkodex soll für Übertragungs- und Verteilnetzbetreiber unionsweit verpflichtend sein. Die Anwendung auf weitere Betreiber wesentlicher Dienste (gemäß EU-NIS-Richtlinie 2016/1148) wird derzeit noch erwogen, sollte jedoch außerhalb des zugrundeliegenden Mandats zur Erarbeitung des Netzkodex liegen.
Eine konsolidierte Version des ersten Entwurfs wird durch das Editorenteam voraussichtlich im Herbst 2020 nochmals zur Konsultation gestellt. Der BDEW begleitet den weiteren Verlauf eng.