Das IT-Sicherheitsgesetz (IT-SiG) 2.0 sollte im Energiewirtschaftsgesetz (EnWG) ein System zur Angriffserkennung als neuen Abs. 1(d) in §11 einbringen. Dies gilt ebenso für die Nachweiserbringung eines solchen als neuen Abs. 1(e).
Tatsächlich wurde in der aktuellen Fassung des EnWG aus diesem neuen Abs. 1(d) aber inzwischen 1(e) und aus 1(e) wurde 1(f). Die Referenz auf 1(d) im Text von 1(f) ist aber nicht auf 1(e) mitgeändert worden, konkretisiert Sascha Jäger. Er ist Geschäftsführer des auf Informations- und IT-Sicherheit spezialisierten Unternehmen Ausecus, das vor allem für Versorgungsunternehmen im Energiesektor tätig ist.
Sascha Jäger, Geschäftsführer bei Ausecus
Ausecus
Was bedeutet das?
In Folge entsteht durch EnWG §11 Abs. 1(f) eine Nachweispflicht für 1(d), erklärt der Geschäftsführer. 1(d) regle jedoch in der aktuellen Fassung der EnWG die Verpflichtung der Betreiber sich spätestens zum 1. April eines jedes Jahres als kritische Infrastruktur beim Bundesamt für Sicherheit in der Informationstechnik zu melden. „Für ein System zur Angriffserkennung ergibt sich hierdurch allerdings keine gesonderte Nachweispflicht, wie eigentlich durch das IT-SiG 2.0 beabsichtigt.“
Nachfrage beim BMWK und BMI
Ausecus hatte zu diesem Sachverhalt bei den zuständigen Ministerien nachgefragt. Sowohl das Bundesinnenministerium als auch das Bundeswirtschaftsministerium bestätigten demnach auf Nachfrage, dass dieser Fehler in einer der nächsten EnWG Novellen korrigiert werde.
Durch die Korrektur wäre dann wieder die Vorgabe des ITSiG 2.0 im EnWG umgesetzt. Jäger rät KRITIS-Betreibern daher, von einem erforderlichen Nachweis zu einem System zur Angriffserkennung bis zum 1. Mai 2023 auszugehen. (sg)
