Bild: escapechen / pixelio.de

Nicht mit Kanonen auf Spatzen schießen

Der IT-Sicherheitskatalog sollte für kleinere Energienetzbetreiber gelockert werden, fordert Regulierungsexperte Thies Hartmann von der Kanzlei BBH.

Zumindest im Energiesektor wird mit der Regulierung des IT-Sicherheitsgesetzes „mit Kanonen auf Spatzen geschossen“, sagt Rechtsanwalt Dr. Thies Hartmann von der Kanzlei Becker Büttner Held (BBH). Strom- und Gasnetzbetreiber müssen die Anforderungen des IT-Sicherheitskatalogs der Bundesnetzagentur bis zum 31. Januar 2018 umsetzen. Sie sind dazu verpflichtet ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einzuführen und zertifizieren zu lassen.

Unterschiedliches Gefährdungspotenzial

Die Vorgaben sollen nach umstrittener Rechtsauffassung der Bundesnetzagentur für alle Netzbetreiber gelten, unabhängig davon, ob aufgrund der Größe der Netze überhaupt kritische Infrastrukturen betrieben werden. „Bei kleineren Netzen, die von ihrer Größe eher kritische Grenzen unterschreiten, muss man sich die Frage stellen, ob der enorme bürokratische Mehraufwand gerechtfertigt ist. Regelmäßige Audit- und Rezertifizierungsverpflichtungen und umfangreiche Berichtspflichten stehen bei kleinen Unternehmen einem Gefährdungspotenzial gegenüber, das dann doch sehr begrenzt ist“, so Hartmann gegenüber der ZfK.

Schwellenwerte für Netzbetreiber nötig

Er fordert deshalb für den Energiebereich, „dass der Adressatenkreis des IT-Sicherheitskataloges der Bundesnetzagentur sinnvoll und sachgerecht begrenzt werden muss“. Eine Ergänzung um Schwellenwerte für potenziell kritische Anlagen entsprechend der Kritisverordnung sei zwingend, um den Anwendungsbereich einzuschränken und so den Katalog verhältnismäßiger zu gestalten.

Hierdurch könne auch eine Gleichbehandlung der Betreiber von kritischer Infrastruktur in verschiedenen Sektoren erreicht werden, sagt Hartmann. Denn für die Bereiche Wärmeversorgung, Wasser- und Abwasserentsorgung, Telekommunikation und Verkehr gelten in punkto IT-Sicherheit Schwellenwerte. „Es ist nicht nachvollziehbar, dass ein und dasselbe Unternehmen als Betreiber eines Strom- oder Gasnetzes Anforderungen an die IT-Sicherheit erfüllen muss, von denen es in anderen Sektoren wie Wasser- oder Wärmeversorgung, Telekommunikation oder Verkehr gerade wegen fehlender kritischer Unternehmensgröße befreit ist“, kritisiert Hartmann.

Doch hält er es für sinnvoll auch für diese anderen Bereiche kritischer Infrastruktur einen „Stand der Technik“ in punkto IT-Sicherheit zu definieren, der „verhältnismäßig ist“. Die Betreiber und ihre Branchenverbände seien gefordert, hierzu branchenspezifische Sicherheitsstandards vorzuschlagen. (hcn)