Von Jürgen Walk
Der Schutz kritischer Infrastruktur wird immer wichtiger. Die Energiebranche unterstützt daher das Ziel, Sicherheit im Bereich kritische IT-Komponenten zu stärken und Abhängigkeiten von Herstellern aus Drittstaaten zu verringern. Doch ein zentraler Aspekt sorgt für massive Unsicherheit in der Branche: Es geht dabei um eine geplante Regelung im "Gesetz über das Bundesamt für Sicherheit in der Informationstechnik" (BSIG).
Darin geht es um eine Anzeigepflicht und Prüfverfahren für Komponenten, die in Anlagen der kritischen Infrastruktur verbaut werden. Die Gesetzespläne sehen vor, solche Komponenten auch noch nach dem Einbau und ohne zwingende Sicherheitsbegründung verbieten zu können. In einem gemeinsamen Positionspapier kritisieren der Bundesverband der Energie- und Wasserwirtschaft (BDEW) sowie der Verband kommunaler Unternehmen (VKU) die Regelungen als praxisfern.
"Hunderttausende Verwaltungsakte pro Jahr"
Anstatt die Cybersicherheit zu erhöhen, drohen nach Einschätzung der Energiebranche massive Bürokratie und Verzögerungen beim Netzausbau sowie bei der Digitalisierung. Im Prüfverfahren übermitteln die Betreiber kritischer Infrastrukturen dem Bundesinnenmninsterium (BMI) Listen kritischer IT-Komponenten, die im Rahmen des Netz- oder Anlagenbetriebs zum Einsatz kommen sollen. Das BMI hat dann zwei Monate Zeit, den Einsatz dieser IT-Komponenten zu prüfen.
Der Kernvorwurf der Energiebranche: Der Gesetzentwurf übertrage einfach ein Prüfverfahren aus dem Telekommunikationssektor auf die Energiewirtschaft. Doch die Verbände warnen: Während im Bereich 5G-Netze nur wenige Betreiber und Anbieter betroffen sind, sieht sich der Energiesektor mit einer Vielzahl von Betreibern und einer heterogenen Lieferantenlandschaft konfrontiert. Statt auf vier Telekommunikationssnetzbetreiber werde das Verfahren auf alle Energienetzbetreiber und alle Betreiber kritischer Erzeugungsanlagen ausgeweitet. Diese Differenz führe zu einem unverhältnismäßig hohen bürokratischen Aufwand – die Verbände prognostizieren "hundertausende Verwaltungsakte pro Jahr".
"Cybersicherheit ist ein zentrales Anliegen der kommunalen Energieversorger", betont Ingbert Liebing, Hauptgeschäftsführer des VKU. "Wir brauchen keine pauschalen Verbote, sondern risikobasierte, praktikable Lösungen mit Bestandsschutz und europäischer Harmonisierung. Nur so lässt sich Sicherheit mit Wirtschaftlichkeit und Versorgungssicherheit in Einklang bringen. Ein rückwirkendes Verbot kritischer Komponenten, überbordende Bürokratie und fehlende Planungssicherheit drohen, Versorgungssicherheit, Energiewende und Digitalisierung auszubremsen."
Kerstin Andreae, Vorsitzende der BDEW-Hauptgeschäftsführung, kommentiert: "Wir teilen das Ziel, Cybersicherheit zu stärken, aber die aktuellen Verfahren führen zu Rechtsunsicherheit, zusätzlichen Kosten und Engpässen in den Lieferketten. Wir brauchen dringend praktikable Lösungen, die Planungs- und Versorgungssicherheit gewährleisten. Das gelingt nur mit europäisch abgestimmten, risikobasierten Ansätzen."
Schon die Möglichkeit eines nachträglichen Verbots würde tief in bestehende Systeme eingreifen, Investitionen entwerten und Projektverzögerungen nach sich ziehen, fürchten die Verbände. Zudem drohen durch das vorgesehene Anzeigeverfahren jährlich hunderttausende Verwaltungsakte ohne erkennbaren Sicherheitsgewinn.
Gleichzeitig liefern VKU und BDEW auch Lösungsvorschläge, um die heikelsten Schwierigkeiten zu entschärfen: Es dürfe keine rückwirkenden Verbote ohne zwingende Sicherheitsbegründung geben. Das Anzeigeverfahren solle vereinfacht oder ganz gestrichen werden. Statt Einzelmeldungen soll es entweder "schwarze Listen" nicht vertrauenswürdiger oder "weiße Listen" vertrauenswürdiger Hersteller geben. Nötig seien zudem eine klare Definition kritischer Komponenten, praktikable Fristen und eine Harmonisierung mit europäischen Standards.
