Bereits am 19.01.2021 hatte die Bundesnetzagentur eine Mitteilung zur „Zertifizierung nach dem IT-Sicherheitskatalog § 11 Abs. 1a EnWG im Falle der Betriebsführung durch Dritte“ veröffentlicht.

Wir wollen diese Mitteilung nun noch mal in Erinnerung rufen, da die betroffenen Strom- und Gasnetzbetreiber für die Einhaltung der Umsetzungsfrist zum 30.11.2022 rechtzeitig mit der Einführung ihres ISMS gemäß dem IT-Sicherheitskatalog § 11 Abs. 1a EnWG beginnen sollten.

Ausnahmeregelung für die „Betriebsführung durch Dritte“ wurde eingeschränkt

Nach Einführung des IT-Sicherheitskataloges war es für Netzbetreiber zunächst möglich, auf die Einführung eines eigenen ISMS nach IT-Sicherheitskatalog zu verzichten, wenn die Betriebsführung des Netzes durch zertifizierte Dritte erbracht wurde. In diesen Fällen konnten die Netzbetreiber das Zertifikat des beauftragten Dritten zusammen mit Erklärungen der vollständigen Abdeckung des eigenen Netzes bei der Bundesnetzagentur als Nachweis einreichen.

Im Rahmen der oben genannten Mitteilung wurden von der Bundesnetzagentur auch Lösungsmöglichkeiten vorgeschlagen, die sie hier in den News-Meldung der datenschutz cert nachlesen können.

Ausnahmeregelung zur „Nicht-Anwendbarkeit“ weiterhin möglich

Nicht geändert wurde die Ausnahmeregelungen für die Nicht-Anwendbarkeit des IT-Sicherheitskatalogs §11 Absatz 1a EnWG, wenn beim Netzbetreiber „keine Systeme, Anwendungen und Komponenten zum Einsatz kommen, die für einen sicheren Netzbetrieb notwendig sind“.

Fazit

Netzbetreiber, die vom Wegfall der Ausnahmeregelung betroffen sind, empfehlen wir noch in diesem Jahr mit der Einführung eines ISMS auf Basis des IT-Sicherheitskataloges § 11 Abs. 1a EnWG zu beginnen. Solange der Betrieb des Netzes durch einen zertifizierten Dritten erbracht wird, lässt sich das ISMS in vielen Bereichen mit deutlich weniger Aufwand einführen und betreiben, als dies bei einer selbsterbrachten Betriebsführung der Fall wäre.

| | | , , , , , ,