Ausnahme möglich?

Die Anforderungen des IT-Sicherheitskatalogs umzusetzen, ist durchaus anspruchsvoll. Viele Netzbetreiber bewegt daher die Frage, ob es Möglichkeiten gibt, die Einführung und Zertifizierung des ISMS zu umgehen. Dr. Andreas Lied und Rechtsanwalt Alexander Bartsch von Becker Büttner Held geben eine erste Bewertung.

Die Bundesnetzagentur geht auf ihrer Website auf FAQs zum IT-Sicherheitskatalog ein. Dort wird auch die Frage thematisiert, ob und unter welchen Umständen ein Netzbetreiber von der Zertifizierung ausgenommen werden kann. Konkret heißt es dort:

„Ich betreibe nur Anlagen ohne Gefährdungspotential, ohne Anschluss an das Internet oder habe kein Leitsystem. Benötige ich dennoch eine Zertifizierung?“

Beantwortet wird diese Frage, wie folgt:

Dr. Andreas Lied
Dr. Andreas Lied

„Betreibt ein Strom- oder Gasnetzbetreiber keine vom IT-Sicherheitskatalog erfassten Systeme in seinem Netz und lässt diese auch nicht von einem externen Dienstleister betreiben bzw. handelt es sich nur um Systeme ohne Gefährdungspotential, besteht auch keine Umsetzungspflicht für die diesbezüglichen Sicherheitsanforderungen des IT-Sicherheitskatalogs. Es bedarf dann auch keiner Zertifizierung. Dies ist jedoch zu begründen und durch geeignete Nachweise zu belegen. Die Telekommunikations- und elektrischen Datenverarbeitungssysteme eines Netzbetreibers, die für einen sicheren Netzbetrieb notwendig sind, sind im Rahmen der geforderten Risikoeinschätzung zu ermitteln. Insofern kann ein geeigneter Nachweis durch Vorlage der Dokumentation zu dieser Risikoanalyse oder durch sonstige Pläne zur Struktur des Netzes erfolgen.“

Alexander Bartsch
Alexander Bartsch

In der Tat eröffnet die Bundesnetzagentur mit diesem im IT-Sicherheitskatalog selbst nicht ausdrücklich vorgesehenen Ausnahmetatbestand die Möglichkeit, im Einzelfall von einer Zertifizierung eines ISMS abzusehen. Nach der Formulierung greift die Ausnahmemöglichkeit aber nur in einzelnen eng begrenzten Fällen. Eine einfache Regel ermöglicht einem Netzbetreiber, zumindest grob zu beurteilen, ob er dazu gehört: Falls alle der drei unten genannten Fragen verneint werden können, kommt grundsätzlich eine Inanspruchnahme der Ausnahmeregelung in Betracht:

1. Werden fernwirktechnisch angebundene Komponenten für aktive Schalthandlungen verwendet?
2. Werden nach einem Stromausfall Informations- und Telekommunikationssysteme für das „Hochfahren“ des Netzes benötigt?
3. Würde der Ausfall eines Informations- und Telekommunikationssystems die Netzstabilität gefährden?

Um genauer zu klären, inwieweit die Voraussetzungen des Ausnahmetatbestands erfüllt sind, lässt sich das folgende Vorgehensmodell empfehlen:

1) Erstellung eines Netzstrukturplans.
2) Durchführung einer Risikoanalyse.
3) Bestimmung der Pflicht zur Zertifizierung.

Allein die Größe eines Netzbetreibers – so die Behörde ebenfalls in den FAQ – genügt indes nicht zur Beurteilung einer Freistellung. Für alle Unternehmen bleibt es daher bei dem Risiko, dass die Bundesnetzagentur im Einzelfall zu dem Ergebnis kommt, dass trotz lediglich untergeordnetem Gefährdungspotential eine Zertifizierung erfolgen muss.

Da die Voraussetzungen für die Ausnahme zudem derart allgemein und derzeit auch eng gefasst sind, könnte parallel ein gerichtliches Vorgehen gegen den IT-Sicherheitskatalog erwogen werden mit dem Ziel einer verhältnismäßigen Ausgestaltung der Vorgaben der Bundesnetzagentur. Dem IT-Sicherheitskatalog kommt zweifellos eine Regelungsfunktion zu. Er hat zudem Außenwirkung auf Netzbetreiber im Sinne des EnWG, da diese unmittelbar adressiert sind. Es soll dauerhaft der materiell-rechtliche Maßstab für die Qualität der IT von Netzbetreibern festgelegt werden. Seinem Inhalt nach lässt sich der IT-Sicherheitskatalog damit am ehesten als abstrakt-generelle Regelung in Form einer Entscheidung beziehungsweise Festlegung nach § 29 Abs. 1 EnWG verstehen, gegen die die Einlegung einer Beschwerde denkbar ist. Im Falle eines gerichtlichen Erfolgs fiele jedenfalls die kontinuierliche Pflicht zur Überprüfung des ISMS weg.

Kontakt: Becker Büttner Held Consulting AG, Vorstand, Dr. Andreas Lied, 81373 München, Tel. +49 89 231164-911, andreas.lied@bbh-beratung.de
Becker Büttner Held, Rechtsanwälte Wirtschaftsprüfer Steuerberater, Rechtsanwalt Alexander Bartsch, 10179 Berlin,
Tel. +49 30 6112840-43, alexander.bartsch@bbh-online.de