Verpflichtung zum Einsatz von Systemen zur Angriffserkennung gemäß IT-SiG 2.0 beachten!

Im Mai 2021 ist das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) in Kraft getreten. Damit kommen auf KRITIS-Betreiber einige neue Anforderungen zu, u.a. die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung ab dem 01.05.2023. Diese Anforderung muss auch in geeigneter Form gegenüber dem BSI nachgewiesen werden.

Für Betreiber von Energieversorgungsnetzen und Energieanlagen wurden im Rahmen des IT-SiG 2.0 im Energiewirtschaftsgesetz (EnWG) der §11 um die Absätze (1d) und (1e) ergänzt. Darin wurde für diese Unternehmen die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung verankert (Absatz 1d) und die Nachweispflicht gegenüber dem BSI festgelegt (Absatz 1e).

Gerade für kleine und mittelgroße Stadtwerke als Betreiber von Energieversorgungsnetzen, die deutlich unterhalb der Schwellenwerte gemäß BSI-KritisV liegen, hat sich die Frage gestellt, ob auch sie diese Anforderung umsetzen müssen. Diese Frage haben wir nun sowohl mit dem BSI als auch mit der BNetzA geklärt, da in der Vergangenheit unterschiedliche Stellungnahmen dazu kursierten.

Beide Bundesämter haben übereinstimmend festgestellt, dass alle Betreiber von Energieversorgungsnetzen (unabhängig von der Größe der Anlagen) Systeme zur Angriffserkennung einführen und dies spätestens bis zum 01.05.2023 (und danach alle zwei Jahre) gegenüber dem BSI nachweisen müssen. Ergänzend hat die BNetzA darauf hingewiesen, dass es Ausnahmen im Hinblick auf die Nichtanwendbarkeit der Nachweispflicht im Rahmen des IT-Sicherheitskatalogs gemäß §11 (1a) EnWG geben kann.

Bei Rückfragen sprechen Sie uns gerne an.