IT-sicherheitsrechtliche Handlungspflichten für Anlagen- und Netzbetreiber sowie für Energielieferanten

IT-Sicherheitsrecht ist für viele immer „weit weg“. Dass dort normierte Pflichten aber in sämtlichen Branchen Wirkung entfalten, wird dabei regelmäßig übersehen. Sowohl Betreiber sämtlicher stromerzeugender Anlagen, egal ob Biogas, Wind, PV, etc., als auch Betreiber von Netzen und Energielieferanten unterliegen IT-sicherheitsrechtlichen Pflichten aus dem aktuellen NIS-2-Entwurf als auch dem EnWG.

Bei der NIS-2-Richtlinie handelt es sich um eine EU-Richtlinie zur Netzwerk- und Informationssicherheit. Mit dem NIS2-Umsetzungsgesetz soll diese Richtlinie in deutsches Recht eingeführt werden.

Unter anderem für folgende Gruppen werden damit nach § 28 in Verbindung mit der Anlage 1 erhöhte IT-Sicherheitspflichten normiert:

1. Strom- und Gaslieferanten
2. Betreiber von Elektrizitätsverteilernetzen
3. Betreiber von Übertragungsnetzen
4. Betreiber von Erzeugungsanlagen
5. Betreiber von Fernwärmeversorgung
6. Betreiber von Gasverteilnetzen
7. Betreiber von Fernleitungsnetzen
8. Betreiber von LNG-Anlagen
9. Betreiber von Anlagen zur Gewinnung von Erdgas
10. Betreiber im Bereich Wasserstofferzeugung, -speicherung und –fernleitung

Der Umfang der letztlich zu erfüllenden Pflichten hängt von verschiedenen Aspekten ab. Zunächst wurden vom Bundesministerium des Inneren per Verordnung (BSI-Kritisverordnung) bestimmte Unternehmen aus dem Energiesektor als sog. Kritische Infrastruktur ausgewiesen. Diese Eigenschaft hängt dabei mit verschiedenen Bemessungskriterien zusammen, wie z.B. die installierte Nettonennleistung, an Letztverbraucher gelieferte Strommengen, durch Fernwärmenetze geleitete Wärmeenergie, etc. Betreiber kritischer Infrastruktur haben dabei die größten Pflichten zu erfüllen.

In zweiter Stufe kommen die besonders wichtigen Einrichtungen. Eine solche liegt vor, wenn das jeweilige Unternehmen mindestens 250 Mitarbeiter beschäftigt oder einen Jahresumsatz von über 50 Millionen Euro und zugleich eine Jahresbilanzsumme von über 43 Millionen aufweist.

Wird diese Schwelle nicht erreicht, handelt es sich um eine wichtige Einrichtung, wenn mindestens 50 Mitarbeiter beschäftigt oder ein Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro erreicht werden.

Je wichtiger die Einrichtung (das Unternehmen) ist, desto umfangreicher sind die Pflichten.

Letztlich treffen aber auch Unternehmen, die die Schwelle zur wichtigen Einrichtung nicht überschreiten, entsprechend sicherheitsrechtliche Pflichten aus dem EnWG.

Sanktioniert werden die Verletzungen etwaiger Pflichten über die Verhängung von Bußgeldern, welche mehrere Millionen Euro bzw. unter Umständen auch 2 % des gesamten weltweiten Jahresumsatzes erreichen können.

Insofern sollte also eine genaue Prüfung erfolgen, ob und in welchem Umfang das jeweilige Unternehmen die Anforderungen aus dem NIS2UmsuCG bzw. dem EnWG einhalten muss.

Bei der Prüfung, ob Sie als Anlagenbetreiber, als Netzbetreiber oder als Energielieferant unter diese Pflichten fallen, sind wir Ihnen gerne behilflich.

(Bildquelle: pixabay.com)