Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer. Systeme (IT-Sicherheitsgesetz) Positionspapier der EWE AG Juni 2015

Transkript

1 Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Positionspapier der EWE AG Juni 2015

2 Mit dem IT-Sicherheitsgesetz esetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland erreicht werden. Die vorgesehenen Neuregelungen dienen dazu, den Schutz der Systeme im Hinblick auf die Schutzgüter der IT-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) zu verbessern, um den aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können. Ziel des Gesetzes ist die Verbesserung der IT-Sicherheit von Unternehmen, der verstärkte Schutz der Bürgerinnen und Bürger im Internet und in diesem Zusammenhang menhang auch die Stärkung von BSI und Bundeskriminalamt (BKA). Besondere Bedeutung kommt im Bereich der IT-Sicherheit denjenigen Infrastrukturen zu, die für das Funktionieren unseres Gemeinwesens zentral sind. Der Schutz der IT-Systeme von solchen Kritischen Infrastrukturen und der für den Infrastrukturbetrieb nötigen Netze ist daher zentraler Gegenstand der Neuregelungen. Zu den sogenannten Kritischen Infrastrukturen gehören neben der Energieversorgung und der Telekommunikation weitere sieben KRITIS-Sektoren, Sektoren, das Finanz- und Versicherungswesen, Wasser, Ernährung, Gesundheit, Transport und Verkehr, Medien und Kultur sowie Staat und Verwaltung. Gegenstand der EWE Positionion Das ITSiG ist ein Artikelgesetz und reformiert verschiedene Einzelgesetze. Für Energieversorgungsunternehmen gungsunternehmen (EVU), speziell für die EWE als Mehrspartenunternehmen sind insbesondere Änderungen am Energiewirtschaftsgesetz (EnWG), am Telekommunikationsgesetz (TKG) und am BSI-Gesetz (BSIG) relevant. Das EWE-Positionspapier bezieht sich schwerpunktmäßig auf Änderungen und Neuregelungen am EnWG und BSIG. Zentrale Forderungen des Positionspapieres Schaffen von Klarheit und Planungssicherheit für die Betreiber - Auflösen der weitreichenden Unbestimmtheit des ITSiG Reduktion von Aufwänden und Vermeidung von Wettbewerbsverzerrungen durch: o Harmonisierung von Anforderungen an KRITIS-Betreiber o Harmonisierung von nationalen und EU-weiten Vorgaben Verbesserung der Kooperation bei der Entwicklung von Branchenstandards / Leben der Public-Private-Partnership Partnership (PPP) Einbezug des Sektors Staat und Verwaltung in die Regelungen des ITSiG Regelung der Datenweitergabe an EU-Stellen Verpflichtung von Hardware-/Software /Software-Herstellern gemäß Vorgaben des ITSiG Einschränkung der Befugniserweiterung des BSI Übernahme / Wälzung von Kosten 2

3 Zusammenfassung EWE befürwortet im Grundsatz die Bestrebungen der Bundesregierung, im Zuge der fortschreitenden Digitalisierung von kritischen Infrastrukturen, Anforderungen an die Informationssicherheit der Betreiber zu stellen und damit einen Beitrag zur Versorgungssicherheit der Bevölkerung durch Stabilität und Widerstandsfähigkeit der kritischen Infrastrukturen zu leisten. EWE bietet im Vergleich zu anderen Unternehmen seit jeher eine weit überdurchschnittliche Versorgungssicherheit und minimale Ausfallzeiten. Dabei verfügt EWE über einen sehr hohen Anteil Erneuerbarer Energien. Schon heute existiert ein hoher Grad an Digitalisierung, der zukünftig erheblich anwachsen wird. Die überdurchschnittliche Versorgungssicherheit hat auch in Zukunft für EWE einen sehr hohen Stellenwert unter teilweise geänderten Rahmenbedingungen und unter Berücksichtigung von neuen Risikopotentialen. EWE hat die Herausforderungen und die Bedeutung der Informationssicherheit schon frühzeitig erkannt und nimmt die daraus entstehende Verantwortung sehr ernst. So ist die EWE beispielsweise Partner des UP KRITIS und wirkt in diesem Rahmen aktiv in den Arbeitskreisen und Projektgruppen der Bundesregierung und den zuständigen Verbänden mit und fördert sowie gestaltet die Entwicklung von Cybersicherheit in kritischen Infrastrukturen aktiv mit. Im Rahmen der Gesetzesinitiative ive sieht EWE neben den genannten positiven Ideen allerdings auch Herausforderungen und deutliche Verbesserungspotentiale. Das IT-Sicherheitsgesetz und die damit einhergehenden Änderungen an weiteren Spezialgesetzen wie dem EnWG bergen derzeit noch weitgehende ende Unklarheiten, insbesondere die Unbestimmtheit bezüglich einer konkreten Betroffenheit sowie der Anwendbarkeit von relevanten Anforderungen seien hier genannt. Auch die stark ungleiche Ausgestaltung von Anforderungen und Fristen, die an Betreiber kritischer Infrastrukturen gestellt werden, bedürfen weiterer Anpassungen. Dies wirkt sich bei einem mehrfach vom Gesetz betroffenen Mehrsparten-Unternehmen wie der EWE in hohem Maße nachteilig aus und führt zu nicht kalkulierbaren Lasten, weitreichenden Planungsunsicherheiten ngsunsicherheiten und damit zu vermeidbaren Kosten. Neben einer Harmonisierung der relevanten nationalen Gesetze ist für die Energiewirtschaft, die in einem europäischen Verbund agiert, eine Harmonisierung von Anforderungen mit EU- Vorgaben, insbesondere der bevorstehenden NIS- -Richtlinie (*) unbedingt anzustreben. Die NIS-Richtlinie wird ebenfalls Anforderungen an die IT-Sicherheit kritischer Infrastrukturen vorgeben, die in nationales Recht in das IT-Sicherheitsgesetz bzw. in nachgelagerte Verordnungen einfließen wird. Darüber hinaus sieht EWE die Erfordernis, den Sektor Staat und Verwaltung sowie Hersteller von Hard- und Software in den Adressatenkreis des Gesetzes aufzunehmen. (*) Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union 3

4 Im Folgenden werden die wesentlichen Herausforderungen aus Sicht der EWE kommentiert und Lösungsvorschläge angeboten. I. Schaffen von Klarheit und Planungssicherheit für die Betreiber - Auflösen der weitreichenden Unbestimmtheit des ITSiG Der vorliegende Entwurf des ITSiG ist an wesentlichen Stellen unbestimmt und unvollständig. Selbst der Adressatenkreis des Gesetzes ist noch nicht formuliert (Ankündigung einer Rechtsverordnung nach 10 BSI-Gesetz). Dies widerspricht dem Bestimmtheitsgrundsatz und eröffnet dem Gesetzgeber weitreichenden Ermessungsspielraum in der Regulierung mit der möglichen Folge von Wettbewerbs- verzerrungen und tiefgreifenden Eingriff in die unternehmerische Freiheit, zumal fehlende Regelungen nur im Benehmen oder mit Anhörung der Wirtschaft, Verbände oder Wissenschaft entstehen sollen. Es ist uns als Betreiber mehrerer kritischer Infrastrukturen (z.b. Energie, TK, Wasser, Gas) derzeit noch nicht möglich, die gesamthafte Betroffenheit und den Aufwand für das Gesamt- Unternehmen einzuschätzen und eine etwaige Harmonisierung der Anforderungen im Konzern vorzunehmen. So ist neben o.g. Aspekten aufgrund des pauschalen Ausschlusses von Kleinstunternehmen und KMU bspw. die Auswirkung auf unser Geschäftsfeld Wasser / Abwasser derzeit nicht bewertbar. Auch kann heute noch nicht abgeschätzt werden, welche Anforderungen und welche Gesetze für Energieerzeugungsanlagen gelten werden (konventionelle Erzeugung, Speicher, Erneuerbare Anlagen, virtuelle Kraftwerke etc.). Die Auswirkungen hinsichtlich Fristen und Kosten sowie Planbarkeit im Unternehmen sind je nach Betroffenheit hoch, da wesentliche Bestandteile des gesetzlichen Rahmens (Branchenstandards, Verordnung 10 BSIG, IT-Sicherheitskatalog für Energieanlagen der BNetzA etc.) noch nicht existieren, andererseits Energienetzbetreiber voraussichtlich schon ab Sommer 2015 mit einer Frist von nur einem oder zwei Jahren für noch nicht klar bestimmte Geltungsbereiche ganzheitliche Sicherheitsstrukturen zertifizieren lassen müssen. EWE fordert zeitnahe Klarheit über Betroffenheit, Anforderungen, Anforderungsniveaus und Fristen und drängt insbesondere zu einer Angleichung, um Planungssicherheit heit zu erlangen und einheitliche methodische Verfahren und bestehende, zentrale Konzernstrukturen und Prozesse nutzen zu können. 1. Darlegen eines klaren und transparenten Vorgehensmodells, das zu mehr Klarheit bzgl. der Definition des Adressatenkreises und der anzuwendenden Gesetze im Sektor Energie führt (z.b. Zuordnung von Gasspeichern, virtuellen Kraftwerken, Erneuerbaren Anlagen usw.). 2. Erarbeitung einer klaren und verbindlichen Definition der betroffenen KRITIS- Betreiber, bevor das ITSiG I und die verbundene Spezialgesetzgebung (z.b. EnWG) verabschiedet wird, nicht erst im Nachgang. 4

5 3. Schaffen von Transparenz hinsichtlich der zur Anwendung kommenden IT- Sicherheitskataloge für Energienetzbetreiber und Energieanlagenbetreiber (s. auch 2.). II. Reduktion von Aufwänden und Vermeidung von Wettbewerbsverzerrungen - Harmonisierung von Anforderungen an KRITIS-Betreiber Die derzeitige Ausgestaltung des ITSiG führt zu einem Ungleichgewicht im Anforderungsniveau, das an die KRITIS-Sektoren Sektoren gestellt wird. Die adressierten Unternehmen mit Ausnahme von EVU müssen sich zukünftig verstärkt auf die technische Sicherheit von Systemen und Anlagen konzentrieren, während EVU nach EnWG ganzheitlich nach ISO27001 incl. einer entsprechenden Zertifizierung und Aufrechterhaltung derselben verpflichtet werden. Dies ist im Wesentlichen dadurch begründet, dass aus Sicht des Gesetzgebers dem Sektor Energie eine besondere Bedeutung zukommt: von dessen Funktionsfähigkeit hängen alle anderen kritischen Infrastrukturen ab. Die damit einhergehende Verletzung des Gleichheitsgrundsatzes führt allerdings zu einer ungleich höheren Belastung der EVU mit der potentiellen Folge von nationalen und EU-weiten Wettbewerbsverzerrungen. EWE erachtet eine Harmonisierung bzw. eine Angleichung der Anforderungen des ITSiG an alle KRITIS-Sektoren Sektoren daher als erforderlich. Dies ist für EVU nach aktuellem Kenntnisstand, auf Grund der Positionierung des Bundesministeriums eriums des Innern (BMI) nur noch über Anpassungen am 11 Abs. 1a bis 1c EnWG (Zuständigkeit BMWi) und am IT- Sicherheitskatalog der BNetzA für Energienetzbetreiber sowie im Rahmen der Erstellung eines separaten IT-Sicherheitskatalogs für Energieanlagenbetreiber möglich. Es sollte eine Harmonisierung des 11, Abs. 1a bis 1c EnWG zusammen mit dem IT- Sicherheitskatalog für Energienetzbetreiber der BNetzA und dem ITSiG ( 8 BSI-Gesetz) erfolgen, mit dem Fokus: 1. Angleichung der Anforderungen an die betroffenen Unternehmen 2. Einheitliche Meldeverpflichtungen, z.b. Möglichkeit zu anonymen Meldungen für alle Sektoren 3. Angleichung der Anforderungen an die Nachweiserbringung 4. Angleichung der Umsetzungsfristen und einheitlicher Beginn der Fristen Im Detail: 1. Angleichung der Anforderungen an die betroffenen Unternehmen - Vermeidung von Mehrfach-Regulierung der EVU Neben einer generellen Harmonisierung der Anforderungen an die Sektoren sollte zur Vermeidung von mehrfachen, unterschiedlichen Anforderungen an Mehrsparten- unternehmen der Energiewirtschaft eine Harmonisierung im Sektor Energie erfolgen. 5

6 Dazu ist aus unserer Sicht folgendes erforderlich: Anpassung des IT-Sicherheitskatalogs der BNetzA für Netzbetreiber vor Inkraftsetzen des ITSiG in Zusammenarbeit mit den betroffenen Unternehmen. Erarbeitung der Anforderungen für Energieerzeugungsanlagen und Ermittlung der Betroffenheit / des Adressatenkreises des Gesetzes, bevor die Fristen zur Umsetzung von Maßnahmen beginnen. Hierzu ist die Verordnung nach 10 BSIG zeitgleich mit dem ITSiG und den Änderungen an Spezialgesetzgebungen (EnWG, TKG etc.) in Kraft zu setzen. 2. Vereinheitlichung der Anforderungen an die Meldung von Sicherheitsvorfällen Mehrfache Meldewege und behördliche Zuständigkeiten, die sich aus der Anwendung mehrerer Artikel des ITSiG für EVU ergeben, führen zu Ineffizienzen und Redundanzen und damit zu erhöhten, laufenden Kosten. Im aktuellen Entwurf des ITSiG sind anonyme Meldungen für EVU nicht vorgesehen. Die Möglichkeit hierzu sollte auch für den Sektor Energie geschaffen werden, doppelte Meldewege und strukturen (an BSI und an BNetzA) sollten dabei vermieden werden. Um erhöhte Personalaufwände für die Bereitstellung von fachkundigen 7x24- Kontakten zu vermeiden, sollten Kontaktstellen (POC / SPOC) auch für EVU als Ansprechpartner für die zuständigen Behörden akzeptiert werden. 3. Vereinheitlichung der Anforderungen an die Nachweiserbringung Die Anerkennung von Prüfungen Dritter als Nachweis für die Einhaltung von Vorgaben begrüßen wir. Dies betrifft allerdings nur die vom 8 BSIG direkt betroffenen Unternehmen, nicht die nach EnWG separat regulierten Unternehmen. EWE empfiehlt diese Möglichkeit im Rahmen des 11 EnWG bzw. im IT- Sicherheitskatalog der BNetzA auch für Energienetzbetreiber und Energieanlagenbetreiber anzubieten. 4. Harmonisierung von Fristen Eine Einführungsfrist von voraussichtlich zwei Jahren für EVU darüber hinaus noch bevor Klarheit aller Sektoren über deren Betroffenheit besteht - halten wir für unangemessen. Diese sollte auf mindestens drei Jahren nach Inkrafttreten der Verordnung gemäß 10 BSI-Gesetz verlängert werden. Wir empfehlen in diesem Zusammenhang, die Verordnung nach 10 BSI-Gesetz vor Inkraftsetzen des ITSiG vorzulegen und gemeinsam mit den Betreibern und den Verbänden abzustimmen und zeitgleich mit dem ITSiG und dem IT-Sicherheitskatalog der BNetzA zu verabschieden. 6

7 III. Reduktion von Aufwänden und Vermeidung von Wettbewerbsverzerrungen - Harmonisierung von nationalen und EU-weiten Vorgaben Seitens der EU ist eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (EU NIS-Richtlinie) mit sehr ähnlichen Regelungsbestandteilen wie im ITSiG in Vorbereitung. Diese Richtlinie wird ebenfalls in 2015 erwartet und in nationales Recht einfließen. Wettbewerbsverzerrungen im internationalen Marktumfeld können durch ungleiche Voraussetzungen und einseitige, nationale Regelungen entstehen. Eine Gesetzesänderung am nationalen ITSiG und den betroffenen Artikelgesetzen während laufender Umsetzungsfristen ist daher unbedingt zu vermeiden. Jede nachträgliche Änderung der nationalen nalen Gesetze, insbesondere während laufender Umsetzungsfristen, birgt erhebliches Kostenpotential für die betroffenen Betreiber. 1. Neben der Harmonisierung der nationalen Gesetzgebungsverfahren empfiehlt EWE dringend, eine verbindliche Harmonisierung zur EU NIS-Richtlinie herzustellen bzw. mit dem Inkraftsetzen des nationalen Gesetzes bis zur Verabschiedung der EU-Verordnung zu warten, so dass EU-weit einheitliche Standards und Regelungen gelten. IV. Verbesserung der Kooperation bei der Entwicklung von Branchenstandards / Leben der Public-Private-Partnership Partnership (PPP) Die Entwicklung von Branchenstandards ist essentielle Voraussetzung, um die Verpflichtung zur Umsetzung und Einhaltung von Mindeststandards erfüllen zu können. Für die nach 8 BSIG betroffenen Sektoren und Branchen erfolgt die Erarbeitung von Branchenstandards parallel zur Erarbeitung der Verordnung nach 10 BSIG. Beides erfolgt in Kooperation zwischen dem BSI und der Wirtschaft in den nächsten 12 bis 18 Monaten, was EWE sehr begrüßt. EVUs werden jedoch nach EnWG zur Einhaltung von fest vorgegebenen Mindeststandards verpflichtet. Ein IT-Sicherheitskatalog für Energienetzbetreiber, in Erarbeitung von der BNetzA, gilt in diesem Rahmen als Branchenstandard. Dieser entsteht jedoch nicht in ausreichendem Maße unter Beteiligung der Wirtschaft. Er soll unmittelbar mit Beginn der Umsetzungsfrist der EnWG-Änderungen inkraft gesetzt werden. Ob und inwieweit Vorschläge aus der Wirtschaft berücksichtigt werden, ist ungewiss. Ein weiterer IT- Sicherheitskatalog soll für Betreiber von Energieerzeugungsanlagen entstehen. 1. Der IT-Sicherheitskatalog der BNetzA für Energie-Netzbetreiber sollte als zukünftiger Branchenstandard gemeinsam und einvernehmlich mit den Betreibern in der vorliegenden Fassung überarbeitet werden. 7

8 2. Der IT-Sicherheitskatalog der BNetzA für Energie-Anlagenbetreiber sollte als zukünftiger Branchenstandard gemeinsam und einvernehmlich mit den Betreibern entwickelt werden. 3. Die BNetzA sichert ihre Kooperation bei der Formulierung der Branchenstandards (Mindestanforderungen) mit den Unternehmen zu. 4. Der Zeitrahmen für die Erstellung und Verabschiedung beider IT-Sicherheitskataloge für Energienetzbetreiber und für Energieanlagenbetreiber sollte sich an dem Zeitrahmen der nach 8 BSIG betroffenen Sektoren richten. 5. Die Umsetzungsfristen der Anforderungen rungen aus ITSiG, EnWG etc. sollten gemeinsam mit der Verabschiedung der Verordnung nach 10 BSIG beginnen, da Umsetzungshilfen (Konkretisierungen) der IT-Sicherheitskataloge zunächst entwickelt werden müssen, bevor sie schließlich in den Unternehmen angewendet endet und umgesetzt werden können. 6. Ein Ermessungsspielraum in der Planung und Umsetzung von angemessenen Maßnahmen besteht für EVUs nach den Änderungen am EnWG kaum mehr. Der IT- Sicherheitskatalog ist als Mindeststandard zwingend umzusetzen. Hier sollte den betroffenen Unternehmen mehr Flexibilität eingeräumt werden, um der unternehmerischen Freiheit gerecht zu werden. Die kooperative Entwicklung von Umsetzungshilfen und Konkretisierungen kann hierbei wertvolle Beiträge leisten. V. Einbezug des Sektors Staat t und Verwaltung in die Regelungen des ITSiG Nach dem Dafürhalten der EWE ist es zwingend erforderlich, dass für den Sektor Staat und Verwaltung die Anforderungen des ITSiG in gleicher Weise gelten wie für die anderen Sektoren. Die zentral bei einer Behörde gehaltenen hoch- -sensiblen Informationen von KRITIS-Betreibern erfordern sehr hohen Schutz, zu denen angemessene Sicherheitsmaßnahmen zu treffen sind. Die bisherigen Maßnahmen gemäß UP BUND reichen dafür nicht aus. Die zuständigen Behörden (z.b. BSI und BNetzA) sollten aufgrund der hohen Sensibilität der Informationen, die im Rahmen von Meldungen und Auditierungen in den Behörden gesammelt und verarbeitet werden, daher ebenfalls nachvollziehbar hohe Sicherheitsanforderungen erfüllen. Sicherheitsvorfälle bei den zuständigen Behörden (insbes. BSI, BNetzA) sollten einer Meldepflicht an die betroffenen KRITIS-Betreiber unterliegen. Insgesamt entsteht durch die Anwendung des ITSiG eine neue Gefährdungslage, die konträr zum eigentlichen Zweck des IT-Sicherheit Sicherheitsgesetzes ist nämlich den Schutz der kritischen Infrastrukturen sicherzustellen. Das ITSiG ist bzgl. Zugriffsschutz und Einsichtnahme in Akten nachgebessert worden. Konkrete Maßnahmen und Meldepflichten des BSI bei Verstößen / Vorfällen und hinsichtlich genereller Sicherheitsanforderungen sind jedoch nach wie vor nicht enthalten. 8

9 1. Anforderungen an den Sektor Staat und Verwaltung sind im ITSiG aufzunehmen, um eine neue Gefährdung von kritischen Betreiberdaten zu verhindern. 2. Eine Verpflichtung der zuständigen Behörden nach denselben Maßstäben wie KRITIS- Betreiber anderer Sektoren ist erforderlich, um Datenabfluss und Missbrauch der bei den Behörden zukünftig gesammelten kritischen Betreiberdaten zu vermeiden. 3. Sicherheitsvorfälle im Sektor Staat und Verwaltung, insbesondere aber bei den zuständigen Behörden, sollten einer Meldepflicht gegenüber den Betreibern unterliegen. Die Betroffenheit / Nicht-Betroffenheit von KRITIS-Betreiber-Daten ist dabei darzulegen. 4. Jedwede Datenübertragung von Betreiberdaten an Dritte sowie an EU-Stellen ist von den jeweiligen Betreibern genehmigen zu lassen. VI. Regelung der Datenweitergabe an EU-Stellen Regelungen zur Datenweitergabe an EU- -Stellen sind im Kontext der zu erwartenden EU NIS- Richtlinie explizit im ITSiG aufgenommen worden, ebenso der mögliche Einbezug Dritter bei Aufklärung von Vorfällen, bei der Nachweiserbringung hinsichtlich Einhaltung von Mindeststandards usw. Anhand dieses Aspekts wird sehr deutlich, dass ein nationaler Alleingang nicht zielführend ist und das ITSiG im Rahmen der Vorgaben der EU NIS-Richtlinie verabschiedet werden sollte (vgl. III.). 1. Jede Datenweitergabe von Betreiberdaten muss vom Einverständnis der Betreiber abhängen (z.b. kein unabgestimmter Datenaustausch zwischen nationalen und EU- Behörden). 2. Die Vertraulichkeit der bereitgestellten Informationen ist unter allen Umständen zu gewährleisten dies insbesondere hinsichtlich dem seitens der EU geforderten Auskunftsersuchen und der damit verbundenen Datenübermittlung (Vermeiden von Ausspähungen). 3. Hinweise zum sicheren, anonymisierten und mit den Betreibern abzustimmenden Datenaustausch sind aufzunehmen. EU-weit sind entsprechend sichere Standards zu entwickeln nicht nur national. VII. Verpflichtung von Hardware-/Software /Software-Herstellern gemäß Vorgaben des ITSiG Hard- und Software-Produkte (HW-/SW) stellen das technische Rückgrat der kritischen Infrastrukturen dar. Aus diesem Grunde ist eine sehr enge Zusammenarbeit mit den Herstellern und vollständige Transparenz, zum Beispiel bei bekannt gewordenen Schwachstellen, gegenüber den Betreibern kritischer Infrastrukturen erforderlich. Wartung und Support von kritischen Komponenten und Anlagen ist auch gemäß TAB-Studie Folgen 9

10 eines langandauernden n und großräumigen Stromausfalls (Studie des Büros für Technikfolgenabschätzung des Bundestags) einer der besonders kritischen Prozesse zur Aufrechterhaltung vitaler Services (kritischer Infrastrukturdienstleistungen). Hersteller müssen im Schadenfall schnell agieren und ohne Vorbehalte kooperieren. Die Interessen der Betreiber kritischer Infrastrukturen müssen Vorrang vor den Interessen der Hersteller haben. Dazu ist auch die Haftung bei unsicheren Produkten, bei kritischen Schwachstellen und durch diese verursachte Ausfälle von kritischen Infrastrukturen zu regeln. Dieser Aspekt ist stark regelungsbedürftig, insbesondere auch aufgrund der Internationalität vieler Anbieter von hoher Bedeutung. Auch hier zeigt sich, dass nationale gesetzliche Alleingänge e wenig zielführend sind. Die Verpflichtung von HW-/SW-Herstellern ist unabdingbar und sollte zwingend im Rahmen des ITSiG geregelt werden. 1. Aufnahme von Hardware- und Software-Herstellern als Adressatenen des ITSiG. 2. Aufnahme von Outsourcing- und Cloud-Anbietern sowie IT-Dienstleistern, die IT- Infrastruktur für KRITIS-Betreiber vorhalten bzw. betreiben. 3. Besondere Meldeverpflichtungen bei erkannten Schwachstellen in Produkten und Services, die bei KRITIS-Betreibern zur Anwendung kommen. 4. Darüber hinausgehende Verpflichtungen und Haftungsregelungen offen halten und im Rahmen zu entwickelnder Konkretisierungen regeln. VIII. Einschränkung der Befugniserweiterung des BSI Es ist grundsätzlich zu begrüßen, dass das BSI als zuständige nationale Sicherheitsbehörde Befugnisse dazu gewinnt, insbesondere um Produkte zu testen und Warnungen herauszugeben. Dies darf jedoch nicht zu Produktvorgaben bei KRITIS-Betreibern führen, was einen Eingriff in die unternehmerische Freiheit und Wettbewerbsverzerrungen zur z Folge hätte. 1. Erlass von klaren Regelungen, die eine zu weite Auslegung der Befugnisse von Aufsichtsbehörden und zuständigen Behörden verhindern. Bspw. müssen weitreichende Konsequenzen bei den Betreibern alleine auf Basis von Annahmen vermieden werden (z.b. Entzug der Betriebserlaubnis gemäß 115 Abs. 3 TKG). 2. Befugniserweiterungen des BSI dürfen nicht zu Produktvorgaben bei den KRITIS- Unternehmen oder zu Wettbewerbsverzerrungen und zur Einschränkung der unternehmerischen Freiheit führen. Dies sollte im ITSiG explizit erwähnt werden. 10

11 3. Veröffentlichungen und fallweiser Einbezug Dritter sowie Weitergabe von gewonnenen Informationen sollten stets in angemessener Abstimmung mit den betroffenen Betreibern erfolgen. IX. Übernahme / Wälzung von Kosten Maßnahmen zum Schutz der Bevölkerung und der Katastrophenvorsorge liegen grundsätzlich in der Verantwortung des Bundes und der Länder. Gesetzliche Vorgaben an die Privatwirtschaft, die auf dieses Ziel einzahlen, sind daher nicht alleine von den betroffenen Betreibern zu finanzieren. Die Aussage, es gäbe für die Betreiber keine Mehrkosten außer für die Zertifizierung, für Audits und für das Melden von Vorfällen, teilt EWE nicht. Es wird von allen Netz- und Anlagenbetreibern gefordert, qualifizierte Kontakte, voraussichtlich in 7x24-Verfügbarkeit bereitzustellen. Dies erfordert den Aufbau von zusätzlichem Personal sowie den Aufbau weiterer Infrastruktur. Die für andere Sektoren geltende Möglichkeit der anonymen Meldung über Kontaktstellen ist für EVU bislang explizit ausgenommen (vgl. II.2). 1. Maßnahmen zum Schutz der Bevölkerung und der Katastrophenvorsorge, die von privatwirtschaftlichen Unternehmen getroffen werden müssen, sind als dauerhaft nicht beeinflussbare Kosten durch die zuständige Regulierungsbehörde anzuerkennen. 2. Kostenwälzungen für alle im Umfeld der unter 11 EnWG fallenden Maßnahmen sind entsprechend zuzusichern (z.b. über die Netzentgelte). Um dies für Energienetzbetreiber sicherzustellen, ist der Maßnahmenkatalog des 11 Abs. 2 ARegV um eine entsprechende Regelung zu erweitern. 3. Auch für Maßnahmen, die aufgrund anderweitiger, konkreter Betroffenheit vom ITSiG bzw. der durch das ITSiG angepassten Spezialgesetzgebung in den Unternehmen erfolgen, sind entsprechende Kostenübernahmen ernahmen / -wälzungen zuzusichern (z.b. für Energie-Erzeugungsanlagen). Erzeugungsanlagen). 4. Anonyme Meldungen über Kontaktstellen sind den Betreibern nach 11 EnWG zu ermöglichen (Angleichung an BSIG). Kontakt: EWE Aktiengesellschaft Konzernkommunikation Tirpitzstraße Oldenburg Tel.: sekretariat-konzernkommunikation@ewe.de 11