Gestern Abend hat der Verband kommunaler Unternehmen (VKU) Stellung zum Referentenentwurf des NIS 2-Umsetzungsgesetz bezogen. Der VKU lobt Verbesserungen gegenüber dem vorangegangenen Entwurf und die frühe Beteiligung der Verbände, sieht jedoch klaren Nachbesserungsbedarf bei der Ausweitung der Regeln auf die Betreiber kleinerer Anlagen und bei den kritischen Komponenten.
Ingbert Liebing, VKU-Hauptgeschäftsführer: „Das NIS 2-Umsetzungsgesetz kann den Schutz kritischer Infrastrukturen spürbar verbessern. Nachbesserungsbedarf sehen wir bei den Verfahren zu den kritischen Komponenten. Statt der vorgesehen komplizierten Einzelfallüberprüfungen wäre eine Ausschlussliste generell nicht-vertrauenswürdiger Hersteller sinnvoller. Unterm Strich erhoffen wir uns, dass der Schutz kritischer Infrastrukturen, über die wir Bürger und Wirtschaft mit Energie, Wasser und Telekommunikation versorgen und Abwasser und Abfall entsorgen, gestärkt wird.“
Verbesserungsbedarf bei Verfahren zu kritischen Komponenten
Nach dem Mobilfunk-Vorbild sollen künftig auch in den Netzen und Anlagen der Energiewirtschaft kritische Funktionen definiert werden, aus denen Betreiber sich selbst kritische Komponenten herleiten. Die kritischen Komponenten werden in einer Einzelfallprüfung auf Herz und Nieren vom Bundesinnenministerium geprüft werden. Der Knackpunkt: Bislang musste das Bundesinnenministerium nur mit vier Netzbetreibern zu ihren kritischen Komponenten sprechen, in der Energiewirtschaft wären es hunderte Netz – und Anlagenbetreiber – und damit tausende Einzelfallprüfungen.
„Hunderte Unternehmen, tausende Einzelfallprüfungen: Wir bezweifeln stark, dass ein solches Verfahren für das Bundesinnenministerium personell machbar ist“, kritisiert Liebing. Sobald Komponenten auf dem Schreibtisch liegen, könnten sich der Einbau und Austausch von Komponenten um mindestens zwei Monate beziehungsweise vier Monate verzögern. Reguläre Beschaffungsprozesse würden sich verzögern, defekte Komponenten könnten wir nicht mehr so schnell austauschen, schlimmstenfalls könnten vereinzelt sogar die Netzstabilität und damit die Sicherheit der Versorgung gefährdet werden.
„Die Prüfung jeder einzelnen Komponente im BMI wäre ein sehr bürokratisches Verfahren, das im Ergebnis nicht einmal unbedingt zu mehr Sicherheit führen wird, aber die Planungssicherheit der Unternehmen untergräbt. Sinnvoller wäre eine Ausschlussliste generell nicht-vertrauenswürdiger Hersteller“, so Liebing.
Überprüfungsbedarf bei den Betreibern unkritischer Anlagen
Verbesserungsbedarf sieht der VKU bei der Ausweitung der Regeln des Energiewirtschaftsgesetzes (EnWG). Bisher gilt der strenge IT-Sicherheitskatalog für alle Netzbetreiber sowie für die Betreiber kritischer Energieanlagen. Im IT-Sicherheitskatalog werden Anforderungen an den angemessenen Schutz gegen Bedrohungen für IKT-Systeme definiert, die für einen sicheren Netz- und Anlagenbetrieb notwendig sind.
Künftig sollen nun auch die Betreiber von Energieanlagen hinzukommen, die lediglich „wichtige“ oder „besonders wichtige Einrichtungen“ sind, aber keine kritischen Energieanlagen betreiben. Kriterium für „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ sind jedoch Mitarbeiterzahl und Umsatz – und nicht, ob eine Anlage tatsächlich kritisch für die Versorgung und damit besonders schützenswert ist. Tatsächlich schraubt die Bundesregierung in ihrem Entwurf die Anforderungen sogar noch weiter in die Höhe als in der NIS 2-Richtlinie vorgesehen.
„Wir bitten die Bundesregierung zu prüfen, ob Mitarbeiterzahl und Umsatz wirklich sinnvolle Kriterien sind. Denn die strengen Regeln gelten dann für die Anlagensteuerung bis hin zur Office IT. Umsetzungskosten spielen offenbar keine Rolle, Umsetzungsfristen sind nicht vorgesehen. Das könnte in Summe eine toxische Kombination für kleinere Betreiber sein. Im schlimmsten Fall droht das Gesetz zum Bumerang für Cyber-Sicherheit werden, wenn nämlich Ressourcen für IT-Sicherheit über das gesamte Unternehmen allokiert werden müssen statt wie bisher zielgerichtet in die wirklich kritischen Bereiche fließt“, kritisiert Liebing.
Der Verband kommunaler Unternehmen e. V. (VKU) vertritt über 1.550 Stadtwerke und kommunalwirtschaftliche Unternehmen in den Bereichen Energie, Wasser/Abwasser, Abfallwirtschaft sowie Telekommunikation. Mit über 300.000 Beschäftigten wurden 2021 Umsatzerlöse von 141 Milliarden Euro erwirtschaftet und mehr als 17 Milliarden Euro investiert. Im Endkundensegment haben die VKU-Mitgliedsunternehmen signifikante Marktanteile in zentralen Ver- und Entsorgungsbereichen: Strom 66 Prozent, Gas 60 Prozent, Wärme 88 Prozent, Trinkwasser 89 Prozent, Abwasser 45 Prozent. Die kommunale Abfallwirtschaft entsorgt jeden Tag 31.500 Tonnen Abfall und hat seit 1990 rund 78 Prozent ihrer CO2-Emissionen eingespart – damit ist sie der Hidden Champion des Klimaschutzes. Immer mehr Mitgliedsunternehmen engagieren sich im Breitbandausbau: 206 Unternehmen investieren pro Jahr über 822 Millionen Euro. Künftig wollen 80 Prozent der kommunalen Unternehmen den Mobilfunkunternehmen Anschlüsse für Antennen an ihr Glasfasernetz anbieten. Zahlen Daten Fakten 2023
Wir halten Deutschland am Laufen – denn nichts geschieht, wenn es nicht vor Ort passiert: Unser Beitrag für heute und morgen: #Daseinsvorsorge. Unsere Positionen: www.vku.de