Unterscheidung zwischen unterschiedlichen gesetzlichen Grundlagen notwendig
IT-Sicherheitspflichten von Energieversorgungsunternehmen
Das IT-Sicherheitsrecht ist unübersichtlich und schwer zu durchdringen. Für Energieversorgungsunternehmen muss eine Abgrenzung zwischen den Pflichten des BSI-Gesetzes und dem Energiewirtschaftsgesetz vorgenommen werden.
19.04.23
Das IT-Sicherheitsrecht ist unübersichtlich und schwer zu durchdringen. Für Energieversorgungsunternehmen muss eine Abgrenzung zwischen den Pflichten des BSI-Gesetzes und dem Energiewirtschaftsgesetz vorgenommen werden.
Das IT-Sicherheitsrecht 2.0 ist als ein sogenanntes „Artikelgesetz“ über verschiedenste Gesetze verstreut und deshalb nicht leicht zu durchdringen. Im Grundsatz kann jedoch festgehalten werden, dass das BSI-Gesetz (BSIG) das allgemeine Gesetz zur IT-Sicherheit darstellt, jedoch von spezielleren Gesetzen verdrängt werden kann. Im Bereich der Energieversorgungsunternehmen ist das speziellere Gesetz im Grundsatz der § 11 Energiewirtschaftsgesetz (EnWG). Insbesondere bestimmt § 8d Abs. 2 Nr. 2 und Abs. 3 Nr. 2 BSIG, dass das BSIG nicht gilt, soweit Betreiber von Energieversorgungsnetzen oder Energieanlagen den Regelungen des § 11 EnWG unterliegen.
§ 11 EnWG statuiert für Betreiber von Energieversorgungsnetzen und für Betreiber von Energieanlagen verschiedenste Pflichten, die den Pflichten aus dem BSIG ähnlich sind. Allerdings unterscheidet § 11 EnWG im Grundsatz danach, ob es sich um Betreiber von Energieversorgungsnetzen oder Betreiber von Energieanlagen handelt.
Betreiber von Energieanlagen werden von den speziellen Regelungen des § 11 EnWG nur erfasst, wenn sie die maßgeblichen Schwellenwerte aus der BSI-Kritisverordnung erreichen. Werden diese nicht erreicht so ist § 11 EnWG auf sie nicht anwendbar. Allerdings sind auch die Pflichten aus dem BSIG nicht anwendbar, da dieses Gesetz im Grundsatz nur für Kritis-Unternehmen gilt und hierfür wiederum die Schwellenwerte aus der BSI-Kritisverordnung erreicht werden müssen.
Etwas anders stellt sich die Situation bei den Betreibern von Energieversorgungsnetzen dar. Für diese gelten im Grundsatz die Pflichten aus § 11 EnWG unabhängig davon, ob die Schwellenwerte aus der BSI-Kritisverordnung erreicht werden oder nicht. Betreiber von Energieversorgungsnetzen treffen also spezielle IT-Sicherheitspflichten auch ohne Betreiber einer kritischen Infrastruktur sein zu müssen.
Eine Ausnahme von diesem Grundsatz besteht für die Pflichten in Zusammenhang mit den kritischen Komponenten und den kritischen Funktionen (§ 11 Abs. 1g EnWG). Diese Pflichten treffen auch Betreiber von Energieversorgungsnetzen wohl nur, wenn sie die maßgeblichen Schwellenwerte erreichen. Hintergrund ist der Verweis auf § 2 Nr. 13 BSIG, der eine kritische Infrastruktur voraussetzt, wofür wiederum der Schwellenwert der BSI-Kritisverordnung erreicht werden muss.
Es muss jedoch insbesondere beim Anwendungsbereich des § 11 EnWG darauf geachtet werden, ob auch tatsächlich eine Energieanlage oder ein Energieversorgungsnetz im Sinne dieser Norm betrieben wird, denn nur dann können die Regelungen des § 11 EnWG überhaupt einschlägig sein. So ist z.B. ein Wärmenetz kein Energieversorgungsnetz im Sinne dieser Norm, was sich aus der Definition des § 3 Nr. 16 EnWG ergibt. In Konsequenz wird in einem solchen Fall das BSIG nicht durch das EnWG gesperrt. Allerdings gelten die IT-Sicherheitsregeln des BSIG im Grundsatz wiederum nur für Betreiber von kritischen Infrastrukturen, also für solche Anlagen, die die Kritis-Schwellenwerte erreichen. Dies gilt z.B. auch für Wärmenetze.
Weiter können die Pflichten aus § 11 EnWG auch bei einer Betriebsführung durch Dritte modifiziert werden.