VKU zum neuen IT-Sicherheitskatalog der Bundesnetzagentur für Energiewirtschaft
(Berlin) - Die Bundesnetzagentur überarbeitet den IT-Sicherheitskatalog für die Energiewirtschaft, der die spezifischen Anforderungen an die IT-Sicherheit bei Energieversorgern und Stadtwerken festgelegt. Der Verband kommunaler Unternehmen (VKU) sieht zwar gute Akzente, dringt jedoch auf eine Verschiebung für einen besseren Entwurf und nimmt Stellung.
Kritik an halbgarem Entwurf, der Unsicherheiten und Bürokratie schafft
Der VKU setzt sich dafür ein, den neuen IT-Sicherheitskatalog zu verschieben. Grund: Bis zu seinem geplanten Inkrafttreten am 1.1.2027 wird das neue NIS2-Umsetzungsgesetz bereits gelten – und damit eine neue Rechtslage schaffen. Der Katalog müsste dann erneut angepasst werden. „Ohne das NIS 2.0-Umsetzungsgesetz ist Entwurf für den neuen IT-Sicherheitskatalog nur halbgar. Das verunsichert. Wir brauchen einen IT-Sicherheitskatalog aus einem Guss, kein Stückwerk“, kritisiert Ingbert Liebing, VKU-Hauptgeschäftsführer.
„Stadtwerke und Energieversorger müssten binnen kürzester Zeit ihre IT-Sicherheit zwei Mal an neue Anforderungen anpassen. Das führt zu mehr Aufwand und höheren Kosten bei den Unternehmen – und das in einer Zeit, in der es doch eigentlich um Bürokratieabbau gehen sollte. Es wäre besser, den neuen IT-Sicherheitskatalog zu verschieben und mit den Anforderungen des NIS 2.0-Umsetzungsgesetzes zu verknüpfen, um einen Entwurf aus einem Guss zu bekommen.“ Für manche Vorschläge fehlt der Bundesnetzagentur auf Grundlage der jetzigen Gesetze sogar eine Ermächtigungsgrundlage. Beispielsweise hat die Bundesnetzagentur nach dem aktuellen Gesetz keine Befugnis die Office-IT von Energieversorgungsunternehmen zu regulieren.
VKU für Nachbessern bei Spielräumen und Bürokratie und Nachdenken beim Sicherheitsverständnis
Der Entwurf des IT-Sicherheitskatalogs schürt weitere Unsicherheiten für die Unternehmen. Das betrifft insbesondere die Informationsmanagementsicherheitssysteme (ISMS), die durch externe Auditoren zertifiziert werden. Konkret geht es um zu große Auslegungsspielräume für Auditoren und ein in Teilen utopisches Sicherheitsverständnis.
So sollen künftig nicht mehr deutsche, sondern englische Normen bei den ISMS gelten: Mangels offizieller Übersetzung haben Auditoren große Auslegungsspielräume, Unternehmen bleiben Unsicherheiten. Neu ist auch der Anspruch, dass für bestimmte Systeme keine Risiken akzeptiert werden können. „100 Prozent Sicherheit gibt es nicht. Auch dann nicht, wenn man sie in Verordnungstexte schreibt. Dieser Anspruch ist utopisch, weil immer ein Restrisiko bleibt,“ mahnt Liebing.
Lob für Differenzierung zwischen IT für kritische Anlagen und für Office
„Wir erkennen den Willen, sorgfältig zwischen den Pflichten zu differenzieren, die notwendig für den Betrieb kritischer Anlagen sind, und jenen, die die restliche Unternehmens-IT betreffen. Dieses Abschichten ist sehr vernünftig“, lobt Liebing. Der VKU wirbt seit langem dafür, den Fokus auf den Schutz der kritischen Anlagen und Systeme zu legen und nicht die gleichen Anforderungen an Office-IT zu stellen. „Ohne diese Differenzierung müssen die knappen finanziellen und technischen Ressourcen auf das gesamte Unternehmen verteilt werden und können nicht gezielt in die strategisch wichtigen Bereiche fließen,“ so Liebing.
Quelle und Kontaktadresse:
Verband kommunaler Unternehmen e.V. (VKU) - Hauptgeschäftsstelle, Stefan Luig, Leiter(in) Presse- und Öffentlichkeitsarbeit, Invalidenstr. 91, 10115 Berlin, Telefon: 030 58580-0