Die BNetzA hat in ihrer Mitteilung vom 29.03.2022 neue Kriterien bekannt gegeben, die festlegen, wie die IT-Sicherheitspflichten bei der Betriebsführung durch Dritte erfüllt werden müssen. Als Konsequenz daraus müssen sich Netzbetreiber und Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen selbst zertifizieren lassen.

Die Betreiber von Energieversorgungsnetzen und von als Kritische Infrastruktur klassifizierten Energieanlagen müssen sicherstellen, dass ihre telekommunikations- und elektronischen Datenverarbeitungssysteme angemessen gegen Bedrohungen geschützt sind. Die näheren Einzelheiten hierzu sind in den IT-Sicherheitskatalogen der BNetzA geregelt. Häufig übertragen die Betreiber jedoch die Betriebsführung an Dritte (Dienstleister). In diesem Kontext bedeutet Betriebsführung durch Dritte, dass ein oder mehrere Dritte alle Systeme, Anwendungen und Komponenten im Geltungsbereich des IT-Sicherheitskatalogs betreiben. Jeder Betreiber, der dem IT-Sicherheitskatalog verpflichtet ist, muss sich in der Regel selbst zertifizieren lassen, um die Pflicht zur Umsetzung des IT-Sicherheitskatalogs zu erfüllen - auch wenn die Betriebsführung von Dritten übernommen wird. Eine Mitteilung der BNetzA vom 19.01.2021 enthielt drei mögliche Lösungen. Eine früher häufig verwendete Option bestand darin, dass der Betreiber dem Dritten vollständige und organisatorische Durchgriffsrechte auf die betreffenden Systeme, Anwendungen oder Komponenten gewährt. In diesem Fall war ein eigenes Zertifikat nicht mehr erforderlich. Durch die Mitteilung der BNetzA vom 29.03.2022 wurde die Mitteilung vom 19.01.2021 obsolet sowie neue Kriterien für die Betriebsführung durch Dritte aufgestellt. Das Hauptergebnis dieser Anpassung besteht darin, dass sich die Netzbetreiber und die Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen in der Konstellation "Betriebsführung durch Dritte" nun selbst zertifizieren müssen. Sie haben einen entsprechenden Nachweis zu erbringen, wofür eine Frist bis zum 31.03.2024 gesetzt worden ist.

Die Mitteilung der BNetzA vom 29.03.2022 und die damit verbundene Neuregelung können dazu führen, dass es neue zertifizierungspflichtige Netzbetreiber und Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen gibt, die bisher nicht zur Zertifizierung ihres Unternehmens verpflichtet gewesen sind. Die Einführung eines ISMS gemäß den IT-Sicherheitskatalogen und deren Zertifizierung wird für diese Betreiber voraussichtlich mit einem zusätzlichen Aufwand verbunden sein.