Selbstauskunft beim Nachweis der Prüfung von Systemen zur Angriffserkennung (SzA) nicht ausreichend

Selbstauskunft beim Nachweis der Prüfung von Systemen zur Angriffserkennung (SzA) nicht ausreichend

Gemäß § 11 Abs. 1 e) des Energiewirtschaftsgesetzes (EnWG) haben „Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur bestimmt wurden, […] spätestens ab dem 1. Mai 2023 in ihren informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der von ihnen betriebenen Energieversorgungsnetze oder Energieanlagen maßgeblich sind, in angemessener Weise Systeme zur Angriffserkennung einzusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.“ Weiterhin haben diese gemäß §11 Abs. 1f) „[…] dem Bundesamt für Sicherheit in der Informationstechnik erstmalig am 1. Mai 2023 und danach alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1d nachzuweisen.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht gemäß seiner FAQ zum Einsatz von Systemen zur Angriffserkennung für den aktuellen Prüfturnus zwar von der Beschränkung auf akkreditierte Stellen bzw. Prüfer ab, weist aber auf Anfrage der KonzeptAcht GmbH darauf hin, dass sowohl eine Selbstauskunft des Betreibers als auch eine Eigenprüfung nicht zulässig ist.

In der Antwort des BSI vom 24.02.2023 auf unsere Anfrage heißt es:
„Sie fragen, ob eine „Selbstauskunft der Energieversorger“ ausreichend ist. Hierzu möchten wir anmerken, dass bei Energieversorgung eine Prüfung gemäß § 11 EnWG durchzuführen ist und dass darüber ein Nachweis im BSI einzureichen ist. Die Formulierung „Selbstauskunft“ trifft insofern nicht zu.
Hinsichtlich der Möglichkeit einer Selbstprüfung, verweisen wir auf die Ethischen Grundsätze, die Unabhängigkeit und Neutralität verlangen (s. Nachweisdokument P*, hier: letzte Seite „Erklärungen“ sowie Orientierungshilfe zu Nachweisen gemäß § 8a Abs. 3 BSIG, hier: Anhang A „Ethische Grundsätze“).“

Da davon ausgegangen werden kann, dass eine Selbstauskunft bzw. Selbstauditierung nicht anerkannt wird, empfehlen wir daher allen Betreibern von Energieversorgungsnetzen und Energieanlagen, von dieser Art des Nachweises abzusehen.

Haben Sie Fragen zu Nachweisen der SzA oder benötigen Sie Hilfe bei der Umsetzung? Sprechen Sie uns an.

Wir freuen uns auf Sie.