Revision [da19d2f]
Letzte Änderung am 2020-10-25 09:52:18 durch WojciechLisiewicz
ADDITIONS
>>>**d. Netzstrukturplan mit IKT-Bezügen**
DELETIONS
>>>**d. Netzstrukturplan mit ITK-Bezügen**
Revision [fcf4456]
Bearbeitet am 2020-10-25 09:36:52 von WojciechLisiewicz
ADDITIONS
>>>**c. Sicherstellung des ordnungsgemäßen Betriebes von IKT-Systemen**
DELETIONS
>>>**c. Sicherstellung der ordnungsgemäßen Betriebes von IKT-Systemen**
Revision [cb44c67]
Bearbeitet am 2019-10-26 16:38:08 von WojciechLisiewicz
ADDITIONS
## Rechtliche Vorgaben für IT-Sicherheit in der Energiewirtschaft

##### Geltende Regelungen und Pflichten der EVU



Der Gesetzgeber hat die Bedeutung der Informationstechnologien und ihrer Sicherheit auch in der Energiewirtschaft mittlerweile erkannt und rechtliche Grundlagen geschaffen, die Gefahren vorbeugen und bei Beseitigung von eventuellen Problemen helfen sollen. Zentrale Bedeutung hat dabei [**§ 11 EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html), in dem die Pflichten von Netzbetreibern geregelt sind. Das insbesondere aus dieser Vorschrift folgende Schutzsystem wird nachstehend im Detail behandelt. Diese Vorschrift ist allerdings nicht die einzige, die sich mit Vorgaben an die IT-Sicherheit befasst. Insgesamt werden hier folgende rechtlichen Anforderungen an IT-Systeme in der Energiewirtschaft behandelt:
>>* Anforderungen an Messsysteme gem. §§ 19 ff. MsbG
>>* Pflichten des Netzbetreibers gem. [**§ 11 Abs. 1a EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html)
>>* Pflichten der Betreiber von kritischen Infrastrukturanlagen gem. [**§ 11 Abs. 1b EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html)
>>* **noch zu klären: das Verhältnis zwischen § 11 Abs. 1a / 1b EnWG und [**§ 49 EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__49.html)!**

**A. Technische Anforderungen an Messsysteme**
Mit der Idee der " **smart grids**" und der "intelligenten" Netzsteuerung, die der Gesetzgeber bereits vor einigen Jahren ins EnWG übernommen und 2016 in einem separaten Gesetz - dem Messstellenbetriebsgesetz - geregelt hat, ist zwangsläufig auch ein neues Problem entstanden: Problem der Verlässlichkeit der neuen, einzusetzenden Technik. Inwiefern die vom Gesetzgeber angeordnete Digitalisierung des Messwesens sinnvoll ist oder nicht, kann man sich trefflich streiten. Jedenfalls ist sich der Gesetzgeber der Probleme bewusst und begegnet diesen mit Vorgaben für die eingesetzte Technik im MsbG. Mit diesen befasst sich [folgender Artikel](EnergieRMsbGtechnischeVorgaben).

**B. Pflichten des Messstellenbetreibers**
In den "intelligent" werdenden Energieversorgungsnetzen nimmt die Bedeutung des Messstellenbetreibers zu, speziell im Zusammenhang mit dem Einsatz "intelligenter" Zähler. Einige Aspekte des Messstellenbetriebs sind in diesem Zusammenhang auch für die IT-Sicherheit im Netz von Bedeutung. Die damit zusammenhängenden Pflichten des Messstellenbetreibers werden [in diesem Artikel behandelt](EnergieRPflichtenMSB).

**C. Pflichten des Netzbetreibers im Hinblick auf die IT**
Gem. [**§ 11 Abs. 1a EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html) müssen Netzbetreiber insbesondere auch **Schutz gegen Bedrohungen für die IT** wie folgt gewährleisten:

>> **§ 11 Abs. 1a EnWG**
>>(1a) <sup>1</sup> Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. <sup>2</sup> Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. <sup>3</sup> Der Katalog der Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. <sup>4</sup> Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes liegt vor, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. <sup>5</sup> Die Einhaltung kann von der Regulierungsbehörde überprüft werden. <sup>6</sup> Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 4 treffen.

>>**1. Die gesetzliche Pflicht**
>>Der Gesetzgeber sieht mit der Vorschrift vor, dass auch IKT-Systeme in die Systemverantwortung des Netzbetreibers aufzunehmen sind. Allgemein muss der Netzbetreiber den Netzbetrieb auch gegen Gefahren absichern, die sich in jeder Hinsicht aus dem Einsatz von IKT ergeben.

>>**2. Katalog der Sicherheitsanforderungen der BNetzA**
>>Die BNetzA hat (zuletzt) im August 2015 das **IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG** veröffentlicht [1]. Der Katalog ist im Benehmen mit dem BSI entstanden. Im Allgemeinen bezieht sich der Katalog auf die Notwendigkeit, dass Netzbetreiber Systeme entsprechend DIN ISO/IEC 27001 einführen.
>>Im Einzelnen heißt dies insbesondere:

>>>**a. Informationssicherheits-Managementsystem**
>>>Gem. Punkt E. I. des Katalogs werden Netzbetreiber verpflichtet, ein umfassendes Informationssicherheits-Managementsystem einzuführen und zu pflegen (ISMS). Das System hat sich an der Norm DIN ISO/IEC 27001 zu orientieren. Das System hat ferner dem sog. **Plan-Do-Check-Act-Modell** zu folgen, d. h. als ein Prozess zu implementieren, bei dem regelmäßig die Leitlinien des ISMS festgelegt, anschließend durchgeführt, überprüft und verbessert werden [mehr dazu vgl. S. 9 des Katalogs].

>>>**b. Konkrete Maßnahmen**
>>>Im Hinblick auf die im Rahmen des ISMS umzusetzenden Maßnahmen verweist der Katalog ebenfalls auf die DIN ISO/IEC 27001, wobei stets ein Bezug zum Netzbetrieb herzustellen sei.

>>>**c. Sicherstellung der ordnungsgemäßen Betriebes von IKT-Systemen**
>>>Als zentrale Pflicht für den Netzbetreiber verlangt der Katalog vom Netzbetreiber, dass dieser den ordnungsgemäßen Betrieb der IKT-Systeme sicherstellen muss. DIes umfasst auch Erkennung und Behebung von technischen Störungen und Bewertung von Risiken durch IKT-basierte Angriffe und entsprechende Schutzmaßnahmen diesbezüglich.

>>>**d. Netzstrukturplan mit ITK-Bezügen**
>>>Netzbetreiber muß gem. Punkt E. IV. des Katalogs Überblick darüber bewahren, an welchen Stellen des gesamten Netzes und bei seinem Betrieb technische Anwendungen, Systeme und Komponenten eingesetzt werden und wie sich diese auf den Netzbetrieb auswirken können.

>>>**e. Risikoeinschätzung**
>>>Wesentliche Forderung gegenüber dem Netzbetreiber ist die Implementierung von Prozessen zur Risikoeinschätzung durch den Netzbetreiber. Dies folgt aus Punkt E. V. des Katalogs.
>>>An diese knüpft die Durchführung von Maßnahmen zur Behandlung der ermittelten Risiken (Punkt E. VI. - Risikobehandlung).

>>>**f. Ansprechpartner IT-Sicherheit**
>>>Der Katalog nennt zwar keine Vorgabe, eine konkrete Stelle im Unternehmen zu institutionalisieren, die Verantwortung für die IT-Sicherheit trägt. Es wird aber zumindest ein Ansprechpartner für die BNetzA gefordert (E. VII.). Die Funktion dieser Stelle bzw. Person lässt vermuten, dass diese jedenfalls dahingehend koordinierend tätig ist, als sie über alle Informationen zu Funktionsweise der IKT-Systeme verfügen muss.

>>>**g. Zertifizierung**
>>>Die Umsetzung des ISMS ist durch eine von der BNetzA akzeptierte Stelle zu zertifizieren (F. I.).


**D. Pflichten der Betreiber von kritischen Energieanlagen**
Analog zu den Pflichten für Netzbetreiber (gem. Abs. 1a) gelten solche auch für Betreiber von (durch den Gesetzgeber als sensibel eingestuften) übrigen Energieanlagen gem. Abs. 1b in [**§ 11 EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html).

>> **§ 11 Abs. 1b EnWG**
>>(1b) <sup>1</sup> Betreiber von Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 8 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, haben innerhalb einer von der Regulierungsbehörde festzulegenden Frist einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. <sup>2</sup> Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen, in den auch die Bestimmung der Frist nach Satz 1 aufzunehmen ist, und veröffentlicht diesen. <sup>3</sup> Für Telekommunikations- und elektronische Datenverarbeitungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes haben Vorgaben auf Grund des Atomgesetzes Vorrang. <sup>4</sup> Die für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder sind bei der Erarbeitung des Katalogs von Sicherheitsanforderungen zu beteiligen. <sup>5</sup> Der Katalog von Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. <sup>6</sup> Ein angemessener Schutz des Betriebs von Energieanlagen im Sinne von Satz 1 liegt vor, wenn dieser Katalog eingehalten und dies vom Betreiber dokumentiert worden ist. <sup>7</sup> Die Einhaltung kann von der Bundesnetzagentur überprüft werden. <sup>8</sup> Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 6 treffen.
>>***
DIe BNetzA hat auch zur Umsetzung des [**§ 11 Abs. 1b EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html) entsprechenden Katalog [2] veröffentlicht, in dem ähnlich zu [**§ 11 Abs. 1a EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html) Pflichten für Anlagenbetreiber statuiert werden.


***
[1] Nachstehend "der Katalog" genannt; zu finden auf der Seite der BNetzA unter [folgender Adresse](https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Energie/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheitskatalog_08-2015.html;jsessionid=81BEB65BD101C7D43A0763B0236851F7?nn=266988). Vgl. dazu auch [folgende Seite der Bundesnetzagentur](https://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html).
DELETIONS
## Rechtliche Vorgaben für IT-Sicherheit in der Energiewirtschaft
##### Vorschriften und Pflichten der EVU
Der Gesetzgeber hat die Bedeutung der Informationstechnologien und ihrer Sicherheit auch in der Energiewirtschaft mittlerweile erkannt und rechtliche Grundlagen geschaffen, die Gefahren vorbeugen und bei Beseitigung von eventuellen Problemen helfen sollen. Zentrale Bedeutung hat dabei [**§ 11 EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html), in dem die Pflichten von Netzbetreibern geregelt sind. Das insbesondere aus dieser Vorschrift folgende Schutzsystem wird nachstehend im Detail behandelt. Diese Vorschrift ist allerdings nicht die einzige, die sich mit Vorgaben an die IT-Sicherheit befasst. Insgesamt werden hier folgende rechtlichen Anforderungen an IT-Systeme in der Energiewirtschaft behandelt:
>>* Anforderungen an Messsysteme gem. §§ 19 ff. MsbG
>>* Pflichten des Netzbetreibers gem. [**§ 11 Abs. 1a EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html)
>>* Pflichten der Betreiber von kritischen Infrastrukturanlagen gem. [**§ 11 Abs. 1b EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html)
>>* **noch zu klären: das Verhältnis zwischen § 11 Abs. 1a / 1b EnWG und [**§ 49 EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__49.html)!**
**A. Technische Anforderungen an Messsysteme**
Mit der Idee der " **smart grids**" und der "intelligenten" Netzsteuerung, die der Gesetzgeber bereits vor einigen Jahren ins EnWG übernommen und 2016 in einem separaten Gesetz - dem Messstellenbetriebsgesetz - geregelt hat, ist zwangsläufig auch ein neues Problem entstanden: Problem der Verlässlichkeit der neuen, einzusetzenden Technik. Inwiefern die vom Gesetzgeber angeordnete Digitalisierung des Messwesens sinnvoll ist oder nicht, kann man sich trefflich streiten. Jedenfalls ist sich der Gesetzgeber der Probleme bewusst und begegnet diesen mit Vorgaben für die eingesetzte Technik im MsbG. Mit diesen befasst sich [folgender Artikel](EnergieRMsbGtechnischeVorgaben).
**B. Pflichten des Messstellenbetreibers**
In den "intelligent" werdenden Energieversorgungsnetzen nimmt die Bedeutung des Messstellenbetreibers zu, speziell im Zusammenhang mit dem Einsatz "intelligenter" Zähler. Einige Aspekte des Messstellenbetriebs sind in diesem Zusammenhang auch für die IT-Sicherheit im Netz von Bedeutung. Die damit zusammenhängenden Pflichten des Messstellenbetreibers werden [in diesem Artikel behandelt](EnergieRPflichtenMSB).
**C. Pflichten des Netzbetreibers im Hinblick auf die IT**
Gem. [**§ 11 Abs. 1a EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html) müssen Netzbetreiber insbesondere auch **Schutz gegen Bedrohungen für die IT** wie folgt gewährleisten:

>> **§ 11 Abs. 1a EnWG**
>>(1a) <sup>1</sup> Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. <sup>2</sup> Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. <sup>3</sup> Der Katalog der Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. <sup>4</sup> Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes liegt vor, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. <sup>5</sup> Die Einhaltung kann von der Regulierungsbehörde überprüft werden. <sup>6</sup> Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 4 treffen.

>>**1. Die gesetzliche Pflicht**
>>Der Gesetzgeber sieht mit der Vorschrift vor, dass auch IKT-Systeme in die Systemverantwortung des Netzbetreibers aufzunehmen sind. Allgemein muss der Netzbetreiber den Netzbetrieb auch gegen Gefahren absichern, die sich in jeder Hinsicht aus dem Einsatz von IKT ergeben.

>>**2. Katalog der Sicherheitsanforderungen der BNetzA**
>>Die BNetzA hat (zuletzt) im August 2015 das **IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG** veröffentlicht [1]. Der Katalog ist im Benehmen mit dem BSI entstanden. Im Allgemeinen bezieht sich der Katalog auf die Notwendigkeit, dass Netzbetreiber Systeme entsprechend DIN ISO/IEC 27001 einführen.
>>Im Einzelnen heißt dies insbesondere:

>>>**a. Informationssicherheits-Managementsystem**
>>>Gem. Punkt E. I. des Katalogs werden Netzbetreiber verpflichtet, ein umfassendes Informationssicherheits-Managementsystem einzuführen und zu pflegen (ISMS). Das System hat sich an der Norm DIN ISO/IEC 27001 zu orientieren. Das System hat ferner dem sog. **Plan-Do-Check-Act-Modell** zu folgen, d. h. als ein Prozess zu implementieren, bei dem regelmäßig die Leitlinien des ISMS festgelegt, anschließend durchgeführt, überprüft und verbessert werden [mehr dazu vgl. S. 9 des Katalogs].

>>>**b. Konkrete Maßnahmen**
>>>Im Hinblick auf die im Rahmen des ISMS umzusetzenden Maßnahmen verweist der Katalog ebenfalls auf die DIN ISO/IEC 27001, wobei stets ein Bezug zum Netzbetrieb herzustellen sei.

>>>**c. Sicherstellung der ordnungsgemäßen Betriebes von IKT-Systemen**
>>>Als zentrale Pflicht für den Netzbetreiber verlangt der Katalog vom Netzbetreiber, dass dieser den ordnungsgemäßen Betrieb der IKT-Systeme sicherstellen muss. DIes umfasst auch Erkennung und Behebung von technischen Störungen und Bewertung von Risiken durch IKT-basierte Angriffe und entsprechende Schutzmaßnahmen diesbezüglich.

>>>**d. Netzstrukturplan mit ITK-Bezügen**
>>>Netzbetreiber muß gem. Punkt E. IV. des Katalogs Überblick darüber bewahren, an welchen Stellen des gesamten Netzes und bei seinem Betrieb technische Anwendungen, Systeme und Komponenten eingesetzt werden und wie sich diese auf den Netzbetrieb auswirken können.

>>>**e. Risikoeinschätzung**
>>>Wesentliche Forderung gegenüber dem Netzbetreiber ist die Implementierung von Prozessen zur Risikoeinschätzung durch den Netzbetreiber. Dies folgt aus Punkt E. V. des Katalogs.
>>>An diese knüpft die Durchführung von Maßnahmen zur Behandlung der ermittelten Risiken (Punkt E. VI. - Risikobehandlung).

>>>**f. Ansprechpartner IT-Sicherheit**
>>>Der Katalog nennt zwar keine Vorgabe, eine konkrete Stelle im Unternehmen zu institutionalisieren, die Verantwortung für die IT-Sicherheit trägt. Es wird aber zumindest ein Ansprechpartner für die BNetzA gefordert (E. VII.). Die Funktion dieser Stelle bzw. Person lässt vermuten, dass diese jedenfalls dahingehend koordinierend tätig ist, als sie über alle Informationen zu Funktionsweise der IKT-Systeme verfügen muss.

>>>**g. Zertifizierung**
>>>Die Umsetzung des ISMS ist durch eine von der BNetzA akzeptierte Stelle zu zertifizieren (F. I.).


**D. Pflichten der Betreiber von kritischen Energieanlagen**
Analog zu den Pflichten für Netzbetreiber (gem. Abs. 1a) gelten solche auch für Betreiber von (durch den Gesetzgeber als sensibel eingestuften) übrigen Energieanlagen gem. Abs. 1b in [**§ 11 EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html).

>> **§ 11 Abs. 1b EnWG**
>>(1b) <sup>1</sup> Betreiber von Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 8 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, haben innerhalb einer von der Regulierungsbehörde festzulegenden Frist einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. <sup>2</sup> Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen, in den auch die Bestimmung der Frist nach Satz 1 aufzunehmen ist, und veröffentlicht diesen. <sup>3</sup> Für Telekommunikations- und elektronische Datenverarbeitungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes haben Vorgaben auf Grund des Atomgesetzes Vorrang. <sup>4</sup> Die für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder sind bei der Erarbeitung des Katalogs von Sicherheitsanforderungen zu beteiligen. <sup>5</sup> Der Katalog von Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. <sup>6</sup> Ein angemessener Schutz des Betriebs von Energieanlagen im Sinne von Satz 1 liegt vor, wenn dieser Katalog eingehalten und dies vom Betreiber dokumentiert worden ist. <sup>7</sup> Die Einhaltung kann von der Bundesnetzagentur überprüft werden. <sup>8</sup> Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 6 treffen.
>>***
DIe BNetzA hat auch zur Umsetzung des [**§ 11 Abs. 1b EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html) entsprechenden Katalog [2] veröffentlicht, in dem ähnlich zu [**§ 11 Abs. 1a EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html) Pflichten für Anlagenbetreiber statuiert werden.
***
[1] Nachstehend "der Katalog" genannt; zu finden auf der Seite der BNetzA unter [folgender Adresse](https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Energie/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheitskatalog_08-2015.html;jsessionid=81BEB65BD101C7D43A0763B0236851F7?nn=266988). Vgl. dazu auch [folgende Seite der Bundesnetzagentur](https://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html).
Revision [d259a32]
Bearbeitet am 2019-08-05 12:04:41 von WojciechLisiewicz
ADDITIONS
Mit der Idee der " **smart grids**" und der "intelligenten" Netzsteuerung, die der Gesetzgeber bereits vor einigen Jahren ins EnWG übernommen und 2016 in einem separaten Gesetz - dem Messstellenbetriebsgesetz - geregelt hat, ist zwangsläufig auch ein neues Problem entstanden: Problem der Verlässlichkeit der neuen, einzusetzenden Technik. Inwiefern die vom Gesetzgeber angeordnete Digitalisierung des Messwesens sinnvoll ist oder nicht, kann man sich trefflich streiten. Jedenfalls ist sich der Gesetzgeber der Probleme bewusst und begegnet diesen mit Vorgaben für die eingesetzte Technik im MsbG. Mit diesen befasst sich [folgender Artikel](EnergieRMsbGtechnischeVorgaben).
**B. Pflichten des Messstellenbetreibers**
In den "intelligent" werdenden Energieversorgungsnetzen nimmt die Bedeutung des Messstellenbetreibers zu, speziell im Zusammenhang mit dem Einsatz "intelligenter" Zähler. Einige Aspekte des Messstellenbetriebs sind in diesem Zusammenhang auch für die IT-Sicherheit im Netz von Bedeutung. Die damit zusammenhängenden Pflichten des Messstellenbetreibers werden [in diesem Artikel behandelt](EnergieRPflichtenMSB).
**C. Pflichten des Netzbetreibers im Hinblick auf die IT**
>>Die BNetzA hat (zuletzt) im August 2015 das **IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG** veröffentlicht [1]. Der Katalog ist im Benehmen mit dem BSI entstanden. Im Allgemeinen bezieht sich der Katalog auf die Notwendigkeit, dass Netzbetreiber Systeme entsprechend DIN ISO/IEC 27001 einführen.
>>>Im Hinblick auf die im Rahmen des ISMS umzusetzenden Maßnahmen verweist der Katalog ebenfalls auf die DIN ISO/IEC 27001, wobei stets ein Bezug zum Netzbetrieb herzustellen sei.
>>>Als zentrale Pflicht für den Netzbetreiber verlangt der Katalog vom Netzbetreiber, dass dieser den ordnungsgemäßen Betrieb der IKT-Systeme sicherstellen muss. DIes umfasst auch Erkennung und Behebung von technischen Störungen und Bewertung von Risiken durch IKT-basierte Angriffe und entsprechende Schutzmaßnahmen diesbezüglich.
>>>Der Katalog nennt zwar keine Vorgabe, eine konkrete Stelle im Unternehmen zu institutionalisieren, die Verantwortung für die IT-Sicherheit trägt. Es wird aber zumindest ein Ansprechpartner für die BNetzA gefordert (E. VII.). Die Funktion dieser Stelle bzw. Person lässt vermuten, dass diese jedenfalls dahingehend koordinierend tätig ist, als sie über alle Informationen zu Funktionsweise der IKT-Systeme verfügen muss.
**D. Pflichten der Betreiber von kritischen Energieanlagen**
[1] Nachstehend "der Katalog" genannt; zu finden auf der Seite der BNetzA unter [folgender Adresse](https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Energie/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheitskatalog_08-2015.html;jsessionid=81BEB65BD101C7D43A0763B0236851F7?nn=266988). Vgl. dazu auch [folgende Seite der Bundesnetzagentur](https://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html).
DELETIONS
Vgl. hierzu [folgenden Artikel](EnergieRMsbGtechnischeVorgaben).
**B. Pflichten des Netzbetreibers im Hinblick auf die IT**
>>Die BNetzA hat (zuletzt) im August 2015 das **IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG** veröffentlicht [1]. Das Katalog ist im Benehmen mit dem BSI entstanden. Im Allgemeinen bezieht sich das Katalog auf die Notwendigkeit, dass Netzbetreiber Systeme entsprechend DIN ISO/IEC 27001 einführen.
>>>Im Hinblick auf die im Rahmen des ISMS umzusetzenden Maßnahmen verweist das Katalog ebenfalls auf die DIN ISO/IEC 27001, wobei stets ein Bezug zum Netzbetrieb herzustellen sei.
>>>Als zentrale Pflicht für den Netzbetreiber verlangt das Katalog vom Netzbetreiber, dass dieser den ordnungsgemäßen Betrieb der IKT-Systeme sicherstellen muss. DIes umfasst auch Erkennung und Behebung von technischen Störungen und Bewertung von Risiken durch IKT-basierte Angriffe und entsprechende Schutzmaßnahmen diesbezüglich.
>>>Das Katalog nennt zwar keine Vorgabe, eine konkrete Stelle im Unternehmen zu institutionalisieren, die Verantwortung für die IT-Sicherheit trägt. Es wird aber zumindest ein Ansprechpartner für die BNetzA gefordert (E. VII.). Die Funktion dieser Stelle bzw. Person lässt vermuten, dass diese jedenfalls dahingehend koordinierend tätig ist, als sie über alle Informationen zu Funktionsweise der IKT-Systeme verfügen muss.
**C. Pflichten der Betreiber von kritischen Energieanlagen**
[1] Nachstehend "das Katalog" genannt; zu finden auf der Seite der BNetzA unter [folgender Adresse](https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Energie/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheitskatalog_08-2015.html;jsessionid=81BEB65BD101C7D43A0763B0236851F7?nn=266988). Vgl. dazu auch [folgende Seite der Bundesnetzagentur](https://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html).
Revision [0be9be8]
Bearbeitet am 2019-07-31 15:15:32 von WojciechLisiewicz
ADDITIONS
Der Gesetzgeber hat die Bedeutung der Informationstechnologien und ihrer Sicherheit auch in der Energiewirtschaft mittlerweile erkannt und rechtliche Grundlagen geschaffen, die Gefahren vorbeugen und bei Beseitigung von eventuellen Problemen helfen sollen. Zentrale Bedeutung hat dabei [**§ 11 EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html), in dem die Pflichten von Netzbetreibern geregelt sind. Das insbesondere aus dieser Vorschrift folgende Schutzsystem wird nachstehend im Detail behandelt. Diese Vorschrift ist allerdings nicht die einzige, die sich mit Vorgaben an die IT-Sicherheit befasst. Insgesamt werden hier folgende rechtlichen Anforderungen an IT-Systeme in der Energiewirtschaft behandelt:
>>* Anforderungen an Messsysteme gem. §§ 19 ff. MsbG
>>* Pflichten des Netzbetreibers gem. [**§ 11 Abs. 1a EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html)
>>* Pflichten der Betreiber von kritischen Infrastrukturanlagen gem. [**§ 11 Abs. 1b EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html)
>>* **noch zu klären: das Verhältnis zwischen § 11 Abs. 1a / 1b EnWG und [**§ 49 EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__49.html)!**
**A. Technische Anforderungen an Messsysteme**
Vgl. hierzu [folgenden Artikel](EnergieRMsbGtechnischeVorgaben).
**B. Pflichten des Netzbetreibers im Hinblick auf die IT**
>>**1. Die gesetzliche Pflicht**
**C. Pflichten der Betreiber von kritischen Energieanlagen**
DIe BNetzA hat auch zur Umsetzung des [**§ 11 Abs. 1b EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html) entsprechenden Katalog [2] veröffentlicht, in dem ähnlich zu [**§ 11 Abs. 1a EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html) Pflichten für Anlagenbetreiber statuiert werden.
DELETIONS
Der Gesetzgeber hat die Bedeutung der Informationstechnologien und ihrer Sicherheit auch in der Energiewirtschaft mittlerweile erkannt und rechtliche Grundlagen geschaffen, die Gefahren vorbeugen und bei Beseitigung von eventuellen Problemen helfen sollen. Zentrale Bedeutung hat dabei [**§ 11 EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html), in dem die Pflichten von Netzbetreibern geregelt sind. Das insbesondere aus dieser Vorschrift folgende Schutzsystem wird nachstehend im Detail behandelt.
**A. Pflichten des Netzbetreibers im Hinblick auf die IT**
>>**1. Pflicht selbst**
**B. Betreiber von anderen (als Netze) Energieanlagen**
DIe BNetzA hat auch zur Umsetzung des [**§ 11 Abs. 1b EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html) entsprechendes Katalog [2] veröffentlicht, in dem ähnlich zu [**§ 11 Abs. 1a EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html) Pflichten für Anlagenbetreiber statuiert werden.
Revision [daf5fa1]
Bearbeitet am 2019-07-18 13:11:01 von WojciechLisiewicz
ADDITIONS
>>Der Gesetzgeber sieht mit der Vorschrift vor, dass auch IKT-Systeme in die Systemverantwortung des Netzbetreibers aufzunehmen sind. Allgemein muss der Netzbetreiber den Netzbetrieb auch gegen Gefahren absichern, die sich in jeder Hinsicht aus dem Einsatz von IKT ergeben.
>>Die BNetzA hat (zuletzt) im August 2015 das **IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG** veröffentlicht [1]. Das Katalog ist im Benehmen mit dem BSI entstanden. Im Allgemeinen bezieht sich das Katalog auf die Notwendigkeit, dass Netzbetreiber Systeme entsprechend DIN ISO/IEC 27001 einführen.
>>Im Einzelnen heißt dies insbesondere:
>>>**a. Informationssicherheits-Managementsystem**
>>>Gem. Punkt E. I. des Katalogs werden Netzbetreiber verpflichtet, ein umfassendes Informationssicherheits-Managementsystem einzuführen und zu pflegen (ISMS). Das System hat sich an der Norm DIN ISO/IEC 27001 zu orientieren. Das System hat ferner dem sog. **Plan-Do-Check-Act-Modell** zu folgen, d. h. als ein Prozess zu implementieren, bei dem regelmäßig die Leitlinien des ISMS festgelegt, anschließend durchgeführt, überprüft und verbessert werden [mehr dazu vgl. S. 9 des Katalogs].

>>>**b. Konkrete Maßnahmen**
>>>Im Hinblick auf die im Rahmen des ISMS umzusetzenden Maßnahmen verweist das Katalog ebenfalls auf die DIN ISO/IEC 27001, wobei stets ein Bezug zum Netzbetrieb herzustellen sei.

>>>**c. Sicherstellung der ordnungsgemäßen Betriebes von IKT-Systemen**
>>>Als zentrale Pflicht für den Netzbetreiber verlangt das Katalog vom Netzbetreiber, dass dieser den ordnungsgemäßen Betrieb der IKT-Systeme sicherstellen muss. DIes umfasst auch Erkennung und Behebung von technischen Störungen und Bewertung von Risiken durch IKT-basierte Angriffe und entsprechende Schutzmaßnahmen diesbezüglich.

>>>**d. Netzstrukturplan mit ITK-Bezügen**
>>>Netzbetreiber muß gem. Punkt E. IV. des Katalogs Überblick darüber bewahren, an welchen Stellen des gesamten Netzes und bei seinem Betrieb technische Anwendungen, Systeme und Komponenten eingesetzt werden und wie sich diese auf den Netzbetrieb auswirken können.

>>>**e. Risikoeinschätzung**
>>>Wesentliche Forderung gegenüber dem Netzbetreiber ist die Implementierung von Prozessen zur Risikoeinschätzung durch den Netzbetreiber. Dies folgt aus Punkt E. V. des Katalogs.
>>>An diese knüpft die Durchführung von Maßnahmen zur Behandlung der ermittelten Risiken (Punkt E. VI. - Risikobehandlung).
>>>**f. Ansprechpartner IT-Sicherheit**
>>>Das Katalog nennt zwar keine Vorgabe, eine konkrete Stelle im Unternehmen zu institutionalisieren, die Verantwortung für die IT-Sicherheit trägt. Es wird aber zumindest ein Ansprechpartner für die BNetzA gefordert (E. VII.). Die Funktion dieser Stelle bzw. Person lässt vermuten, dass diese jedenfalls dahingehend koordinierend tätig ist, als sie über alle Informationen zu Funktionsweise der IKT-Systeme verfügen muss.

>>>**g. Zertifizierung**
>>>Die Umsetzung des ISMS ist durch eine von der BNetzA akzeptierte Stelle zu zertifizieren (F. I.).


**B. Betreiber von anderen (als Netze) Energieanlagen**
Analog zu den Pflichten für Netzbetreiber (gem. Abs. 1a) gelten solche auch für Betreiber von (durch den Gesetzgeber als sensibel eingestuften) übrigen Energieanlagen gem. Abs. 1b in [**§ 11 EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html).
>>***
DIe BNetzA hat auch zur Umsetzung des [**§ 11 Abs. 1b EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html) entsprechendes Katalog [2] veröffentlicht, in dem ähnlich zu [**§ 11 Abs. 1a EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html) Pflichten für Anlagenbetreiber statuiert werden.
***
[1] Nachstehend "das Katalog" genannt; zu finden auf der Seite der BNetzA unter [folgender Adresse](https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Energie/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheitskatalog_08-2015.html;jsessionid=81BEB65BD101C7D43A0763B0236851F7?nn=266988). Vgl. dazu auch [folgende Seite der Bundesnetzagentur](https://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html).
[2] Vgl. [folgende Seite der BNetzA](https://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html).
DELETIONS
**B. Betreiber von anderen (als Netze) Energieanlagen**


**C. Einführung von Schutzsystemen**
gem. [**§ 11 Abs. 1b EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html)
Revision [0cfd6fe]
Bearbeitet am 2019-07-07 00:59:11 von WojciechLisiewicz
ADDITIONS
>>(1b) <sup>1</sup> Betreiber von Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 8 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, haben innerhalb einer von der Regulierungsbehörde festzulegenden Frist einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. <sup>2</sup> Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen, in den auch die Bestimmung der Frist nach Satz 1 aufzunehmen ist, und veröffentlicht diesen. <sup>3</sup> Für Telekommunikations- und elektronische Datenverarbeitungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes haben Vorgaben auf Grund des Atomgesetzes Vorrang. <sup>4</sup> Die für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder sind bei der Erarbeitung des Katalogs von Sicherheitsanforderungen zu beteiligen. <sup>5</sup> Der Katalog von Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. <sup>6</sup> Ein angemessener Schutz des Betriebs von Energieanlagen im Sinne von Satz 1 liegt vor, wenn dieser Katalog eingehalten und dies vom Betreiber dokumentiert worden ist. <sup>7</sup> Die Einhaltung kann von der Bundesnetzagentur überprüft werden. <sup>8</sup> Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 6 treffen.
DELETIONS
>>(1b) <sup>1</sup> Betreiber von Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 8 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, haben innerhalb einer von der Regulierungsbehörde festzulegenden Frist einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. <sup>2</sup> Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen, in den auch die Bestimmung der Frist nach Satz 1 aufzunehmen ist, und veröffentlicht diesen. <sup>3</sup> Für Telekommunikations- und elektronische Datenverarbeitungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes haben Vorgaben auf Grund des Atomgesetzes Vorrang. <sup>4</sup> Die für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder sind bei der Erarbeitung des Katalogs von Sicherheitsanforderungen zu beteiligen. Der Katalog von Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. Ein angemessener Schutz des Betriebs von Energieanlagen im Sinne von Satz 1 liegt vor, wenn dieser Katalog eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Bundesnetzagentur überprüft werden. Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 6 treffen.
Revision [8567542]
Die älteste bekannte Version dieser Seite wurde von WojciechLisiewicz am 2019-06-25 22:25:20 erstellt
ADDITIONS
## Rechtliche Vorgaben für IT-Sicherheit in der Energiewirtschaft
##### Vorschriften und Pflichten der EVU
Der Gesetzgeber hat die Bedeutung der Informationstechnologien und ihrer Sicherheit auch in der Energiewirtschaft mittlerweile erkannt und rechtliche Grundlagen geschaffen, die Gefahren vorbeugen und bei Beseitigung von eventuellen Problemen helfen sollen. Zentrale Bedeutung hat dabei [**§ 11 EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html), in dem die Pflichten von Netzbetreibern geregelt sind. Das insbesondere aus dieser Vorschrift folgende Schutzsystem wird nachstehend im Detail behandelt.
**A. Pflichten des Netzbetreibers im Hinblick auf die IT**
Gem. [**§ 11 Abs. 1a EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html) müssen Netzbetreiber insbesondere auch **Schutz gegen Bedrohungen für die IT** wie folgt gewährleisten:

>> **§ 11 Abs. 1a EnWG**
>>(1a) <sup>1</sup> Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. <sup>2</sup> Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. <sup>3</sup> Der Katalog der Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. <sup>4</sup> Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes liegt vor, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. <sup>5</sup> Die Einhaltung kann von der Regulierungsbehörde überprüft werden. <sup>6</sup> Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 4 treffen.

>>**1. Pflicht selbst**

>>**2. Katalog der Sicherheitsanforderungen der BNetzA**

**B. Betreiber von anderen (als Netze) Energieanlagen**


>> **§ 11 Abs. 1b EnWG**
>>(1b) <sup>1</sup> Betreiber von Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 8 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, haben innerhalb einer von der Regulierungsbehörde festzulegenden Frist einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. <sup>2</sup> Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen, in den auch die Bestimmung der Frist nach Satz 1 aufzunehmen ist, und veröffentlicht diesen. <sup>3</sup> Für Telekommunikations- und elektronische Datenverarbeitungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes haben Vorgaben auf Grund des Atomgesetzes Vorrang. <sup>4</sup> Die für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder sind bei der Erarbeitung des Katalogs von Sicherheitsanforderungen zu beteiligen. Der Katalog von Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. Ein angemessener Schutz des Betriebs von Energieanlagen im Sinne von Satz 1 liegt vor, wenn dieser Katalog eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Bundesnetzagentur überprüft werden. Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 6 treffen.


**C. Einführung von Schutzsystemen**
gem. [**§ 11 Abs. 1b EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__11.html)