Versorgungsunternehmen: Die nächste Schraube, an der wir drehen
Es ist ein arbeitsintensiver Frühling für die Betreiber kritischer Infrastrukturen und Versorgungsunternehmen. Neben Betrieb und Weiterentwicklung des ISMS gemäß der „neuen“ ISO/IEC 27001/2:2022 drückt zusätzlich der Schuh zur Umsetzung der Systeme zur Angriffserkennung (SzA) gemäß § 8a Abs. 1 BSIG bzw. § 11 1e EnWG.
Es ist ein arbeitsintensiver Frühling für die Betreiber kritischer Infrastrukturen und Versorgungsunternehmen. Neben Betrieb und Weiterentwicklung des ISMS gemäß der „neuen“ ISO/IEC 27001/2:2022 drückt zusätzlich der Schuh zur Umsetzung der Systeme zur Angriffserkennung (SzA) gemäß § 8a Abs. 1 BSIG bzw. § 11 1e EnWG. Durch § 8a Abs. 3 und § 11 1f EnWG besteht auch eine Nachweispflicht gegenüber dem BSI, um den angemessenen Betrieb der SzA zu bestätigen.
Termin für die Umsetzung der Systeme zur Angriffserkennung war der 1. Mai 2023. EnWG-regulierte Unternehmen mussten unlängst zum selben Termin die entsprechenden BSI-Formulare einreichen, die anderen kritischen Infrastrukturen müssen mit der nächsten Einschätzung der IT-Sicherheit nach Stand der Technik gem. BSIG § 8a Abs. 3 liefern.
Kein Wunder, dass es da eng war/wird mit der Terminierung der notwendigen Audits bzw. dem Finden/der Beauftragung von geeigneten Auditoren. Genauso schwierig ist die Situation mit Lieferanten von Produkten und Beratern zu den Aspekten der Protokollierung, Detektion und Reaktion auf Sicherheitsereignisse/-vorfälle.
Währenddessen ist ohne großes Tamtam am 8. Februar 2023 die „Verordnung zur Feststellung der Behörden des Bundes mit Aufgaben von vergleichbarer Sicherheitsempfindlichkeit wie die der Nachrichtendienste des Bundes und zur Feststellung der öffentlichen Stellen des Bundes und der nichtöffentlichen Stellen mit lebens- oder verteidigungswichtigen Einrichtungen (Sicherheitsüberprüfungsfeststellungsverordnung – SÜFV)“ im Bundesgesetzblatt veröffentlicht worden. Der Hinweis in der FAQ der Bundesnetzagentur für Energienetzbetreiber oder auch die Beschreibung in Wikipedia sind diesbezüglich z.B. noch nicht aktualisiert worden.
Die nächste Baustelle, aber wen betrifft es denn jetzt? Versorgungsunternehmen?
Durch § 16 sind jetzt nicht nur die vier deutschen Übertragungsnetzbetreiber betroffen, sondern schwellenwertbedingt auch Versorgungsunternehmen und Verteilnetzbetreiber für Elektrizität sowie Betreiber von Gasnetzkopplungspunkten zwischen deutschen und ausländischen Netzbetreibern, deren Ausfall die überregionale Gasversorgung erheblich beeinträchtigen kann.
Gasfernleitungsnetzbetreiber
Die überregionale Gasversorgung wird von den 16 Fernleitungsnetzbetreibern gewährleistet. In dem ca. 40.000 km langen Rohrnetz werden große Gasmengen mit hohem Druck von bis zu 100 bar transportiert. Bedingt durch die geographische Lage Deutschlands besteht ein erheblicher Transit an Gasmengen in angrenzende EU-Staaten. Die Kopplung der Gasnetze erfolgt über Netzkopplungs- und Grenzübergangspunkten. Da der überwiegende Anteil der benötigten Gasmenge importiert wird, sind die Grenzübergangspunkte von hoher Bedeutung für die Versorgungssicherheit.
Gemäß Verordnung (EG) VO 715/2009 des Europäischen Parlaments und des Rates sind europäische Fernleitungsnetzbetreiber verpflichtet auf ihren Internetseiten aktuelle Informationen zu den maßgeblichen Punkten gemäß Art. 18 Abs. 4 VO 715/2009 zu veröffentlichen. Dabei sind auch alle Grenzübergangspunkte aufzuführen.
Stromverteilnetzbetreiber
Die Schwellenwertdefinition für Verteilnetzbetreiberund Versorgungsunternehmen im Stromnetz erschließt sich nicht unmittelbar:
16 (1) Pkt.2: „die Teile von Unternehmen, die Leitstellen für Elektrizitätsverteilernetze betreiben, deren maximale Entnahme- oder Rückspeiseleistung aus dem Elektrizitätsübertragungsnetz über der von deutschen Übertragungsnetzbetreibern in der Frequenzhaltungsreservekooperation der Übertragungsnetzbetreiber vorgehaltenen Primärregelleistung liegt„.
Damit jetzt ein Verteilnetzbetreiber feststellen kann, ob er durch die SÜFV erfasst ist, muss er seine Jahreshöchstlast im Netz mit der vorgehaltenen Primärregelleistung der deutschen Übertragungsnetzbetreiber vergleichen. Der erste Wert ist bekannt und wird gemäß § 23c Abs. 3 EnWG auch von jedem Netzbetreiber auf der Webseite veröffentlicht.
Aber wieviel Primärregelleistung halten deutschenÜbertragungsnetzbetreiber denn vor?
Die Antwort ist gar nicht so einfach. Zunächst muss man wissen, dass alle Übertragungsnetzbetreiber Pflichtmitglieder im Verband Europäischer Übertragungsnetzbetreiber (ENTSO-E) sind. Der Bedarf an Primärregelenergie wird im Unterschied zur Sekundär- und Minutenreserve jedoch nicht separat in den vier deutschen Regelzonen festgestellt, sondern diskriminierungsfrei im gesamten Gebiet der ENTSO-E.
Der Gesamtbedarf wird über die Annahme eines zeitgleichen Ausfalls der zwei größten Kraftwerksblöcke innerhalb des Netzgebiets ermittelt, was derzeit einer Gesamtmenge von 3.000 MW entspricht. Die Verteilung auf die beteiligten Übertragungsnetzbetreiber wird jährlich neu berechnet, wobei die anteilige Stromeinspeisung des Vorjahres berücksichtigt wird.
Amprion, TransnetBW, Tennet und 50 Hertz Transmission bilden zusammen mit Energinet (Dänemark) und Creos Luxembourg einen Load-Frequency Control Block (LFC Block). Diesem Block ist aktuell für das Jahr 2023 das Vorhalten einer Primärregelenergie von 746 MW zugewiesen (https://www.regelleistung.net), dann unter Menüpunkt „Daten“ der Eintrag „Datencenter“).
Ohne das jetzt im Detail herunterzubrechen, müsste mit dem Begriff „der von deutschen Übertragungsnetzbetreibern und Versorgungsunternehmen in der Frequenzhaltungsreservekooperation der Übertragungsnetzbetreiber vorgehaltene Primärregelleistung“ also ein Wert von < 746 MW gemeint sein. Derzeit wird lt. Regelleistung.net – Datencenter (2. Mai 2023) ein Bedarf von 593 MW für den LFC Block eingekauft, davon sind 570 MW für die deutschen ÜNBs vorgesehen. Eine derartige Jahreshöchstlast wird von einer nicht unerheblichen Anzahl von Verteilnetzbetreibern erreicht.
Und was ist zu tun?
Die relevanten Gasfernleitungsnetzbetreiber und Stromverteilnetzbetreiber müssen die notwendigen Maßnahmen zur Ermächtigung und Befähigung eines Sabotageschutzbeauftragen inkl. Vertreters umsetzen, sich um die Unternehmensaufnahme im vorbeugenden personellen Sabotageschutz beim BMWK kümmern und Sicherheitsüberprüfungen von Mitarbeiterinnen und Mitarbeitern gemäß Sicherheitsüberprüfungsgesetz (SÜG) durchführen lassen. Ein weiterer Schritt, der dazu beiträgt, die Sicherheit der kritischen Infrastrukturen zu gewährleisten.
Und was ist dann passiert? (Stand Q1-2024)
Die obigen Ausführungen stammen aus dem Frühjahr 2023. Die Herleitung der 570 MW ist von mindestens einem Übertragungsnetzbetreiber noch im Juni 2023 bestätigt worden. Ebenso ist darauf verwiesen worden, dass dieser Wert jährlich angepasst und unter www.regelleistung.net veröffentlicht wird.
Betroffene Verteilnetzbetreiber haben pflichtgemäß die relevanten Schritte eingeleitet und sich um die Unternehmensaufnahme im vorbeugenden personellen Sabotageschutz beim BMWK bemüht. Das führte bei etlichen Unternehmen aber durchaus zu einer Überraschung („der Bouncer sagt, du kommst hier nicht rein!“). Den Antragstellenden wurden die Unterlagen zurückgeschickt und mitgeteilt, dass nur diejenigen Verteilnetzbetreiber aufgenommen werden, deren Jahreshöchstlast über 1.384 MW liegen.
Wo kommt denn die Zahl her?
Diese Primärregelleistung wird laut BMWK im Rahmen der Frequenzhaltungsreservekooperation durch die Übertragungsnetzbetreiber der Länder Belgien, Deutschland, Frankreich, Niederlande, Österreich und Schweiz vorgehalten und soll maßgeblich sein – nicht etwa der Wert, der davon wiederum jährlich allein deutschen Übertragungsnetzbetreibern zugeordnet wird.
Weiter wird ausgeführt, dass sich dieser Zusammenschluss von Übertragungsnetzbetreibern durch die Verordnung (EU) 2017/2195 der Kommission vom 23. November 2017 zur Festlegung einer Leitlinie über den Systemausgleich im Elektrizitätsversorgungssystemen begründet. Die FCR Cooperation (Webseite ) wird zwar nicht erwähnt, ist aber wohl gemeint. In dieser Organisation sind derzeit dreizehn Übertragungsnetzbetreiber aus neun (nicht sechs) europäischen Ländern vereint und umfasst über 50% des FCR-Bedarfes des ENTSO-E-Gebietes – dies entspricht einer Beschaffung und Verfügbarmachung von über 1.500 (nicht 1.384) MW Primärregelleistung.
Und letztlich wird angekündigt, dass im Rahmen der nächsten Änderung der Sicherheitsüberprüfungsfeststellungsverordnung (SÜFV) in § 16(1) eine Klarstellung erfolgt. Der aktuell geleakte Artikelgesetzentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (Bearbeitungsstand: 22.12.2023), kurz NIS2UmsuCG, sieht Änderungen am SÜFV vor, §16 findet dort aber dort keine Erwähnung.
Fazit
Es ist unstrittig, dass in der SÜFV ein nationaler Blickwinkel gewählt worden ist („von deutschen Übertragungsnetzbetreibern“). Bei der Abweisung der betroffenen Verteilnetzbetreiber ist dann aber mit einem Zahlenwerk eines europäischen Zusammenschlusses argumentiert worden – dafür wird es Gründe geben, die aber nicht dargestellt werden.
Gesetz- bzw. verordnungskonformes Verwaltungshandeln ist ein selbstverständlicher Grundstandard. Liegt dies nicht vor, führt es zu Verunsicherungen und unnötigen Aufwänden bei vermeintlich betroffenen Unternehmen. Hoffen wir mal, dass das NIS2UmsgCG bald kommt und Klarheit schafft!
Der ursprüngliche Artikel wurde am 04.05.2023 hier veröffentlicht. Dieser Artikel enthält neue Informationen (Stand Q1-2024).