Die NIS-Richtlinie und der Energiesektor: Ein Flickenteppich nationaler Umsetzungsmaßnahmen

Unter den Namen Stuxnet, DragonFly 2.0, Flame and Black Energy haben Cyber-Angriffe in den letzten zehn Jahre Schlagzeilen gemacht. Diese zunehmende Bedrohung durch die rasante Digitalisierung hat auch im Energiesektor die Diskussion über die Cyber-Sicherheit angefacht.

Die Cyber-Sicherheit im Energiesektor begegnet drei großen Herausforderungen: Erstens sind die Folgen eines Cyber-Angriffs oft schwerwiegend und zumeist sofort spürbar. Zweitens greifen Probleme des einen Netzwerkes leicht auf ein anderes über, was den Effekt vervielfacht. Drittens macht die Kombination der Energieinfrastruktur aus älteren und modernen Technologien das System insgesamt sehr verwundbar. 

Die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (Directive 2016/1148, "NIS-Richtlinie") wurde 2016 verabschiedet, um einigen dieser Herausforderungen zu begegnen. Für die Umsetzung der Richtlinie ins nationale Recht hatten die Mitgliedstaaten bis Mai 2018 Zeit. Im Kern zielt die Richtlinie darauf ab, die „Betreiber wesentlicher Dienste“ (Operators of Essential Services, "OES") zu verpflichten, geeignete Sicherheitsmaßnahmen zu ergreifen und schwere Cyber-Vorfälle der zuständigen nationalen Behörde zu melden.

Auch wenn die Richtlinie innerhalb der EU zu einer Vereinheitlichung der Verpflichtungen des Energiesektors hinsichtlich Cyber-Sicherheit führen sollte, bestehen nach wie vor erhebliche nationale Unterschiede. Diese kurze Übersicht beleuchtet die vier wesentlichen Unterschiede in der nationalen Umsetzung: die Kriterien für die Identifizierung von OES im Energiesektor, die Methode zur Identifizierung von OES, Meldepflichten; und Leitlinien zur Cyber-Sicherheit.

Kriterien zur Identifikation als Betreiber wesentlicher Dienste im Energiesektor 

Zu den in Anhang II der NIS-Richtlinie genannten Betreibern wesentlicher Dienste im Energiesektor zählen im Allgemeinen Betreiber in den Bereichen Bereitstellung, Verteilung und Übertragung von Strom, Gas und Öl . In Anbetracht des Mindestharmonisierungsansatzes der Richtlinie haben mehrere EU-Mitgliedstaaten auch darüber hinausgehend weitere Betreiber als solche wesentlicher Dienste einbezogen, darunter Unternehmen der Wärmeindustrie, der Wärmeversorgung, des Bergbaus, der Entsorgung radioaktiver Abfälle, der Bereitstellung von Forschungsergebnissen sowie Ausrüstung und Dienstleistungen für den Energiesektor.

Mehrere Staaten wie Deutschland, Spanien und das Vereinigte Königreich (das zum Zeitpunkt der Einführung der NIS-Richtlinie noch Mitglied der EU war) haben die Stromerzeugung in den Teilsektor Elektrizität aufgenommen, obwohl die NIS-Richtlinie in ihrem Anhang II nicht direkt auf die Funktion "Stromerzeugung" Bezug nimmt, sondern die Stromerzeugung lediglich in den Erwägungsgrund 28 aufgenommen wurde.

• Deutschland: Dienste erfasst, die über die NIS-RL Annex II hinausgehen
• UK:  Dienste erfasst, die über die NIS-RL Annex II hinausgehen
• Schweden:  Stand der NIS-RL Annex II übernommen
• Niederlande:  Dienste erfasst, die über die NIS-RL Annex II hinausgehen
• Ungarn:  Stand der NIS-RL Annex II übernommen
• Spanien:  Dienste erfasst, die über die NIS-RL Annex II hinausgehen
• Italien:  Dienste erfasst, die über die NIS-RL Annex II hinausgehen
• Frankreich:  Dienste erfasst, die über die NIS-RL Annex II hinausgehen
• Finnland:  Stand der NIS-RL Annex II übernommen
• Dänemark:  Dienste erfasst, die über die NIS-RL Annex II hinausgehen

Quelle: Report by the NIS Cooperation Group, 9 Oct 2019 Sectorial implementation of the NIS Directive in the Energy sector.

Im Rahmen der Richtlinie legt jeder Mitgliedstaat Kriterien für wesentliche Dienste fest, benennt seine Betreiber und listet diese. Einige der Länder kannten dafür bereits Methoden und Ansätze vor der Veröffentlichung der NIS-Richtlinie, während andere Mitgliedstaaten neue Methoden entwickeln mussten. Die EU-Kommission hat Unstimmigkeiten bei der Ermittlung von Betreibern wesentlicher Dienste in verschiedenen Mitgliedstaaten festgestellt, die zu ungleichen Wettbewerbsbedingungen im Binnenmarkt führen könnten. Dies resultiert daraus, dass Stellen, die grenzüberschreitend tätig sind, in die Zuständigkeit mehrerer Mitgliedstaaten fallen können, wenn sie die Voraussetzungen in mehr als einem Land erfüllen. Neben den Unterschieden in der Kategorisierung als wesentlicher Dienst gibt es Unterschiede in den nationalen Methoden, beispielsweise bei der Verwendung von Schwellenwerten und der Bewertung der Abhängigkeit von Netz- und Informationssystemen. 

Laufende Veränderungen im Energiesystem, z. B. die Zunahme verteilter und örtlich begrenzter Energieressourcen und die zunehmende Nutzung neuer intelligenter Energietechnologien erfordern, dass die zuständigen nationalen Behörden ihren Ansatz zur Ermittlung und Klassifizierung von Betreibern wesentlicher Dienste regelmäßig überprüfen. 

Identifizierung von Betreibern wesentlicher Dienste in der Praxis

Der Prozess der Ermittlung der Betreiber wesentlicher Dienste ist von Mitgliedstaat zu Mitgliedstaat unterschiedlich. Einige Mitgliedstaaten erlegen den Unternehmen die Verantwortung auf, ihren Status im Rahmen der NIS-Richtlinie selber zu bestimmen. Diese Mitgliedstaaten legen Kriterien in Rechtsvorschriften oder Verwaltungsanordnungen fest, anhand derer die betreffenden Unternehmen sich selber einordnen und die zuständigen Aufsichtsbehörden davon in Kenntnis setzen müssen. Dabei sind Orientierungshilfen üblich; so übertrag beispielsweise das Vereinigte Königreich neben der Selbstidentifizierung die Befugnis auf die Aufsichtsbehörde, ein Unternehmen als Betreiber wesentlicher Dienste zu benennen, soweit die gesetzlichen Voraussetzungen gegeben sind.
  
Andere Mitgliedstaaten überlassen es den zuständigen Behörden oder Ministerien, die Betreiber wesentlicher Dienste zu benennen. Die Niederlande haben die bereits existierende Liste der für den Energiesektor wichtigen Betreiber in die Umsetzung der Richtlinie übernommen – bestimmen die OES mithin per Gesetz. 

• Deutschland: Selbstidentifikation
• UK: Selbstidentifikation
• Schweden: Selbstidentifikation
• Niederlande: Gesetz
• Ungarn: Selbstidentifikation
• Spanien: Behörde
• Italien:  Behörde
• Frankreich: Behörde
• Finnland: Behörde
• Dänemark: Behörde

Meldepflichten

Die NIS-Richtlinie bestimmt das Cyber-Risikomanagement und die Pflicht zur Meldung von Ereignissen. Die Betreiber wesentlicher Dienste im Energiesektor müssen Vorfälle melden, die erhebliche Auswirkungen auf die Kontinuität ihrer Dienste haben, wobei je nach Mitgliedstaat der OES Behörden oder nationale Kontaktstellen über Vorfälle unterrichten muss. Die Meldeverfahren ist in den Mitgliedstaaten sehr unterschiedlich ausgestaltet, einige sehen sogar spezifische Meldepflichten für den Energiesektor vor. Schweden hat bei der nationalen Umsetzung die Art der anzumeldenden Vorfälle im Energiesektor präzisiert, während die finnischen Energiebehörden einen Leitfaden herausgegeben haben, der zunächst einmal bestimmt, dass Betreiber wesentlicher Dienste jeden Vorfall, der näher definierte Vorgänge beeinträchtigt hat oder beeinträchtigen könnte, zu melden hat (wobei wahrscheinlich ist, dass noch weitere Leitlinien folgen werden). 

Alle Mitgliedstaaten haben gemein, dass sie eine einheitliche Meldeplattform und ein einheitliches Meldeverfahren für alle Sektoren bei Störungen vorhalten. Zum Beispiel Italien verfügt über ein zentralisiertes System, in dem alle Betreiber wesentlicher Dienste CSIRT Italia ihre Cyber-Sicherheitsvorfälle melden, wobei spezielle Behörden Schwellenwerte und Modalitäten für die Meldungen in sektorspezifischen Leitlinien festgelegt werden können, die sich unmittelbar an die Betreiber richten.

• Deutschland:  Ähnliche Meldepflichten gelten für alle OES
• UK:  Ähnliche Meldepflichten gelten für alle OES
• Schweden:  Bei Vorfällen im Energiesektor gelten spezielle Bestimmungen
• Niederlande:  Ähnliche Meldepflichten gelten für alle OES
• Ungarn:  Ähnliche Meldepflichten gelten für alle OES
• Spanien:  Ähnliche Meldepflichten gelten für alle OES
• Italien:  Spezifische Richtlinien richten sich direkt an die OES
• Frankreich:  Ähnliche Meldepflichten gelten für alle OES
• Finnland:  Von der Behörde herausgegebene Leitlinien zur Meldepflicht für den Energiesektor
• Dänemark:  Ähnliche Meldepflichten gelten für alle OES 

Leitlinien zur Cyber-Sicherheit

Mehrere Länder, wie Deutschland, das Vereinigte Königreich, Schweden, Dänemark und Italien haben sektorspezifische Leitlinien für die Cyber-Sicherheit veröffentlicht, um die Unternehmen im Energiesektor bei ihren Bemühungen zu unterstützen. Andere, wie die Niederlande, Ungarn, Spanien, Frankreich und Finnland, sowie die NIS-Kooperationsgruppe und die Agentur der Europäischen Union für Cybersicherheit haben allgemeine Leitlinien für die Cyber-Sicherheit veröffentlicht, die einen Überblick über die bewährten Verfahren geben. Primär wird den Herausforderungen der Cyber-Sicherheit im Energiesektor damit immer noch auf nationaler Ebene begegnet. 

OES oder andere Unternehmen im Energiesektor, die von den Verpflichtungen der NIS-Richtlinie betroffen sind, sollten daher nicht nur die einschlägigen Rechtsvorschriften zur Umsetzung der NIS-Richtlinie, sondern auch die bestehenden Leitlinien heranziehen.

Unser Team für Energiedigitalisierung

Wir würden uns sehr freuen, Sie bei der Festlegung des OES-Status, der Registrierung und allen weiteren rechtlichen Fragestellungen in Bezug auf die NIS-Richtlinie unterstützen und beraten zu dürfen.

Weiterführende Informationen  

Die Entwicklung der NIS-Richtlinie in den EU-Mitgliedstaaten >>

Bird & Bird NISD Tracker >>

Weitere Artikel des Bird & Bird Cybersicherheits-Team >>