Im Mai 2023 verschafften sich Hacker über eine Schwachstelle in der Firewall Zugang zu den Kontrollsystemen von fast zwei Dutzend dänischen Energieunternehmen. Einige mussten ihre Internetverbindungen deaktivieren, teilweise für mehrere Tage. Experten vermuten, dass Sandworm, eine Hackergruppe mit Verbindungen zum russischen Geheimdienst, hinter dem Angriff steckt. Ein Netzwerk von 270 Sensoren, die in kritischen Infrastrukturen in ganz Dänemark installiert sind, hat den Angriff entdeckt.
So ein Angriff ist kein Einzelfall. Der Internationalen Energieagentur zufolge hat sich die Zahl der Cyberangriffe auf Energieunternehmen zwischen 2020 und 2022 weltweit mehr als verdoppelt – 2022 wurden über 1.000 wöchentliche Angriffe registriert.
Die EU hat hierauf reagiert und eine Richtlinie zum Schutz kritischer Infrastruktur erlassen. Nur noch bis zum 17. Oktober 2024 haben die Mitgliedstaaten Zeit, die Vorgaben in nationales Recht umzusetzen.
Der Entwurf der Bundesregierung sieht nicht nur eine Reihe von neuen Pflichten vor, sondern weitet auch den Kreis der betroffenen Unternehmen massiv aus.
Wir geben einen kurzen Überblick über die aktuelle Rechtslage und die geplanten Änderungen, die das Bundeskabinett am 24 Juli 2024 verabschiedet hat.
Zur kritischen Infrastruktur werden alle Einrichtungen gezählt, die für das Gemeinwesen von hoher Bedeutung sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Hierzu zählen neben dem Energiesektor etwa auch der Ernährungs- und der IT-Sektor.
Im Energiesektor gehören zu den kritischen Einrichtungen die Bereiche Stromerzeugung, Stromhandel, Stromübertragung und Stromverteilung, sofern die Einrichtungen einen bestimmten Schwellenwert erreichen. Für Erzeugungsanlagen etwa liegt dieser Schwellenwert aktuell bei 104 MW installierter Nettonennleistung.
Als Betreiber einer solchen kritischen Infrastruktur gilt wiederum, wer bestimmenden Einfluss auf diese ausübt. Bei Erzeugungsanlagen ist dies in der Regel der Eigentümer. Betreiber kann allerdings auch das Unternehmen sein, das für die technische Betriebsführung der Erzeugungsanlage zuständig ist.
Nach den geplanten Neuerungen wird nicht nur der Begriff des Betreibers kritischer Infrastruktur auf weitere Akteure wie die Betreiber von Batteriespeichern und Ladesäulen ausgeweitet. Künftig werden bestimmte Dienstleister aus dem Energiesektor auch unabhängig von der Größe ihrer Anlagen verpflichtet, wenn sie eine bestimmte Anzahl von Mitarbeitern beschäftigen oder einen bestimmten Jahresumsatz und eine bestimmte Jahresbilanzsumme aufweisen (sog. besonders wichtige und wichtige Einrichtungen). Zu diesen Dienstleistern zählen u. a. Stromlieferanten, Netzbetreiber und Betreiber von Anlagen zur Erzeugung oder Speicherung von Energie.
Dies wird Schätzungen zufolge dazu führen, dass in Deutschland anstelle der bislang ca. 4.700 Unternehmen künftig 25.150 weitere Unternehmen als Betreiber kritischer Infrastruktur gelten werden.
Kommt ein Unternehmen zu dem Ergebnis, dass es als Betreiber kritischer Infrastruktur gilt, muss es sich künftig spätestens drei Monate, nachdem es erstmals oder erneut als Betreiber kritischer Infrastruktur gilt, offiziell registrieren. Daneben kommen zahlreiche weitere, teils sehr zeit- und kostenintensive Pflichten auf das Unternehmen zu. Hierzu zählen u. a. die Einrichtung von IT-Sicherheitsvorkehrungen und eines Systems zur Angriffserkennung, die Installation einer jederzeit erreichbaren Kontaktstelle sowie die Meldung von Sicherheitsvorfällen.
Die Erfüllung dieser Pflichten muss das Unternehmen regelmäßig nachweisen.
Künftig werden die Pflichten nochmals verschärft und erweitert. Zu den neuen Pflichten zählen u. a. diverse Geschäftsleiterpflichten sowie in bestimmten Fällen die Pflicht, die eigenen Kunden über einen Sicherheitsvorfall zu informieren.
Bei einem Verstoß drohen Bußgelder in bis zu zweistelliger Millionenhöhe. Zudem können die Behörden bis zur Umsetzung angeordneter Maßnahmen die Genehmigung des Unternehmens aussetzen und den Geschäftsführern ihre Tätigkeit untersagen.
Die künftigen Regelungen verschärfen nicht nur bestehende Pflichten für die Betreiber kritischer Infrastruktur. Aufgrund der massiven Ausweitung des Adressatenkreises werden sich viele Unternehmen erstmals überhaupt mit dieser Thematik beschäftigen müssen. Da die neuen Regelungen in Kürze in Kraft treten werden, ist Eile geboten.