1 minute read
Gasversorgung (EnWG
Zu Artikel 3 – Änderung des Gesetzes über die Elektrizitäts- und Gasversorgung (EnWG)
Zu § 11 Einführung der Abs. 1d, 1e und 1f
Unternehmen des KRITIS-Sektors „Energie“, die unter den Anwendungsbereich des IT-SiG 2.0 und der KRITIS-VO fallen, müssen (1d) in ihren informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der von ihnen betriebenen Energieversorgungsnetze oder Energieanlagen maßgeblich sind, in angemessener Weise Systeme zur Angriffserkennung einsetzen; (1e) für die Angriffserkennung und Angriffsnachverfolgung relevante nicht personenbezogene Daten, die beim Betrieb eines Energieversorgungsnetzes oder einer Energieanlage anfallen, mindestens vier Jahre speichern; und (1f) die Erfüllung der Anforderung nach Abs. 1d dem BSI nachweisen.
Das Vorhalten von Systemen zur Angriffserkennung ist aus Sicht des BDI eine sinnvolle Maßnahme, um die Cyberresilienz Kritischer Infrastrukturen zu stärken. Es ist jedoch zu prüfen, inwiefern die Nutzung solcher Systeme zum Verlust von Gewährleistungs- und Wartungsansprüchen führen können.
Die deutsche Industrie lehnt die Anforderung nach Abs. 1e als völlig realitätsfern ab. Betreiber Kritischer Infrastrukturen werden in § 8a Abs. 1a BSIG-E und § 11 Abs. 1d verpflichtet, Systeme zur Angriffserkennung zu installieren, um „fortwährend Bedrohungen zu identifizieren und zu vermeiden“. Es ist nicht ersichtlich, warum diese Daten für vier Jahre gespeichert werden müssen. Bei Unternehmen fallen vielfach 1TByte an Daten pro Tag an. Diese verpflichtend für vier Jahre speichern zu müssen, ist aus unternehmerischer Sicht nicht darstellbar. Zudem hätte die Umsetzung dieser Forderung auch massive ökologische Implikationen, ohne eine signifikante Stärkung der Cyberresilienz zu gewährleisten.
Die deutsche Industrie empfiehlt folgende Anpassung an § 11 Abs. 1e: „(1e) Nach Absatz 1d Verpflichtete müssen können für die Angriffserkennung und Angriffsnachverfolgung relevante nicht personenbezogene Daten, die beim Betrieb eines Energie-versorgungsnetzes oder einer Energieanlage anfallen, maximal mindestens vier Jahre speichern.“
