OLG Düsseldorf Beschluss vom 19.07.2017 - VI-3 Kart 109/16 [V]

Leitsatz (amtlich)

1. Es ist nicht ermessensfehlerhaft, dass der am 12.08.2015 auf der Internetseite der Bundesnetzagentur veröffentlichte "IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz" alle Energieversorgungsnetzbetreiber ungeachtet der Größe und der Sicherheitsrelevanz des betroffenen Verteilernetzes erfasst. Der IT-Sicherheitskatalog ist nach dem Gesetzeswortlaut unterschiedslos an sämtliche Netzbetreiber zu adressieren. Etwas anderes ergibt sich auch nicht unter Berücksichtigung der Vorschriften des § 11 Abs. 1b, Abs. 1c EnWG bzw. des BSI-Gesetzes i.V.m. mit der BSI-KritisV.

2. Eine Differenzierung zwischen einzelnen Energieversorgungsnetzbetreibern nach ihrer Größe oder der Systemrelevanz der Netze ist auch nicht durch den Gleichheitsgrundsatz des Art. 3 Abs. 1 GG geboten. Betreiber von Energieversorgungsnetzen sind wegen ihrer versorgungstechnischen Sonderstellung nicht mit den Betreibern von Energieanlagen oder Anlagen aus sonstigen Sektoren vergleichbar.

Normenkette

EnWG § 11 Abs. 1a, 1b, 1c

Tenor

Die Beschwerde der Betroffenen gegen den Beschluss der Bundesnetzagentur "IT-Sicherheitskatalog gemäß § 11 Abs. 1a Energiewirtschaftsgesetz", veröffentlicht am 12.08.2015, wird zurückgewiesen.

Die Kosten des Beschwerdeverfahrens einschließlich der notwendigen Auslagen der Bundesnetzagentur trägt die Betroffene.

Der Wert des Beschwerdeverfahrens wird auf insgesamt bis zu ... EUR festgesetzt.

Die Rechtsbeschwerde wird zugelassen.

Gründe

A. Die Betroffene betreibt in ... Energieversorgungsnetze der allgemeinen Versorgung. Ihr Netzgebiet versorgt etwa ... Einwohner mit Strom, Gas und Fernwärme. Das von ihr betriebene Elektrizitätsverteilernetz in Mittel- und Niederspannung hat knapp ... Netzanschlüsse, das Gasverteilernetz rund ... Netzanschlüsse. Die jährlich aus dem Elektrizitätsverteilernetz der Betroffenen entnommene Strommenge liegt bei insgesamt rund ... GWh, die aus dem Gasverteilernetz entnommene Gasmenge bei ca. ... GWh. Sowohl im Gas- als auch im Elektrizitätsverteilernetz der Betroffenen werden mit Ausnahme eines von zwei genutzten Umspannwerken, das zwischenzeitlich auf IT-gestützte Leittechnik fernschaltbar ist, Leitsysteme zur Übermittlung von Informationen, nicht aber zur Steuerung von Einrichtung eingesetzt. Im Fernwärmenetz werden keine Daten übertragen, in den im Netz der Betroffenen angeschlossenen Blockheizkraftwerken wird die wärmeseitige Produktion digital überwacht; auch die Maschineneinsatzsteuerung erfolgt IT-basiert.

Nachdem sie Ende 2013 einen Entwurf mit Gelegenheit zur Stellungnahme veröffentlicht hatte, veröffentlichte die Bundesnetzagentur am 12.08.2015 auf ihrer Internetseite den hier streitgegenständlichen "IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz", wegen dessen Einzelheiten auf die Anlage BF 1 Bezug genommen wird. Damit bestimmt die Bundesnetzagentur die Anforderungen an den sicheren Betrieb eines Energieversorgungsnetzes im Hinblick auf Bedrohungen für TK- und EDV-Systeme i.S.d. § 11 Abs. 1a S. 1 EnWG. Die Anforderungen sind unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden von allen Netzbetreibern zu erfüllen, soweit diese über Systeme verfügen, die in den Anwendungsbereich des Sicherheitskatalogs fallen. Hierzu zählen TK- und EDV-Systeme, die direkt Teil der Netzsteuerung sind oder zwar nicht direkt Teil der Netzsteuerung sind, deren Ausfall jedoch die Sicherheit des Netzbetriebs gefährden könnte, z.B. Messeinrichtung an Trafo- oder Netzkoppelstationen.

Kernforderung des IT-Katalogs ist die Einführung eines Informationssicherheits-Managementsystems (im Folgenden: ISMS) gemäß der Norm DIN ISO/IEC 27001 (in der aktuellen Fassung 2015-03 vorgelegt als Anlage BF 3), die Leitlinien und allgemeine Prinzipien für die Initiierung, Umsetzung, den Betrieb und die Verbesserung des ISMS enthält, sowie dessen erstmalige Zertifizierung bis zum 31.01.2018 und eine in 3-Jahres-Zyklen erfolgende erneute Zertifizierung jeweils durch eine unabhängige, hierfür zugelassene Stelle vorsieht. Ergänzend verweist der IT-Sicherheitskatalog auf die Norm DIN ISO/IEB 27002 (Anlage BF 4), die Umsetzungsempfehlungen für die verbindlichen Maßnahmen des Anhangs A der DIN ISO/IEC 27011 umfasst, sowie auf die Norm DIN ISO/IEC TR 27019 (Anlage BF 5), die diese in verschiedenen Punkten um Besonderheiten im Bereich der Prozesssteuerung der Energieversorgung erweitert. Innerhalb diesen Rahmens hat der Netzbetreiber zunächst eine Übersicht über die vom Geltungsbereich des IT-Sicherheitskatalogs betroffenen Anwendungen, Systeme und Komponenten mit den anzutreffenden Haupttechnologien und deren Verbindungen zu erstellen, und zwar nach den Technologiekategorien "Leitsystem/Sytembetrieb", "Übertragungstechnik/Kommunikation" und "Sekundär-/Automatisierungs- und Fernwirktechnik", die in einem sog. Netzstrukturplan darzustellen sind (IT-Sicherheitskatalog, S. 10 f., E.IV.). Sodann muss der Betreiber einen Prozess der Risikoeinschätzung der Systemsicherheit festle...