Berlin (energate) – Die Europäische Union muss sich eine Vision überlegen, wie sie ihre kritische Infrastruktur über Grenzen hinweg schützen kann. Das hat der geschäftsführende Vizepräsident und CTO des Kabelherstellers NKT, Anders Jensen, bei einer Tagung zum Thema Sicherheit im Energiesektor in der dänischen Botschaft in Berlin gefordert. Über Grenzen hinweg seien Bedrohungsmuster erkennbar, diese müssten jedoch sinnvoll analysiert werden.
Josche Muth, Leiter der Abteilung für Regulierungs- und Öffentlichkeitsarbeit des dänischen Energiekonzerns Ørsted, der viele Windparks betreibt, machte außerdem darauf aufmerksam, dass vieles noch nicht gesetzlich geregelt sei oder sich stark zwischen den EU-Staaten unterscheide. Mit der CER- und der NIS-2-Richtlinie hat die EU zwar Regeln aufgestellt, wie kritische Energieinfrastruktur sowohl im Bereich Cybersicherheit als auch physisch geschützt werden soll. Allerdings unterscheiden sich die Mitgliedsstaaten darin, wie sie diese Richtlinien in nationales Recht umgesetzt haben. Außerdem haben viele EU-Staaten dieses Recht noch nicht entwickelt. Dänemark etwa hat sich dazu entschieden, beide Richtlinien in einem Gesetz festzulegen. Deutschland entwickelt pro Richtlinie ein eigenes Gesetz. Das NIS-2-Umsetzungsgesetz wurde inzwischen vom Bundestag beschlossen und vom Bundesrat beraten. Ein Entwurf für das Kritis-Dachgesetz, das die CER-Richtlinie umsetzt, befindet sich im parlamentarischen Verfahren.
Unklarheit zu Meldestellen
NKT-CTO Jensen wies zudem daraufhin, dass Klarheit zu Meldestellen fehle. Die Technologie sei da, um Angriffsmuster zu erkennen. Es sei jedoch oft nicht deutlich, wem Unternehmen Informationen weitergeben sollten, wenn sich etwa ein verdächtiges Schiff einem Kabel nähere.
Auch kritische Komponenten und ausländische Direktinvestitionen waren Thema in den Diskussionen. Sirid Halager Rodbjerg, stellvertretende Bereichsleiterin in der Danish Energy Agency, erklärte, ihre Behörde prüfe solche Investitionen, stoppe sie aber eher nicht, auch wenn Abnormalitäten erkennbar seien. Allerdings werde oft als Bedingung gestellt, dass OT-Systeme, die etwa den Betrieb einer Anlage steuern, nicht mit dem Internet verbunden sein dürften.
Andreas Reisen, Referatsleiter im Bundesinnenministerium, warnte davor, auf EU-Ebene weitere Regeln festzulegen. Stattdessen müssten EU-Staaten ihre Fähigkeiten ausbauen, automatisch auf Cyberangriffe zu reagieren. Er kündigte außerdem eine Sicherheitsbewertung des deutschen Stromnetzes und kritischer Komponenten darin an. Vor Weihnachten werde die Bewertung aber eher nicht starten. /kij
