Europäischer Energiesektor bereitet sich auf Cyberangriffe vor

Einem aktuellen Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zufolge, ist die Gefährdungslage im Cyberraum so hoch wie nie. Der Energiesektor gilt dabei als besonders anfällig, denn einige Energiesysteme müssen so schnell reagieren, dass Standard-Sicherheitsmaßnahmen aufgrund der damit verbundenen Verzögerung schlicht nicht eingeführt werden können. Außerdem wurde die Infrastruktur oft lange vor der Zeit von Cyberbedrohungen errichtet und muss nun entsprechend umgerüstet werden. Auch sind die Energienetze in Europa – und weit darüber hinaus – derart miteinander verbunden, dass der Ausfall eines einzelnen Betriebs Ausfälle in der gesamten EU auslösen kann, was den Energiesektor besonders vulnerabel und attraktiv für Cyberanschläge macht.

Laut EU-Kommissar Thierry Breton waren allein im Jahr 2023 mehr als 200 gemeldete Cybervorfälle gegen den Energiesektor gerichtet, und mehr als die Hälfte davon speziell gegen Anlagen in der EU.

In der vergangenen Woche wurde daher eine Übung durchgeführt, die den europäischen Energiesektor auf Cyberangriffe vorbereiten und seine Resilienz testen sollte. Bei der Übung wurden die Koordinierungs- und Kooperationsfähigkeiten sowie die Fähigkeiten zum Krisenmanagement getestet, um die Widerstandsfähigkeit des Sektors zu bewerten. Im Anschluss an die Übung soll ein Analysebericht veröffentlicht werden.

„Cybersicherheit ist für verschiedene regulierte Industrien besonders wichtig“, so Florian Elsinghorst, Experte für regulierte Industrien bei Pinsent Masons. „Während naheliegt, dass beispielsweise für den Finanz- und Versicherungssektor Cybersicherheit eine wichtige Rolle spielt, ist die Relevanz für den Energiesektor am greifbarsten – jeder hat von den Horrorszenarien rund um Blackouts gehört und gelesen. Das engagierte und systematische Vorgehen auf EU-Ebene ist zu begrüßen.“

An der europaweiten Übung nahmen 30 nationale Cybersicherheitsbehörden, eine Reihe von EU-Agenturen, -Einrichtungen und -Netzen sowie die EU-Kommission mit über tausend Experten teil. 

„Die Übung ist auch vor dem Hintergrund der NIS-2-Richtlinie der EU zu sehen, die bis zum Herbst diesen Jahres in nationales Recht der Mitgliedstaaten umgesetzt werden muss“, erläutert Daniel Widmann, Experte für Cybersicherheit bei Pinsent Masons. Aktuell gibt es laut BSI 295 Unternehmen, die im Energiesektor als kritische Infrastruktur gelten. Für diese 295 Unternehmen gelten bereits jetzt verpflichtende IT-Sicherheitsgesetze. Durch die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS-2-Richtlinie) werden in Kürze noch zusätzliche Cybersicherheitsstandards hinzukommen, die dann die meisten Energieversorger und Netzbetreiber in Deutschland einhalten müssen: „Die ab Oktober 2024 geltende NIS-2-Richtlinie wird auf alle Unternehmen anwendbar sein, die mehr als 50 Mitarbeiterinnen oder Mitarbeiter haben oder mehr als zehn Millionen Euro Jahresumsatz machen. Das wird wahrscheinlich auf die meisten der aktuell circa 28.000 Energieversorger in Deutschland zutreffen“, so Widmann.

Die von der NIS-2-Richtlinie erfassten Unternehmen werden dazu verpflichtet, technische, operative und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Netz- und IT-Systeme auch im Fall eines Cyberangriffs zu gewährleisten. Die Richtlinie gibt zudem konkrete Maßnahmen vor. So muss unter anderem ein Risikokonzept erstellt werden, Maßnahmen für den Fall eines Angriffs müssen festgelegt werden, sowie Maßnahmen zur Sicherung der Lieferketten und der Betriebskontinuität. Auch müssen „erhebliche Sicherheitsvorfälle“ binnen 24 Stunden an die Behörden gemeldet werden.

„Ein erheblicher Sicherheitsvorfall soll nach der NIS-2-Richtlinie bereits dann vorliegen, wenn ein Sicherheitsvorfall finanzielle Verluste für die betreffende Einrichtung verursachen kann. Nach dieser Definition wird unter der NIS-2 wohl jeder Sicherheitsvorfall meldepflichtig, da Cyberangriffe für die betroffenen Unternehmen in der Regel mit hohen finanziellen Schäden verbunden sein können“, so Widmann. 

Zudem sollen Geschäftsführer nach der NIS-2-Richtlinie die von den betroffenen Unternehmen ergriffenen Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen. Bei Verstößen droht eine Haftung der Geschäftsleitung.

Darüber hinaus können bei Verstößen gegen die Vorschriften der NIS-2-Richtlinie Bußgelder von bis zu zehn Millionen Euro beziehungsweise zwei Prozent des weltweiten Umsatzes aus dem vorausgegangenen Geschäftsjahr verhängt werden.