Lexipedia

AS 2024 282

Stromversorgungsverordnung (StromVV)

Präambel

Der Schweizerische Bundesrat

verordnet:

I

Die Stromversorgungsverordnung vom 14. März 20081 wird wie folgt geändert:

Art. 1 Abs. 22 Die Bestimmungen des StromVG, mit denen die Voraussetzungen für eine sichere Elektrizitätsversorgung geschaffen werden, gelten auch für das mit der Frequenz 16,7 Hz und auf der Spannungsebene 132 kV betriebene Übertragungsnetz der schweizerischen Eisenbahnen. Es gelten insbesondere die Artikel 4 Absatz 1 Buchstaben a und b, 8, 9 und 11 StromVG, nicht jedoch Artikel 8a StromVG.

Art. 5a Schutz vor Cyberbedrohungen1 Zur Sicherstellung eines angemessenen Schutzes von Anlagen vor Cyberbedrohungen, insbesondere mittels Schutz der Informations- und Kommunikationstechnologien (IKT), sind die Empfehlungen des Minimalstandards zur Verbesserung der IKT-Resilienz von Mai 20232 (IKT-Minimalstandard) gemäss dem jeweiligen Schutzniveau nach Anhang 1a verbindlich für: a. die Netzbetreiber; b. die Erzeuger, mit Ausnahme der Kernkraftwerksbetreiber, und die Speicherbetreiber, sofern sie Anlagen mit einer Leistung von insgesamt mindestens 100 MW betreiben und diese über ein einziges System steuern können; c. die Dienstleister, die dauerhaft steuern können:1. Anlagen von Netzbetreibern, oder2. Anlagen von Erzeugern, mit Ausnahme der Kernkraftwerksbetreiber, oder von Speicherbetreibern, sofern sie dadurch über ein einziges System auf eine Leistung von mindestens 100 MW Zugriff haben.2 Nicht verbindlich sind die im IKT-Minimalstandard genannten international anerkannten Standards. 3 Das Erreichen des jeweiligen Schutzniveaus ist der ElCom auf Verlangen nachzuweisen.

Art. 5abisBisheriger Art. 5a

II

1 Anhang 1 wird gemäss Beilage geändert.

2 Die Verordnung erhält neu einen Anhang 1a gemäss Beilage.

III

Diese Verordnung tritt am 1. Juli 2024 in Kraft.

31. Mai 2024

Im Namen des Schweizerischen Bundesrates

Die Bundespräsidentin: Viola Amherd
Der Bundeskanzler: Viktor Rossi

(Art. 13 Abs. 3bis)

Bestimmung des durchschnittlichen Kapitalkostensatzes

Klammerverweis bei Anhangnummer(Art. 4d Abs. 3, 13 Abs. 3bis und 18a Abs. 3)

(Art. 5a Abs. 1)

Zu erreichendes Niveau beim Schutz vor Cyberbedrohungen

1 Zuweisung zu Kategorien

Die Netzbetreiber, Erzeuger, Speicherbetreiber und Dienstleister nach Artikel 5a werden abhängig vom Umfang der transportierten Elektrizität beziehungsweise der Leistung in folgende Kategorien eingeteilt:

Kategorie A

Kategorie B

Kategorie C

  • 1.1 Netzbetreiber mit einer in ihrem Netzgebiet transportierten Elektrizität von:

≥ 450 GWh/Jahr

≥ 112 GWh/Jahr
und
< 450 GWh/Jahr

< 112 GWh/Jahr

  • 1.2 Dienstleister, die dauerhaft Anlagen von Netzbetreibern steuern können, sofern sie dadurch über ein einziges System Zugriff haben auf eine transportierte Elektrizität von:

  • 1.3 Erzeuger, mit Ausnahme der Kernkraftwerksbetreiber, und Speicherbetreiber, sofern sie Anlagen von insgesamt folgender Leistung betreiben und diese über ein einziges System steuern können:

≥ 800 MW

≥ 100 MW
und
< 800 MW

  • 1.4 Dienstleister, die dauerhaft Anlagen von Erzeugern, mit Ausnahme der Kernkraftwerksbetreiber, oder von Speicherbetreibern steuern können, sofern sie dadurch über ein einziges System Zugriff haben auf eine Leistung von:

2 Mindestwerte

Für die nachstehenden Aufgaben müssen, soweit diese anwendbar sind, mindestens die folgenden Werte gemäss Ziffer 3.1.1 des IKT-Minimalstandards3 der entsprechenden Kategorie erreicht und muss deren Erreichung auf Verlangen der ElCom nachgewiesen werden (vgl. Art. 5a Abs. 3):

Schutzniveau
für Kategorie A

Schutzniveau
für Kategorie B

Schutzniveau
für Kategorie C

  • 2.1 Identifizieren (ID = Identify)

  • 2.1.1 Inventar-Management (AM = Asset Management)

ID.AM-1

4

3

3

ID.AM-2

4

3

2

ID.AM-3

3

3

2

ID.AM-4

3

3

ID.AM-5

3

3

ID.AM-6

4

4

3

  • 2.1.2 Geschäftsumfeld (BE = Business Environment)

ID.BE-1

3

2

ID.BE-2

3

2

ID.BE-3

3

3

ID.BE-4

3

3

ID.BE-5

3

2

  • 2.1.3 Vorgaben (GV = Governance)

ID.GV-1

4

4

3

ID.GV-2

4

3

3

ID.GV-3

4

4

3

ID.GV-4

3

3

  • 2.1.4 Risikoanalyse (RA = Risk Assessment)

ID.RA-1

3

2

ID.RA-2

4

3

ID.RA-3

4

3

ID.RA-4

4

3

ID.RA-5

3

2

ID.RA-6

3

2

  • 2.1.5 Risikomanagementstrategie (RM = Risk Management Strategy)

ID.RM-1

4

2

ID.RM-2

3

3

ID.RM-3

3

3

  • 2.1.6 Lieferketten-Risikomanagement (SC = Supply Chain Riskmanagement)

ID.SC-1

3

3

ID.SC-2

3

3

ID.SC-3

3

3

3

ID.SC-4

3

2

ID.SC-5

3

2

  • 2.2 Schützen (PR = Protect)

  • 2.2.1 Zugriffsmanagement und -steuerung (AC = Access Control)

PR.AC-1

4

3

2

PR.AC-2

3

3

2

PR.AC-3

4

4

3

PR.AC-4

3

3

2

PR.AC-5

4

3

2

PR.AC-6

4

3

2

PR.AC-7

3

3

2

  • 2.2.2 Sensibilisierung und Ausbildung (AT = Awareness and Training)

PR.AT-1

4

3

3

PR.AT-2

4

3

3

PR.AT-3

3

3

PR.AT-4

4

3

3

PR.AT-5

3

3

  • 2.2.3 Datensicherheit (DS = Data Security)

PR.DS-1

3

2

PR.DS-2

4

4

2

PR.DS-3

3

3

PR.DS-4

3

2

PR.DS-5

3

2

PR.DS-6

3

2

PR.DS-7

3

2

PR.DS-8

3

2

  • 2.2.4 Informationsschutzrichtlinien (IP = Information Protection Processes and Procedures)

PR.IP-1

3

2

2

PR.IP-2

4

3

PR.IP-3

3

3

PR.IP-4

4

4

3

PR.IP-5

4

4

3

PR.IP-6

3

3

PR.IP-7

3

2

PR.IP-8

3

2

PR.IP-9

4

2

2

PR.IP-10

4

2

PR.IP-11

3

2

PR.IP-12

3

2

  • 2.2.5 Unterhalt (MA = Maintenance)

PR.MA-1

3

3

PR.MA-2

4

3

2

  • 2.2.6 Einsatz von Schutztechnologie (PT = Protective Technology)

PR.PT-1

3

2

PR.PT-2

4

4

3

PR.PT-3

4

3

PR.PT-4

4

3

3

PR.PT-5

3

2

  • 2.3 Erkennen (DE = Detect)

  • 2.3.1 Auffälligkeiten und Vorfälle (AE = Anomalies and Events)

DE.AE-1

3

2

DE.AE-2

3

2

DE.AE-3

3

2

DE.AE-4

3

2

DE.AE-5

3

2

  • 2.3.2 Überwachung (CM = Security Continous Monitoring)

DE.CM-1

3

3

2

DE.CM-2

3

3

2

DE.CM-3

3

2

DE.CM-4

3

3

2

DE.CM-5

3

3

2

DE.CM-6

3

2

DE.CM-7

3

2

2

DE.CM-8

3

2

  • 2.3.3 Detektionsprozess (DP = Detection Processes)

DE.DP-1

4

4

2

DE.DP-2

3

2

DE.DP-3

3

3

DE.DP-4

3

2

DE.DP-5

3

2

  • 2.4 Reagieren (RS = Respond)

  • 2.4.1 Reaktionsplanung (RP = Response Planning)

RS.RP-1

3

3

2

  • 2.4.2 Kommunikation (CO = Communications)

RS.CO-1

3

3

2

RS.CO-2

4

4

2

RS.CO-3

3

2

RS.CO-4

3

2

RS.CO-5

3

2

  • 2.4.3 Analyse (AN = Analysis)

RS.AN-1

3

3

RS.AN-2

3

3

RS.AN-3

2

2

RS.AN-4

2

2

RS.AN-5

2

2

  • 2.4.4 Schadensminderung (MI = Mitigation)

RS.MI-1

3

3

2

RS.MI-2

3

2

2

RS.MI-3

3

2

2

  • 2.4.5 Verbesserungen (IM = Improvements)

RS.IM-1

3

3

RS.IM-2

3

3

  • 2.5 Wiederherstellen (RC = Recover)

  • 2.5.1 Wiederherstellungsplanung (RP = Recovery Planning)

RC.RP-1

3

3

2

  • 2.5.2 Verbesserungen (IM = Improvements)

RC.IM-1

3

2

RC.IM-2

3

2

  • 2.5.3 Kommunikation (CO = Communications)

RC.CO-1

2

1

RC.CO-2

2

1

RC.CO-3

2

1