Lexipedia

Verordnungsänderungen im Bereich des Bundesamts für Energie (BFE) mit Inkrafttreten am 1. Januar 2024

Eidgenössisches Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK

April 2023

Revision vom November 2023 der Rohrleitungssi- cherheitsverordnung

1. Ausgangslage

Die Informations- und Kommunikationstechnologien (IKT) unterstützen die Entwicklung einer flexiblen und effizienten Energieversorgung. Dazu werden sie zunehmend für die Überwachung und Steuerung in Energieversorgungsnetzen genutzt. Zwar tragen sie dadurch zu Optimierungen bei, vergrössern aber auch die Angriffsfläche für Cyberkriminelle und stellen somit neue Risikoquellen dar. Die Sicherheit der Energieversorgung ist von strategischer Bedeutung. Ihr sicherer Betrieb gewährleis- tet den Schutz wichtiger Rechtsgüter. Die Abhängigkeit unseres sozioökonomischen Systems von Energiequellen ist so gross, dass ein schwerwiegender Ausfall verheerende Folgen hätte. Die Bedro- hung der Energienetze durch einen Cyberangriff ist heute sehr realistisch. Die Nationale Strategie zum Schutz kritischer Infrastrukturen (SKI) 2018-20221 und die Nationale Stra- tegie zum Schutz der Schweiz vor Cyber-Risiken (NCS) 2018-20222 halten entsprechende Massnah- men fest, um die allgemeine Widerstandsfähigkeit kritischer Infrastrukturen zu erhöhen. Die NCS3 sieht dazu die Erarbeitung und Einführung von freiwilligen Mindeststandards der IKT-Sicherheit vor, was mit dem sogenannten IKT-Minimalstandard4 entsprechend umgesetzt worden ist. Dieser Stan- dard legt eine Reihe von Massnahmen fest und stellt ein wichtiges Hilfsmittel zur Sicherstellung des Schutzes gegen Cyberangriffe dar. Gestützt darauf hat die Branche Empfehlungen5 ausgearbeitet, die erstmalig die notwendigen Grundlagen für die Cybersicherheit im Gasversorgungssystem geschaffen haben. Diese sogenannten Branchenstandards sind indes grundsätzlich freiwillig und werden noch nicht systematisch angewendet. Aufgrund der steigenden Bedrohungslage6 ist es daher zwingend not- wendig, mittelfristig solche Empfehlungen für diejenigen Unternehmen verbindlich zu erklären, deren Ausfall die schwerwiegendsten Folgen hätte. Damit die Empfehlungen für verbindlich erklärt werden können, müssen sie präzise und klar genug formuliert sein. Hierfür bedarf es einer zielgerichteten und raschen Überarbeitung der bestehenden Grundlagen sowie klaren Verantwortungen.

2. Grundzüge der Vorlage

Schon heute sieht Artikel 39 Absatz 3 der Rohrleitungssicherheitsverordnung vom 4. Juni 2021 (RLSV; SR 746.12) vor, dass die Betreiber ihre Einrichtungen vor störender äusserer Beeinflussung – und damit auch vor Cyberbedrohungen – zu schützen haben. Mit dem vorliegend neu eingeführten Artikel 39a wird die Pflicht zum Schutz vor Cyberbedrohungen einer spezifischen Regelung zugeführt und ein entsprechendes Verfahren zur Erarbeitung der dazu notwendigen Massnahmen festgelegt. Die Vorgabe adressiert aufgrund der technischen Vernetzung der IKT-Systeme und der damit verbun- denen Risiken alle Betreiber, das heisst auch solche von Infrastrukturen mit einem Druck von 5 bar oder weniger (Art. 1 Abs. 2). Der Bundesrat klärt damit die Verantwortung zum Schutz vor Cyberbedrohungen. Im Hinblick auf ei- nen für die Zukunft angestrebten direkt-verbindlichen Verweis auf die Branchenstandards, ist es not- wendig, diese zielgerichtet und unter Einbezug des Bundesamtes für Energie (BFE) zu überarbeiten respektive neu auszuarbeiten. Die vorliegende Regelung überträgt diese Aufgabe den Betreibern. Die dabei zu erarbeitenden Vorgaben sollten auf dem IKT-Minimalstandard des Bundesamts für wirt- schaftliche Landesversorgung (BWL) sowie den bestehenden Branchenrichtlinien fussen. Sie sollten

1 BBl 2018 503

https://www.ncsc.admin.ch/dam/ncsc/de/dokumente/strategie/Nationale_Strategie_Schutz_Schweiz_vor_Cyber-Risi- ken_NCS_2018-22_DE.pdf.download.pdf/Nationale_Strategie_Schutz_Schweiz_vor_Cyber-Risiken_NCS_2018-22_DE.pdf Massnahme 8, Standardisierung und Regulierung, NCS 2018-2022, S.11 Bundesamt für wirtschaftliche Landesversorgung BWL; «Minimalstandard zur Verbesserung der IKT-Resilienz», Bern, 2018 (zurzeit in Überarbeitung) G1008 Empfehlung, Minimalstandard für die Sicherheit der Informations- und Kommunikationstechnologie (IKT) in der Gasver- sorgung, Ausgabe Dezember 2020 NCS 2018-2022, S. 2

die betrieblichen und technischen Anforderungen präzisieren und dabei nach aktuellem Kenntnisstand folgende Rahmenbedingungen berücksichtigen: 1. Festlegung von unterschiedlichen Schutzprofilen. Jedes Schutzprofil umfasst technische und organisatorische Massnahmen auf einem unterschiedlichen Schutzniveau (bspw. Schutzpro- fil A für hohe Anforderungen, Schutzprofil B für mittlere Anforderungen und Schutzprofil C für niedrige Anforderungen). 2. Kriterien für die Zuordnung eines Betreibers zum entsprechenden Schutzprofil. Oft werden diese Kriterien, welche es erlauben die Betreiber entsprechend ihrer Kritikalität zu gruppieren, als «Unternehmensprofile» bezeichnet. 3. Präzisierung einzelner Anforderungen aus den bestehenden Standards. Eine mit der Branche durchgeführte Analyse hat gezeigt, dass einige der in dem IKT-Minimalstandard beziehungs- weise in der Branchenrichtlinie aufgeführten Anforderungen präzisiert werden müssen. Die Branche muss bei der Erarbeitung der vorgenannten Punkte das BFE als Aufsichtsbehörde bezie- hungsweise Oberaufsichtsbehörde für Rohrleitungsanlagen eng einbeziehen. Das BFE stellt die Koor- dination mit den relevanten Stellen der zentralen Bundesverwaltung (BWL, Bundesamt für Bevölke- rungsschutz, Nationales Zentrum für Cybersicherheit [NCSC]) und dem Eidgenössischen Rohrlei- tungsinspektorat sicher.

3. Finanzielle, personelle und weitere Auswirkungen auf

Bund, Kantone und Gemeinden Zur Umsetzung der angestrebten Änderungen fallen bei Bund, Kantonen und Gemeinden keine nen- nenswerten personellen oder finanziellen Kosten an. Die vorliegende Anpassung führt nur zu einer moderaten Erweiterung des Pflichtenhefts des BFE, welche mit den bestehenden personellen und fi- nanziellen Ressourcen abgedeckt werden kann. Der Revisionsentwurf zielt darauf ab, das Cybersicherheitsniveau der Rohrleitungsanlagen zu erhö- hen. Das bietet mittel- und langfristig einen besseren Schutz vor Cyberbedrohungen, wovon letztlich Bund, Kantone und die Gemeinden profitieren. Ausfälle aufgrund von Cyberangriffen wären mit weitre- chenden Kostenfolgen verbunden.

4. Auswirkungen auf Wirtschaft, Umwelt und Gesellschaft

Die wirtschaftlichen, ökologischen und sozialen Folgen eines Cyberangriffs können für das Land und die Gesellschaft sehr schwerwiegend sein. Ein Cyberangriff kann gravierende Konsequenzen haben, wie der Vorfall der Colonial Pipeline7 in den USA zeigte. So können die durch einen Ransomware-An- griff verursachten Kosten (Lösegeld, Datenverlust, Zeit für die Wiederherstellung des Betriebs usw.) die Kosten für die Sicherung der Infrastruktur eines Unternehmens übersteigen. Die durch ein entspre- chendes Cyberschutzniveau vermiedenen Kosten und damit der Nutzen der angestrebten Revision sind also entsprechend hoch. Die Umsetzung von Cybermassnahmen sind für die Unternehmen mit gewissen personellen und fi- nanziellen Kosten verbunden. Da bereits nach bestehender Regelung entsprechende Vorkehrungen zu treffen waren, sollten sich indes keine nennenswerten Mehraufwände ergeben. Mit wesentlichen Auswirkungen haben nur Unternehmen zu rechnen, die entgegen den bestehenden Vorgaben in die- sem Bereich bisher untätig waren. Risikobewusste Unternehmen, die angesichts der aktuellen Bedro- hungen bereits Sicherheitsmassnahmen entlang der Branchenrichtlinie implementiert haben, werden kaum oder keine Mehrkosten zu tragen haben.

https://www.energy.gov/ceser/colonial-pipeline-cyber-incident

5. Verhältnis zum europäischen Recht

Die EU ist bestrebt, die Cybersicherheit in ihrem gesamten Gebiet zu verbessern und die Resilienz ihrer kritischen Infrastrukturen zu erhöhen. In diesem Zusammenhang zu berücksichtigen ist insbeson- dere die sogenannte NIS-Richtlinie8 respektive deren Nachfolgeregelung, die NIS-2-Richtlinie9. Die EU sieht darin namentlich vor, dass die Mitgliedstaaten Massnahmen zum Schutz bedeutender Energie- unternehmen vorzusehen haben10. Die allgemeinen Sicherheitsanforderungen sind mit der NIS-2- Richtlinie gestiegen. Die vorliegende Regelung verbessert die Cybersicherheit im Sektor der rohrleitungsgebundenen Ener- gien und sieht hierzu die Erarbeitung entsprechender Schutzmassnahmen vor. Sie steht damit im Ein- klang mit den erwähnten Vorgaben der EU. Die bisherigen Arbeiten zu den Branchenstandards orien- tieren sich an internationalen Standards.

6. Erläuterungen zu den einzelnen Bestimmungen

Art. 39a Schutz vor Cyberbedrohungen Absatz 1: Die von den Betreibern zu treffenden Massnahmen sollen Funktionsstörungen der entspre- chenden Anlagen verhindern oder gegebenenfalls möglichst rasch beheben. Die Massnahmen sind sowohl organisatorischer (bspw. Inventarisierungsprozesse, Regelung von Zuständigkeiten, Sensibili- sierungen) wie auch technischer Natur (bspw. Backups, Einsatz von Schutztechnologie). Absatz 2 beauftragt die Betreiber, Richtlinien mit Massnahmen zum Schutz vor Cyberbedrohungen zu erarbeiten. Die Betreiber können sich hierzu im Rahmen der bestehenden Verbandsstrukturen (SVGW, VSG) entsprechend organisieren. Die bisherigen Arbeiten, die sich auf den IKT-Minimalstan- dard des BWL stützen, sollen in diesem Rahmen fortgeführt und präzisiert werden. Mit der vorgegebe- nen Konsultation wird die Einbindung aller interessierten Akteure gewährleistet. Neben den in der Be- stimmung erwähnten Stellen ist insbesondere an das NCSC, das BWL und die Verbraucher zu den- ken. Die Durchführung der Konsultation ist in der Verantwortung der Betreiber. Absatz 3: Die Vorgabe, wonach die Richtlinien über eine frei zugängliche Adresse im Internet zu veröf- fentlichen sind soll sicherstellen, dass der der Zugang zum entsprechenden Dokument nicht durch Lo- gins oder dergleichen erschwert wird. Nach der Fertigstellung und der Publikation der Richtlinien durch die Betreiber wird das UVEK prüfen, ob sich diese dazu eignen, mit einem direkten Verweis in das Verordnungsrecht überführt zu werden (vgl. Art. 3 Abs. 2 und 3 RLSV). Die Betreiber haben inso- fern einen Anreiz zur Ausarbeitung einer möglichst sachgerechten Lösung (sog. gesteuerte Selbstre- gulierung).

Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Massnahmen zur Gewährleis- tung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194 vom 19.7.2016, S. 1–30 Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Massnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie; noch nicht in Kraft) Siehe insbesondere Artikel 21 Absatz 1 und Anhang I NIS-2-Richtlinie.