Schließen

    Wünschen Sie nähere Informationen?

    Digitalhappen

    Regulierung in der Energiebranche: Gesetzlicher Rahmen & Anforderungen

    Home Blog Energie

    Am 19. Dezember 2021 feiert die Regulierung der Energiebranche ihren 25. Geburtstag. Sie ist seither gehörig gewachsen – von der Öffnung, Entflechtung und Europäisierung des Energiemarktes bis hin zu Schutzvorgaben für kritische Infrastrukturen. Robert Moll gibt einen Überblick über die resultierenden Anforderungen an Energieunternehmen.

    Energiewirtschaftsgesetz & Regulierungen der Energiewirtschaft: Wie alles begann

    Beginnen wir mit einem Blick in die Geschichte: Als 1935 in Deutschland das erste Energiewirtschaftsgesetz in Kraft trat, war die Energieversorgung durch regionale Monopolisierung geprägt. Ohne jede Konkurrenz übernahmen Versorger in ihren Gebieten Energieerzeugung, Vertrieb sowie Netzbetrieb. Im Wesentlichen blieb das so, bis die EU 1996 und 1998 mit den Binnenmarktrichtlinien 96/92/EG und 98/30/EG die Liberalisierung und Entflechtung der europäischen Strom- und Gasnetze startete. Seitdem werden die Wertschöpfungsstufen der Energieversorgung differenziert geregelt – der Netzbetrieb gilt weiterhin als natürliches Monopol, während Erzeugung, Handel und Vertrieb von Energie für den Wettbewerb geöffnet wurden.

    Gesetzliche Grundlagen der Marktregulierung

    In Deutschland wurden die EU-Regulierungsvorgaben für den Strommarkt 1998 mit dem neuen Energiewirtschaftsgesetz (EnWG) „Gesetz über die Elektrizitäts- und Gasversorgung“ und für den Gasmarkt 2003 mit der ersten EnWG Novelle in nationales Recht umgesetzt. Zuständige Regulierungsbehörde ist seit 2005 die Bundesnetzagentur (BNetzA).

    Neben dem mehrfach aktualisierten EnWG gelten diverse ergänzende Gesetze und Verordnungen, darunter:

    • Zugangs- und Entgeltverordnungen für Strom- und Gasnetze (Strom-/GasNZV, -NEV)
    • Erneuerbare-Energien-Gesetz (EEG) mit Umsetzungsverordnung 2021
    • Kraft-Wärme-Kopplungsgesetz (KWGG)
    • Messstellenbetriebsgesetz (MsbG)
    • Anreizregulierungsverordnung (ARegV)
    • Anschlussverordnungen (Niederspannung NAV, Niederdruck NDAV)
    • Grundversorgungsverordnungen (StromGVV, GasGVV)
    • Atomgesetz

    Für die Umsetzung von Datenschutz und Datensicherheit gilt neben der europäischen Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) vor allem das MsbG.

    Regulatorische Anforderungen an Energieunternehmen

    Die regulatorischen Anforderungen aus den genannten Vorgaben sind vielfältig. Um den Wettbewerb zu fördern, werden große vertikal integrierte Energieunternehmen (also solche, die sowohl Netzbetreiber als auch Energieversorger sind) dazu verpflichtet, ihren Netzbetrieb buchhalterisch, informationell und organisatorisch von ihren anderen Geschäftsprozessen abzutrennen (sog. „Unbundling“). Für die effiziente und diskriminierungsfreie Zusammenarbeit der Marktpartner wurden Regelungen für die „Marktkommunikation“ mit standardisierten Geschäftsprozessen und verbindlichen Datenformaten (EDIFACT) geschaffen. Hierfür gibt es eine Vielzahl von Regelwerken z. B. zu Lieferantenwechsel (GPKE), Messwesen (WiM) oder Bilanzkreisabrechnung (MaBiS), die kontinuierlich überarbeitet werden, um mit den Entwicklungen am Markt Schritt zu halten. Seit Ende 2019 gelten auch die neuen Regeln der MaKo 2020 zur Verteilung von Smart-Metering-Messwerten gemäß § 60 Messstellenbetriebsgesetz (MsbG). Hinzu kommen ebenso Registrierungs-, Veröffentlichungs- und Meldepflichten (REMIT, EMIR) und ab Oktober 2021 umfangreiche Datenaustauschvorgaben der Netzbetreiber für „Redispatch 2.0“. Zudem müssen Energieversorger ihren Kunden diverse Informationen liefern können (zum Beispiel zum sog. „Strommix“, also dem Verhältnis der eingesetzten Stromerzeugungstechnologien und dem Anteil an erneuerbaren Erzeugungsquellen) und auch lastvariable oder tageszeitabhängige Tarife anbieten.

    Rahmenbedingungen für die Nutzung intelligenter Messeinrichtungen (sog. „Smart Metering“) regelt das MsbG. Dabei werden Datenschutz und IT-Sicherheit besondere Bedeutung beigemessen. Das umfasst Anforderungen an die Smart-Metering-Infrastruktur (§§ 19-24 MsbG), an den Messstellenbetreiber, von dem u. a. ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO/IEC 27001 verlangt wird (§ 25 MsbG), und an die Gestaltung der Datenkommunikation und -verarbeitung einschließlich Anonymisierung bzw. Pseudonymisierung und Löschung personenbezogener Daten (Teil 3, §§ 49 ff. MsbG). Mehr Details und wie die Regelungen in IT-Lösungen übersetzt werden können, erklären wir Ihnen gern in einem Beratungsgespräch.

    Energieanlagen als kritische Infrastrukturen

    Energieunternehmen unterliegen aber nicht nur der Marktregulierung, sie gelten bei „bedeutendem Versorgungsgrad“ auch als kritische Infrastrukturen (KRITIS). Als solche müssen sie ebenfalls eine Vielzahl von gesetzlichen Anforderungen erfüllen, insbesondere in Bezug auf IT-Sicherheit.

    Die Pflichten von Betreibern kritischer Infrastrukturen sind im „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSIG) geregelt. Die einschlägigen Bestimmungen in §§ 8a-c gelten allerdings nicht für Betreiber von Energieanlagen; ihre Pflichten finden sich direkt im Energiewirtschaftsgesetz. Nach § 11 (1b) EnWG sind Betreiber verpflichtet, einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. Dafür definiert die BNetzA gemeinsam mit dem BSI Mindeststandards, die in IT-Sicherheitskatalogen für Netze und Energieanlagen beschrieben sind.

    Die Betreiber von Energieanlagen müssen diese Standards umsetzen, dies dokumentieren und ab Mai 2023 alle zwei Jahre gegenüber dem BSI nachweisen. Ab dann sollen sie, soweit angemessen, auch Systeme zur Angriffserkennung und bestenfalls auch -vermeidung nach dem Stand der Technik einsetzen. Erhebliche Störungen ihrer IT-Systeme müssen sie unverzüglich dem BSI melden.

    Die umzusetzenden Sicherheitsstandards sollen jeweils dem Stand der Technik entsprechen. Was das bedeutet, können Betreiber oder ihre Verbände in „branchenspezifischen Sicherheitsstandards“ (B3S) festlegen, für die auch Audits durchgeführt werden können. Für Betreiber von Energieanlagen übernehmen die IT-Sicherheitskataloge der BNetzA die Rolle der B3S. Der Bundesverband der Energie- und Wasserwirtschaft (BDEW) hat darüber hinaus zwei B3S für Aggregatoren bzw. virtuelle Kraftwerke (die ab einer Netto-Nennleistung von mehr als 420 MW zu den KRITIS zählen) sowie für Fernwärmenetze entwickelt.

    Schlussfolgerungen für die IT

    Die Anforderungen an Energieunternehmen sind nicht nur extrem vielfältig, sondern auch volatil – sprich: Regelmäßige gesetzliche Änderungen wie die EnWG-Novelle 2021 sind integraler Bestandteil des Wirtschaftens im Energiesektor. Die Energiebranche muss sich auf immer neue Regelungen aus Brüssel und Berlin einstellen, aktuell beispielsweise die geplante Überarbeitung der Gasbinnenmarkt-Richtlinie. Aus Sicht der BNetzA stellt insbesondere die Digitalisierung alle Netzsektoren vor neue regulatorische Herausforderungen, zum Beispiel in Bezug auf Datenschutz, IT-Sicherheit und Interoperabilität. Ihre Position dazu stellt die BNetzA in zwei Grundsatzpapieren zu „digitaler Transformation (2017) und zu „Daten als Wettbewerbs- und Wertschöpfungsfaktor in den Netzsektoren“ (2018) dar.

    Aber auch Gerichtsurteile zu bestehenden Regelungen sorgen für Unsicherheit. So hat im September 2021 der Europäische Gerichtshof (EuGH) einer Klage der EU-Kommission gegen Deutschland stattgegeben, nach der die Bundesrepublik Teile des dritten EU-Energiebinnenmarktpaketes 2009 nicht ordnungsgemäß umgesetzt habe. Insbesondere verstoße das deutsche EnWG mit ARegV, StromNEV und GasNEV gegen die geforderte Unabhängigkeit der nationalen Regulierungsbehörden und gebe der Bundesnetzagentur zu wenig Handlungsspielraum. Experten beklagen allerdings, dass die EU-Vorgaben zu wenig konkret seien, um nationale Regelungskompetenzen klar ableiten zu können.

    Was bedeuten solche Entwicklungen nun für die IT? Eines scheint sicher: Um immer weitere steigendem Marktdruck und regulatorischer Dynamik entgegnen zu können, benötigen Energieunternehmen vor allem flexible und sichere IT-Systeme, mit denen sie geforderte Prozesse ohne großen Aufwand abbilden, agil handeln und die Chancen der Digitalisierung nutzen können. Mehr Informationen und Strategien zum Umgang in diesem hochdynamischen Umfeld erhalten Sie auf unserer Webseite zu den Anforderungen an die IT von Energieunternehmen oder im persönlichen Beratungsgespräch.Jetzt beraten lassen »

    Allein auf der Überholspur – unter dem Radar auf der E-World

    Feb 20, 2020 12:08:46 PM Die E-World 2020 und die Zeit danach: Warum Energiewende mehr bedeutet als das Schaffen von smarten Insellösungen. Wir bringen die Datenwende ins Spiel – mit Monetarisierungspotenzial für ...

    Digitale Reife – ein Gradmesser für die Zukunft?

    Feb 10, 2017 9:00:00 AM Kennen Sie den Begriff der Digitalen Reife? Sie ist das Ziel des Digitalen Wandels, den wir heute privat wie in Unternehmen erleben. Und sie ist der Schlüssel für zukünftigen Erfolg.

    Mergers & Acquisitions: Die IT, Stiefkind der Unternehmensfusionen

    Oct 4, 2017 12:00:00 PM Unternehmensaufkäufe und Fusionen sind schmerzhaft. Denn die Zusammenführung mehrerer Unternehmensstrukturen und -kulturen auf allen Ebenen ist ein Wandlungsprozess für alle Seiten. Insbesondere der ...

    Oh Du schlecht designte! Warum Weihnachten die UI-Hölle ist – aber gleichzeitig der UX-Himmel

    Dec 27, 2019 12:26:00 PM Wir haben Weihnachten aus Design-Perspektive durchleuchtet. Ein Desaster in Sachen Usability! Und dennoch ein Paradebeispiel für gelungene User Experience.

    Arbeit in der Sharing Economy: Mit Vollgas in den Ausbildungs-Kollaps

    May 24, 2017 4:09:54 PM Wir sind nicht gerüstet für die digitalisierte Gesellschaft. Denn es fehlt an gut ausgebildetem Personal – bereits heute. Drei Thesen zur Zukunft der Ausbildung und Arbeit in der Sharing Economy.

    MaRisk-Novelle: Stabilere Banken dank IT-Fokus

    Feb 15, 2018 11:28:00 AM Die Novelle der "Mindestanforderungen an das Risikomanagement" (MaRisk) für Finanzinstitute rückt IT-Risiken, Auslagerungen und Datenmanagement ins Blickfeld der Bankenaufsicht. Der Fokus auf IT ...

    Holacracy: „Eine Inspirationsquelle, jedoch kein Heilsbringer“

    Aug 7, 2018 9:07:41 AM Holacracy – ein Betriebssystem für Unternehmen zur Organisation von Arbeit und Führung – wird entweder verteufelt oder in den Himmel gelobt. Bisher fehlt eine differenzierte Bewertung. Sabri Eryiǧit, ...

    Urban Data: Warum Smart City ein Regelwerk für Daten braucht

    Oct 21, 2019 11:34:24 AM Ein offener Austausch von Daten ist der erste Schritt, um Smart City-Anwendungen überhaupt zu ermöglichen. Dann aber braucht es auch Regeln für die Nutzung der Daten.

    IT-Sicherheitsgesetz 2.0: Die ultimative Checkliste für Unternehmen

    May 27, 2021 1:51:00 PM Am 23. April 2021 hat der Bundestag die Novelle des IT-Sicherheitsgesetzes mit den Stimmen der CDU/CSU und SPD verabschiedet. Das müssen Sie als betroffenes Unternehmen  jetzt tun: Unsere Checkliste ...

    Innovationen katapultieren Unternehmen und Branchen in neue Dimensionen. Wir wissen, wie.

    Zur Sache: Rein formell ist ein Projekt mit der Abnahme und Entlastung beendet. Das dachten auch die Verantwortlichen des