Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den seitens BDEW und AGFW aktualisierten branchenspezifischen IT-Sicherheitsstandard für die Verteilung von Fernwärme (B3S VvFw) im Juni 2024 erneut offiziell anerkannt. Der B3S kann damit in der Version 1.2 durch Betreiber Kritischer Infrastrukturen (KRITIS) bis zum 30. Januar 2027 als Nachweis der Gewährleistung der IT-Sicherheitsanforderungen nach § 8a Absatz 1 BSI-Gesetz herangezogen werden.

Gemäß § 8a Abs. 2 Satz 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) können Betreiber kritischer Infrastrukturen und ihre Branchenverbände branchenspezifische Sicherheitsstandards (B3S) zur Gewährleistung der Anforderungen nach § 8a Abs. 1 BSIG vorschlagen. Der B3S Verteilung von Fernwärme (B3S VvFw) legt fest, dass die nachhaltige und angemessene Behandlung aller relevanten Themenfelder zur Umsetzung der gesetzlichen Anforderungen nach § 8a Abs. 1 BSIG, z.B. durch den Betrieb eines Informationssicherheitsmanagementsystems (ISMS) in Anlehnung an ISO/IEC 27001 sichergestellt wird. Der B3S VvFw findet Anwendung auf informationstechnische Systeme, Komponenten oder Prozesse der Kritischen Infrastruktur Fernwärmenetz, d.h. auf IT-Systeme der Prozessdatenverarbeitung zur Messung, Steuerung und Regelung, die für die Funktionsfähigkeit der kritischen Dienstleistung (kDL) Verteilung von Fernwärme (VvFw) maßgeblich sind.

Wenn für die Funktionsfähigkeit der Wärmeverteilung informationstechnische Systeme, Komponenten oder Prozesse nicht maßgeblich sind, weil sie z.B. nur der wirtschaftlichen Fahrweise dienen und die relevanten Steuerungsmechanismen auch manuell (d.h. ohne digitale Informations- und Steuerungstechnik) jederzeit vor Ort bedient werden können, entfällt die Betrachtung und Behandlung der Risiken in Bezug auf die IT-Schutzziele. In diesem Fall muss die Nicht-Maßgeblichkeit der IT durch den Betreiber der kritischen Infrastruktur im Rahmen der Risikobetrachtung nachgewiesen werden. Der Nachweis umfasst insbesondere die Beschreibung der organisatorischen und technischen Maßnahmen, die ermöglichen, dass die Wärmeverteilung auch ohne IT manuell aufrechterhalten werden kann. Der Nachweis umfasst ferner die Bestätigung der Wirksamkeit dieser Maßnahmen, z.B. über eine AGFW-TSM-Zertifizierung gemäß Arbeitsblatt AGFW FW 1000.

Der B3S VvFw gilt für Fernwärmenetze, die den Schwellenwert nach Anhang 1 Teil 3 Tabelle 4.2.1 BSI-KritisV erreichen oder überschreiten und damit als KRITIS eingestuft worden sind (über 250.000 angeschlossene Haushalte ). Der neue Sicherheitsstandard steht hier zum Download bereit.