(1) Spätestens vier Wochen nach der Festlegung der Bundesnetzagentur nach § 12g Absatz 1 Satz 2 des Energiewirtschaftsgesetzes hat der Betreiber einer europäisch kritischen Anlage der Bundesnetzagentur zum Schutz des Übertragungsnetzes einen Sicherheitsplan vorzulegen, der mindestens folgende Angaben enthält:
- 1.
Nennung der nach § 12g Absatz 1 des Energiewirtschaftsgesetzes bestimmten europäisch kritischen Anlage,
- 2.
Ergebnisse einer Risikoanalyse, die sich auf die in § 1 Absatz 2 genannten Gefährdungsszenarien, die Schwachstellen der europäisch kritischen Anlage und die möglichen Auswirkungen bezieht,
- 3.
Ermittlung, Auswahl und Rangfolge von Gegenmaßnahmen und Verfahren; dabei ist zu unterscheiden zwischen
- a)
permanenten Sicherheitsvorkehrungen, die unerlässliche Sicherheitsinvestitionen und Vorkehrungen umfassen, die jederzeit anzuwenden sind; hierunter fallen Informationen über die folgenden Maßnahmen allgemeiner Art:
- aa)
Technische Maßnahmen, insbesondere die Einführung von Erkennungssystemen, Zugangskontrollen sowie Schutz- und Präventivmaßnahmen,
- bb)
organisatorische Maßnahmen, insbesondere Verfahren für den Alarmfall und die Krisenbewältigung,
- cc)
Überwachungs- und Überprüfungsmaßnahmen,
- dd)
Kommunikation,
- ee)
Sensibilisierung und Ausbildung sowie
- ff)
die Sicherung von Informationssystemen, und
- b)
abgestuften Sicherheitsvorkehrungen, die je nach Ausmaß des Risikos und der Bedrohung ergriffen werden können.
(2) Absatz 1 gilt auch, wenn der Inhalt der Festlegung nach § 12g Absatz 1 Satz 2 des Energiewirtschaftsgesetzes nicht von dem Inhalt der vorherigen Festlegung abweicht.
(3) Die Frist nach Absatz 1 verlängert sich auf drei Monate, wenn die Bundesnetzagentur bei der Festlegung einer Anlage nach § 2 von den Vorschlägen in einem Bericht eines Übertragungsnetzbetreibers nach § 1 abweicht.