(1) Spätestens vier Wochen nach der Festlegung der Bundesnetzagentur nach § 12g Absatz 1 Satz 2 des Energiewirtschaftsgesetzes hat der Betreiber einer europäisch kritischen Anlage der Bundesnetzagentur zum Schutz des Übertragungsnetzes einen Sicherheitsplan vorzulegen, der mindestens folgende Angaben enthält:
- 1.
-
Nennung der nach § 12g Absatz 1 des Energiewirtschaftsgesetzes bestimmten europäisch kritischen Anlage,
- 2.
-
Ergebnisse einer Risikoanalyse, die sich auf die in § 1 Absatz 2 genannten Gefährdungsszenarien, die Schwachstellen der europäisch kritischen Anlage und die möglichen Auswirkungen bezieht,
- 3.
-
Ermittlung, Auswahl und Rangfolge von Gegenmaßnahmen und Verfahren; dabei ist zu unterscheiden zwischen
- a)
-
permanenten Sicherheitsvorkehrungen, die unerlässliche Sicherheitsinvestitionen und Vorkehrungen umfassen, die jederzeit anzuwenden sind; hierunter fallen Informationen über die folgenden Maßnahmen allgemeiner Art:
- aa)
-
Technische Maßnahmen, insbesondere die Einführung von Erkennungssystemen, Zugangskontrollen sowie Schutz- und Präventivmaßnahmen,
- bb)
-
organisatorische Maßnahmen, insbesondere Verfahren für den Alarmfall und die Krisenbewältigung,
- cc)
-
Überwachungs- und Überprüfungsmaßnahmen,
- dd)
-
Kommunikation,
- ee)
-
Sensibilisierung und Ausbildung sowie
- ff)
-
die Sicherung von Informationssystemen, und
- b)
-
abgestuften Sicherheitsvorkehrungen, die je nach Ausmaß des Risikos und der Bedrohung ergriffen werden können.
(2) Absatz 1 gilt auch, wenn der Inhalt der Festlegung nach § 12g Absatz 1 Satz 2 des Energiewirtschaftsgesetzes nicht von dem Inhalt der vorherigen Festlegung abweicht.
(3) Die Frist nach Absatz 1 verlängert sich auf drei Monate, wenn die Bundesnetzagentur bei der Festlegung einer Anlage nach § 2 von den Vorschlägen in einem Bericht eines Übertragungsnetzbetreibers nach § 1 abweicht.