Betriebsführer im EnWG

Viele Betreiber von Energienetzen und Energieanlagen haben die operative Betriebsführung an externe Betriebsführer ausgelagert. Die Betreiber bleiben für den Betrieb der regulierten Anlagen und die Systeme, Anwendungen und Komponenten im Geltungsbereich des IT-Sicherheitskatalogs gesamtverantwortlich ‐ die operative Betriebsführung erfolgt aber durch Dritte.

Regulierung
Pflichten
Ausblick NIS2

Für die Konstellation Betriebsführung durch Dritte gibt es Regeln durch die Bundesnetzagentur (BNetzA), die sowohl Betreiber als auch Betriebsführer zum ordnungsgemäßen Betrieb, dem Aufbau eines ISMS und einer Zertifizierung nach IT-Sicherheitskatalog (ISO 27001, 27002 und 27019) verpflichten.

NIS2 im Energiesektor: BSI, BNetzA und EnWG

Strategien für NIS2 und KRITIS im Energiesektor.
Winter School ∙ Modul W26.3 ∙ Deutsch ∙ 22. Januar 2026 in Köln

Regulierte Betreiber & Betriebsführer

Hintergrund

Die Bundesnetzagentur (BNetzA) hat für EnWG-regulierte Betreiber Mitte der 2010er-Jahre zwei Kataloge mit Sicherheitsanforderungen erstellt, die 1a und 1b IT-Sicherheitskataloge.

Betreiber haben in vielen Fällen die tatsächliche Betriebsführung an konzerninterne oder externe Dritte ausgelagert, und als Nachweis des angemessenen Schutzes nach §11 Abs. 1a/1b EnWG eine Kopie des Zertifikats des Betriebsführers eingereicht.

Zusätzlich hat der Betriebsführer üblicherweise eine Erklärung abgegeben, dass im Zertifizierungsprozess auch alle im Geltungsbereich des IT-Sicherheitskatalogs befindlichen Systeme, Anwendungen und Komponenten des betriebsgeführten Netzbetreibers berücksichtigt worden sind.

Da die Zertifizierungsverfahren nach IT-Sicherheitskatalog von einer akkreditierten Stelle, der DAkkS, durchgeführt werden müssen, die wiederum eigenen Zertifizierungsnormen unterliegt, war dieses Vorgehen jedoch rechtlich nicht haltbar. Insbesondere der Verweis des gesetzlich zur Zertifizierung verpflichteten Betreibers auf die Zertifizierungsurkunde des Betriebsführers ist nicht zulässig.

Da das Zertifikat des Betriebsführers nur für diesen gilt, kann es nicht durch den betriebsgeführten Betreiber als Nachweis zur Umsetzung des IT-Sicherheitskatalogs vorgelegt werden.

Zertifizierung

Die BNetzA hat 2022 klargestellt, dass grundsätzlich jeder Betreiber von Energieversorgungsnetzen oder Energieanlagen ein eigenes Zertifikat nach IT-Sicherheitskatalog vorlegen muss, das u. a. ein funktionsfähiges ISMS bescheinigt.

Je nach Unternehmensstruktur und Verbindung zum Betriebsführer sind verschiedene Zertifizierungskonstellationen möglich, die mit einer akkreditierten Zertifizierungsstelle geplant werden sollten:

Stand März 2022, Quelle: eigene Zusammenstellung und BNetzA
* ‐ Durchgriffsrechte im gesamten ISMS müssen rechtlich sichergestellt sein, z. B. über Beherrschungsrechte nach AktG
† ‐ für alle Systeme, Anwendungen oder Komponenten im Geltungsbereich des IT-Sicherheitskatalogs
Konstellation	Betreiber	Betriebsführer
Konzernfremder Betriebsführer	Betreiber muss Anforderungen aus IT-Sikat erfüllen Vertragliche Grundlage mit Betriebsführer nötig Zertifizierung des ISMS nach IT-Sikat notwendig	Betriebsführer muss Anforderungen aus IT-Sikat erfüllen Zertifizierung des ISMS nach IT-Sikat notwendig
Konzerneigener Betriebsführer und übergreifendes ISMS des Betreibers	Oberste Leitung* aller vom ISMS umfassten Bereiche ISMS muss die Anforderungen des jeweiligen IT-Sikat erfüllen† Zertifizierung des ISMS nach IT-Sikat notwendig	Keine gesonderte Zertifizierung notwendig Der Betriebsführer wird als Standort im Geltungsbereich des Zertifikats des Betreibers gelistet
Konzerneigener Betriebsführer und übergreifendes ISMS des Betriebsführers	Keine gesonderte Zertifizierung notwendig Der Betreiber wird als Standort im Geltungsbereich des Zertifikats des Betriebsführers gelistet	Oberste Leitung* aller vom ISMS umfassten Bereiche ISMS muss die Anforderungen des jeweiligen IT-Sikat erfüllen† Zertifizierung des ISMS nach IT-Sikat notwendig
Konzerneigener Betriebsführer und übergreifendes ISMS der Konzernmutter	Keine gesonderte Zertifizierung von Betreiber und Betriebsführer notwendig Oberste Leitung* aller vom ISMS umfassten Bereiche liegt bei der Konzernmutter ISMS muss die Anforderungen des jeweiligen IT-Sikat erfüllen† Betreiber und Betriebsführer werden als Standorte im Geltungsbereich des Zertifikats der Konzernmutter gelistet Zertifizierung des ISMS der Konzernmutter nach IT-Sikat notwendig

Die Zertifizierung kann den gesamten ISMS-Anwendungsbereich oder auch nur einen Teil davon umfassen. So ist es möglich, dass z. B. ein konzernübergreifendes ISMS nach ISO/IEC 27001 zertifiziert ist und zusätzlich für alle Systeme, Anwendungen oder Komponenten im Geltungsbereich des IT-Sicherheitskatalogs eine IT-Sikat-Zertifizierung erlangt wird.

Ein natives Zertifikat nach ISO/IEC 27001 ist jedoch nicht ausreichend, um die Zertifizierungspflicht des IT-Sikat zu erfüllen. Auch muss eine Zertifizierungsstelle gesondert für Zertifizierungsverfahren nach IT-Sikat akkreditiert sein, da es sich um eine eigenständige zertifizierbare Norm handelt. Die Anforderungen an das Zertifizierungsverfahren und ein Muster des Zertifikats sind im Konformitätsbewertungsprogramm zum jeweiligen IT-Sicherheitskatalog enthalten.

Auch wenn die Anforderungen des IT-Sicherheitskatalogs ein ISMS auf Basis von ISO/IEC 27001 umfassen, handelt es sich bei dem Zertifizierungsverfahren nicht um eine ISO 27001 Zertifizierung. Daher erhalten zertifizierte Unternehmen kein Zertifikat mit Verweis auf die Norm ISO/IEC 27001, sondern ein Zertifikat nach IT-Sicherheitskatalog (BNetzA).

Geltungsbereich

Betreiber

Betriebsgeführte Betreiber von Energienetzen oder -anlagen, die den Betrieb an einen Betriebsführer ausgelagert haben, müssen trotzdem ein ISMS implementieren (und zertifizieren lassen). Dieses muss neben den erforderlichen ISMS-Strukturen, vor allem Risikomanagement, mindestens die Schnittstellen zu Bereichen umfassen, die für den letztlichen Betrieb durch den Betriebsführer notwendig sind:

Beauftragung und Vertragsmanagement
Dienstleistersteuerung zur Aufsicht und Überwachung des Betriebsführers
Einkauf von Systemen, Anwendungen und Komponenten, falls dies nicht der Betriebsführer übernimmt
Weitere Annex A Kontrollen, wo notwendig und anwendbar

Betriebsführer

Betriebsführer, die den Betrieb von Systemen, Anwendungen und Komponenten im Geltungsbereich des IT-Sicherheitskatalogs für einen Betreiber übernehmen, müssen ein ISMS implementieren.

Das ISMS muss mindestens alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netz- oder Anlagenbetrieb notwendig sind, umfassen. Das sind zumindest alle TK- und EDV-Systeme des Betreibers, die direkt Teil der Netz- oder Anlagensteuerung sind, d. h. unmittelbar Einfluss nehmen auf die Netzfahrweise oder den Anlagenbetrieb.

Daneben sind auch TK- und EDV-Systeme im Netz oder der Anlage betroffen, die selbst zwar nicht direkt Teil der Steuerung sind, deren Ausfall jedoch die Sicherheit des Netz- oder Anlagenbetriebs gefährden könnte, wie z. B. Messeinrichtungen.

Standorte

Der Geltungsbereich der zertifizierten ISMSe umfasst mindestens den Unternehmensstandort, von dem aus das jeweilige ISMS betrieben wird – beim Betreiber und Betriebsführer. Diese Standorte werden im Zertifizierungsverfahren als Zentrale bezeichnet, typischerweise wo CISO oder ISB sitzen.

Neben der Zentrale müssen die ISMSe alle Betriebsstätten umfassen, die für den Netz- oder Anlagenbetrieb erforderlich sind. Sofern eine Betriebsstätte an regulären Arbeitstagen mit Personal besetzt ist, gilt sie als auditrelevanter Standort und wird im Zertifikatsanhang aufgeführt. Dies umfasst die regulierten Anlagen sowohl beim Betreiber als auch Betriebsführer.

Nicht dauerhaft besetzte Betriebsstätten werden im Rahmen des Zertifizierungsverfahrens stichprobenhaft geprüft, jedoch nicht als Standort auf dem Zertifikat aufgeführt.

Verantwortungen

Die Aufteilung der Verantwortungen zwischen Betreibern und Betriebsführern ist neben den formellen Normanforderungen die zentrale Frage der Zusammenarbeit aus Sicherheitssicht. Geklärt werden muss operativ und vertraglich mindestens:

Assets: Verantwortung für Assets, vor allem in betriebsgeführten Anlagen (Asset-Owner, Inventar)
Risiken: Zuordnung der Risiken von betrieblichen bis zu Gesamtrisiken für die Anlage
Mitwirkung: Gemeinsame Arbeit im ISMS, Maßnahmen und Audits von Betreiber/Betriebsführer
Maßnahmen: Betriebliche und kommerzielle Verantwortung für Sicherheitsmaßnahmen
Freigabe: Prozesse zur formellen Übergabe und Übernahme von Risiken und Assets

Sicherheit

Risikomanagement

Abhängig von Aufgaben und Organisationsstruktur unterscheidet sich der Fokus des Risikomanagements von Betreiber und Betriebsführer.

Betriebsgeführte Betreiber, die den operativen Betrieb an den Betriebsführer ausgelagert haben, adressieren in ihrem Risikomanagement vor allem dienstleisterbezogene Risiken. Zusätzlich müssen organisatorische und weitere Risiken adressiert werden, z. B. durch die Abhängigkeit vom Betriebsführer oder die letztliche Verantwortung für die Erbringung der Versorgungsdienstleistung.
Betriebsführer adressieren in ihrem Risikomanagement vor allem Risiken im Zusammenhang mit dem operativen Betrieb des Energieversorgungsnetzes oder der Energieanlage. Dies sind primär technische, personelle und organisatorische Risiken.

Sicherheitsmaßnahmen

Sowohl Betreiber als auch Betriebsführer müssen geeignete, angemessene und wirksame Maßnahmen zur Behandlung von Risiken ergreifen. Der Fokus mag je nach Rolle unterschiedlich sein ‐ Betreiber werden typischerweise organisatorische Maßnahmen wie Dienstleistersteuerung ergreifen, während Betriebsführer technische, organisatorische, personelle oder physische Sicherheitsmaßnahmen zur Absicherung des Netz- oder Anlagenbetriebs ergreifen.

Beide Parteien müssen die Maßnahmen nach den Vorgaben des IT-Sicherheitskatalogs gestalten. Das bedeutet, dass bei der Implementierung des ISMS und der Auswahl von Sicherheitsmaßnahmen die Vorgaben der ISO/IEC 27002 und 27019 berücksichtigt werden müssen.

Ausblick

Mit NIS2 und KRITIS-Dachgesetz wird sich die Regulierung Kritischer Infrastrukturen, auch im Energiesektor, ab 2025 und 2026 deutlich erweitern. Dies umfasst mehr Betreiber und Einrichtungen, die unter EnWG und Regulierung der IT-Sicherheitskataloge fallen werden. Dazu wird es diverse neue IT-Sicherheitskataloge der BNetzA geben müssen.

Es ist zu erwarten, dass auch zukünftig sowohl Betreiber als auch Betriebsführer die Anforderungen umsetzen und zertifizieren lassen müssen.

Weitere Informationen

Literatur

KRITIS-Sektor Energie, OpenKRITIS
Energie, EnWG und NIS2, OpenKRITIS
IT-Sicherheitskataloge unter KRITIS und NIS2, OpenKRITIS

Quellen

Übersichtsseite zum IT-Sicherheitskatalog für Strom- und Gasnetze gemäß §11 Abs. 1a EnWG, Bundesnetzagentur (BNetzA), Stand August 2015
Übersichtsseite zum IT-Sicherheitskatalog für Energieanlagen gemäß §11 Abs. 1b EnWG, Bundesnetzagentur (BNetzA), Stand Dezember 2018
Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog im Fall einer Betriebsführung durch Dritte, Bundesnetzagentur (BNetzA), Stand 29.03.2022
Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog (für Netzbetreiber), Bundesnetzagentur (BNetzA), Stand 12.01.2023
Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog (für Anlagenbetreiber), Bundesnetzagentur (BNetzA), Stand 12.01.2023