EnWG Sicherheitskataloge

Unternehmen im Sektor Energie, die durch das Energiewirtschaftsgesetz (EnWG) reguliert werden, müssen einen angemessenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten. Dafür müssen IT-Sicherheitskataloge der BNetzA umgesetzt werden.

IT-Sicherheitskataloge (NIS2)
Kritische Komponenten
IT-Sicherheitskataloge (KRITIS)
EnWG

Die Bestimmung, welche Betreiber und welche Anlagen durch EnWG und IT-Sicherheitskataloge reguliert werden, erfolgt im EnWG und BSIG (KRITIS und NIS2). Diese Logik wird mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz beibehalten und in 2026 mit neuen IT-Sicherheitskatalogen erweitert.

NIS2 im Energiesektor: BSI, BNetzA und EnWG

Strategien für NIS2 und KRITIS im Energiesektor.
Summer School ∙ Modul S26.2 ∙ Deutsch ∙ 18. Juni 2026 in Köln

Regulierung für Energiebetreiber

Übersicht IT-Sicherheitskataloge

Die Bundesnetzagentur (BNetzA) hat für EnWG-regulierte Betreiber Mitte der 2010er-Jahre zwei Kataloge mit Sicherheitsanforderungen erstellt, die 1a und 1b Kataloge. Mit NIS2 und KRITIS-Dachgesetz wird es diverse neue Kataloge geben müssen – Entwürfe sind bisher nicht bekannt.

Stand März 2026, Quelle: eigene Zusammenstellung und BNetzA
Katalog	ab	Gültig für
IT-Sicherheitskatalog Überarbeitung §11 (1a) EnWG a.F. §11 (1b) EnWG a.F.	Konsultation	Betreiber von Energieversorgungsnetzen und Energieanlagen setzt NIS2-und CER-Pflichten teilweise um aktualisiert Katalog §11 (1a) aktualisiert Katalog §11 (1b)
IT-Sicherheitskatalog NIS2/CER §5c (2) EnWG §5c (5) EnWG	2026?	Betreiber von Energieversorgungsnetzen, Energieanlagen, digitalen Energiediensten Zur vollständigen Umsetzung NIS2 und CER ersetzt Katalog §11 (1a) ersetzt Katalog §11 (1b)
IT-Sicherheitskatalog Kritische Komponenten §5c (6) EnWG	2025?	Betreiber von KRITIS-Energieversorgungsnetzen und -anlagen Einsatz kritischer Komponenten und kritischer Funktionen teilweise vorhanden
IT-Sicherheitskatalog DachG-Nachweise §5f (2) EnWG-E	2026?	Betreiber kritischer Anlagen nach KRITIS-DachG setzt Nachweispflichten für KRITIS-Dachgesetz um
IT‑Sicherheitskatalog Netze §11 (1a) EnWG a.F.	2015	Betreiber von Energieversorgungsnetzen Stromübertragungsnetze (Nr. 1.2.1 BSI-KritisV) Stromverteilnetze (Nr. 1.3.1 BSI-KritisV) Gasfernleitungsnetze (Nr. 2.2.1 BSI-KritisV) Gasgrenzübergabestellen (Nr. 2.2.2 BSI-KritisV) LNG-Anlagen (Nr. 2.2.4 BSI-KritisV. LNG-Anlagen gelten i.S.d. §3 Nr. 20 EnWG als Gasnetz. Auch die BNetzA stuft LNG-Anlagen rechtlich betrachtet als Gasnetz ein.) Gasverteilnetze (Nr. 2.3.1 BSI-KritisV)
IT‑Sicherheitskatalog Anlagen §11 (1b) EnWG a.F.	2018	Betreiber von Energieanlagen nach KRITIS-Verordnung Anhang 1, Teil 3, die an ein Energieversorgungsnetz angeschlossen sind Erzeugungsanlagen: Anlagen i.S.d. §3 Nr. 18d oder Nr. 11 EnWG, z. B. Photovoltaikanlagen, Gaskraftwerke, Windkraftanlagen. Diese Kategorie umfasst auch Anlagen zur Speicherung von elektrischer Energie sowie dezentrale Energieerzeuungsanlagen. (Nr. 1.1.1 BSI-KritisV) Unklar: Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (Nr. 1.1.2 BSI-KritisV) [Energiedienst ab 2026] Gasförderanlagen (Nr. 2.1.1 BSI-KritisV) Anlagen zur zentralen standortübergreifenden Steuerung in der Gasversorgung (Nr. 2.1.2 BSI-KritisV) Gasspeicher (Nr. 2.2.3 BSI-KritisV) Hinweis: die Anlagendefinitionen sind ggf. nicht (mehr) ganz korrekt

IT-Sicherheitskataloge (NIS2)

IT-Sicherheitskatalog Anlagen und Netze

Mit der NIS2-Umsetzung muss es ab 2026 einen oder mehrere neue IT-Sicherheitskataloge nach §5c EnWG geben, als Ersatz für die bestehenden Kataloge.

2025 hat die BNetzA eine turnusmäßige Überarbeitung und Konsolidierung der bestehenden §11 EnWG-Kataloge in einen Katalog angestoßen. Pflichten und Maßnahmen für Cybersicherheit (NIS2) und Resilienz (KRITIS-DachG) wurden in Teilen vorgegriffen, allerdings ohne inhaltliche Vollständigkeit.

Mit dem Wegfall von §11 ist die gesetzliche Grundlage für konsolidierten Katalog aus 2025 entfallen. Es ist denkbar, dass die BNetzA die neuen, nach NIS2/EnWG notwendigen IT-Sicherheitskataloge auf Basis des Konsultationspapiers aufbaut. Entwürfe sind bisher nicht bekannt.

Konsultationsverfahren

Das Konsultationsverfahren der §11 EnWG-Kataloge durch die Bundesnetzagentur wurde im Juni 2025 abgeschlossen. Zuvor wurde ein Konsultationspapier der BNetzA veröffentlicht. Eine neue verbindliche Fassung der vorherigen IT-Sicherheitskataloge wurde nach der Konsultation bislang nicht erlassen.

Aufbau

Das Eckpunkte-Papier der BNetzA von Mai 2025 ist wie folgt gegliedert:

Eckpunkte (Festlegungen): Allgemeine Definitionen zu Anforderungen an regulierte Betreiber und Festlegungen zum Verfahren mit dem IT-Sicherheitskatalog
Anlage 1 (Energienetze): Spezifische Vorgaben und Pflichten (Zertifizierung) für Betreiber regulierter Energienetze (§11 (1a) EnWG)
Anlage 2 (Energieanlagen): Spezifische Vorgaben und Pflichten (Zertifizierung) für Betreiber regulierter Energieanlagen (§11 (1b) EnWG)
Anlage 3 (Maßnahmen): Allgemeine Maßnahmen für Cybersecurity und Resilienz
Anlage 4 (Begriffe): Definitionen und Begriffsbestimmungen, kritische Funktionen

Betroffenheit

Die Logik, nach der Betreiber (Einrichtungen) den IT-Sicherheitskatalog Energie umsetzen müssen, bleibt gleich: Betreiber bestimmter Energieanlagen und -netze, die in KRITIS (Schwellenwerte) und dem EnWG definiert sind, fallen unter das EnWG und müssen dessen Vorgaben und Kataloge umsetzen.

Dies wird sich mit der vollständigen NIS2-Umsetzung noch erweitern – der Scope von Einrichtungen im Energiesektor, die unter das EnWG und IT-Sicherheitskataloge fallen, wird sich deutlich erhöhen.

Verantwortung

Der neue IT-Sicherheitskatalog betrifft regulierte Energiebetreiber und deren Betriebsführer gleichermaßen. Die (Haupt-)Verantwortung für den den zuverlässigen Betrieb der Anlage bleibt beim Betreiber, auch wenn Betriebsführer den tatsächlichen Betrieb organisieren.

Nutzen Betreiber im Betrieb ihrer Anlagen und Netze Dritte für die operative oder technische Betriebsführung, brauchen beide (Betreiber und Betriebsführer) ein zertifizierungspflichtiges ISMS, außer in Konzernverbünden, wo gemeinsame ISMS gestattet sind.

Zertifizierung

Für regulierte Betreiber von Energienetzen und Energieanlagen besteht weiterhin die Pflicht einer Zertifizierung nach IT-Sicherheitskatalog ‐ inhaltlich ähnelt diese stark einer Zertifizierung nach ISO/IEC 27001, jedoch ist keine native ISO 27001-Zertifizierung ausreichend, da für den IT-Sicherheitskatalog ein eigenes Zertifizierungsschema vorgeschrieben ist. Der Nachweis muss von DAkkS-akkreditierten Zertifizierungsstelle erbracht werden.

Im zertifizierten ISMS müssen die Umsetzungsempfehlungen (Controls) der ISO/IEC 27002 und ISO/IEC 27019 berücksichtigt werden. Der Nachweis an die BNetzA umfasst das Zertifikat, das Statement of Applicability (SoA) und die Identifikation der kritischen Prozesse.

Die Zertifizierungspflicht betrifft Netze und Anlagen. Anlage 1 (B) Anlage 2 (B)

Geltungsbereich

Der neue IT-Sicherheitskatalog legt zwei verschiedene Geltungsbereiche bei EnWG-Betreibern fest:

Zertifizierter Bereich: Der von einem zertifizierten ISMS abgedeckte Bereich umfasst (mindestens) alle kritischen Systeme, die für die kritischen Prozesse im Netzbetrieb oder Anlagenbetrieb notwendig sind. Anlage 1 (B) Anlage 2 (B)
Hier gelten die in Anlage 1 gefassten Vorgaben zu IT-Sicherheitsmaßnahmen und ISO 27001 pp.
Übrige Systeme: Für die Systeme, die sich außerhalb des Geltungsbereichs befinden oder nicht-kritische Systeme muss der Betreiber allgemein anerkannte, verhältnismäßige Maßnahmen nach dem Stand Technik umsetzen. Anlage 3

Die Methode zur Bestimmung der kritischen Systeme im Geltungsbereich ist im aktuellen Entwurf etwas unorthodox eher bottom-up skizziert:

Sämtliche Systeme des Betreibers und Betriebsführers müssen auf Notwendigkeit für kritische Prozesse untersucht werden.
Systeme sind für einen kritischen Prozess notwendig, wenn ihre Ausfalltoleranz (für diesen Prozess?) weniger als 24 Stunden ist.
Die so identifizierten Systeme sind dann die kritischen Systeme im Geltungsbereich
Schnittstellen zu Systeme, die nicht im Geltungsbereich sind, müssen identifiziert werden

Dieser Prozess läßt mithin außen vor, wie kritische Prozesse identifiziert werden, nach der Definition alle beim jeweiligen Betreiber etablierte Prozesse, die kritische Funktionen umsetzen oder anderweitig unmittelbar für den zuverlässigen Betrieb notwendig sind. Anlage 4

Cybersicherheit

Die im ISMS umgesetzten Maßnahmen müssen einen Mindestschutz bereitstellen, inhaltlich angemessen sein und allgemein anerkannten Stand der Technik entsprechen. Die Maßnahmen müssen aber auch wirtschaftlich angemessen sein mit Kosten, deren Umsetzung im Verhältnis zu mitigierten Risiken stehen. Anlage 1 (A) Anlage 2 (A)

Darüberhinaus müssen Betreiber im restlichen Geltungsbereich bzw. bei den übrigen Systeme allgemeine Maßnahmen zur Steigerung der Cybersicherheit umsetzen, verhältnismäßig und nach dem Stand Technik. Die Pflichten für eine Ansprechperson für IT-Sicherheit und Meldung von Sicherheitsvorfällen bleibt erhalten. Anlage 3

Resilienzmaßnahmen

Als neues Thema werden im neuen IT-Sicherheitskatalog (endlich) Maßnahmen zur Resilienz und Business Continuity verbindlich gefordert. Anlage 3

Business Impact Analyse (BIA) für mindestens die kritischen Prozesse und Wiederanlaufzeiten
Risikoanalyse basierend auf der Risikoabschätzung
Notfallpläne und Wiederanlaufstrategien
Krisenkommunikation und Notfallübungen

Risikomanagement

Im zertifizierten Bereich (ISMS) müssen Betreiber ein organisiertes Risikomanagement für Informationssicherheitsrisiken etablieren: Anlage 1 (B) Anlage 2 (B)

Risikokriterien und Risikomatrix
Allgefahren-Ansatz zur Identifikation von Risiken
Analyse von Risiken für (alle) Systeme
Risikotolerenz: nur mittlere Risiken dürfen toleriert werden, für kritische Systeme keine
Risikobewertung basierend auf Risikokriterien, Einbezug von Aufgabenerfüllung der Versorgungssicherheit
Identifikation von Mitigationsmaßnahmen und Verantwortungen
Akzeptanz von Restrisiken
Kontinuierliche Umsetzung der Maßnahmen
Risikobehandlungsplan zur Dokumentation der Maßnahmen und Akzeptanz

Noch offen

Einige Themen aus der neuen NIS2- und KRITIS-Regulierung ab 2025 fanden im Konsultationspapier keine Berücksichtigung, unter anderem: Einkauf und Supply Chain Security, Krisenmanagement, konkretere NIS2-Maßnahmen und technische Maßnahmen, breiteres BCM und IT-Notfallmanagement. Und auch die Betreiber digitaler Energiedienste bleiben im Konsultationspapier unberücksichtigt.

Kritische Komponenten

Bestimmte Kritische Komponenten der KRITIS-Regulierung dürfen nur mit Zertifizierung oder Freigabe des BMI eingesetzt werden, mit NIS2 auch im Energiesektor. Seit 2025 gibt es ein Eckpunktepapier (Tenor 4.12.09/1) der Bundesnetzagentur mit einer Liste kritischer Funktionen, die durch kritische Komponenten realisiert werden.

eigene Zusammenstellung, Stand Dezember 2025
Kritische Funktion	Exemplarische Prozesse (≡ Kritische Komponente)
Steuerung, Leittechnik, Netzschutz	Netz- und Anlagensteuerung (zentrale und dezentrale Prozess- und Netzleittechnik) Netz- und Systemsteuerung Offshore/HVDC Netzzustandserfassung und Störungsmeldungsverarbeitung Dynamische Grenzwertberechnung Netz schützen
Netzführung, Schaltleitung	EnWG-Kaskade Netzwiederaufbau
Stationsbetrieb	Infrastrukturbetrieb OT-Betrieb/dezentrale Leittechnik
Systembilanz, Frequenzhaltung	Leistungsfrequenzregelung Minutenreserve einsetzen Kapazitätsreserve
Operatives Engpassmanagement	Redispatchmaßnahmen
IKT-Betrieb, Sachdatenverwaltung	Betrieb des Nachrichtennetzes/TK-Betrieb Leitstellen-Telefonie Fernwartungszugänge

Die Umsetzung erfolgt stufenweise:

Ab Dezember 2025: Für Übertragungsnetzbetreiber (ÜNB) gelten die Funktionen der Netz- und Systemsteuerung (Steuerung, Leittechnik, Netzschutz) von Hochspannungs-Gleichstrom-Übertragungs- (HGÜ) Verbindungen als kritisch; für Betreiber von Offshore-Windenergieanlagen wird der gesamte Funktionskatalog als kritisch bestimmt.
Ab NIS2-Umsetzung im BSIG von 2025: Der im Katalog aufgeführte Umfang gilt sektorenweit für KRITIS-Betreiber von Energieversorgungsnetzen und Energieanlagen.

IT-Sicherheitskataloge (a.F.)

IT-Sicherheitskatalog Netze (1a)

Der IT-Sicherheitskatalog, IT-SiKat, nach §11 (1a) EnWG a.F. gilt seit August 2015 für Betreiber von Energieversorgungsnetzen:

Stromübertragungsnetze (Nr. 1.2.1 BSI-KritisV)
Stromverteilnetze (Nr. 1.3.1 BSI-KritisV)
Gasfernleitungsnetze (Nr. 2.2.1 BSI-KritisV)
Gasgrenzübergabestellen (Nr. 2.2.2 BSI-KritisV)
LNG-Anlagen (Nr. 2.2.4 BSI-KritisV. LNG-Anlagen gelten i.S.d. §3 Nr. 20 EnWG als Gasnetz. Auch die BNetzA stuft LNG-Anlagen rechtlich betrachtet als Gasnetz ein.)
Gasverteilnetze (Nr. 2.3.1 BSI-KritisV)

aus BNetzA IT-Sicherheitskatalog 1a Stand 2015
Abschnitt	Inhalt
Einleitung Abschnitt A.	Einleitende Informationen Erläuterungen zum Aufbau des Katalogs Hervorhebung der Kernforderung: Einführung eines ISMS nach ISO/IEC 27001 und Zertifizierung
Rechtliche Grundlagen Abschnitt B.	Herleitung aus §11 (1a) EnWG Zusammenhang mit IT-Sicherheitsgesetz bzw. BSIG Zusammenarbeit zwischen BNetzA und BSI Angemessener Schutz liegt gemäß §11 (1a S. 4 EnWG vor, wenn der IT-Sicherheitskatalog eingehalten wird
Schutzziele Abschnitt C.	Definition der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität Forderung nach Angemessenheit über individuellen Schutzbedarf Verantwortung für die Erfüllung der Schutzziele durch Netzbetreiber, auch wenn hierzu Dritte bedient werden
Geltungsbereich Abschnitt D.	Generischer Geltungsbereich des IT-Sicherheitskatalogs Vorgehensweise zur Identifizierung der konkret betroffenen TK- und EDV-Systeme durch den Betreiber Mindestanforderungen an Geltungsbereich für die anzuwendenden Maßnahmen: muss mindestens alle TK- und EDV-Systeme des Netzbetreibers enthalten, die direkter Teil der Netzsteuerung sind, unmittelbar Einfluss nehmen auf die Netzfahrweise, sowie alle TK- und EDV-Systeme, die nicht direkt Teil der Netzsteuerung sind, deren Ausfall jedoch die Sicherheit des Netzbetriebs gefährden könnte. Ausnahmen für Messsysteme nach §21d EnWG, wenn diese nicht zu netzbetrieblichen Zwecken eingesetzt werden. Vorgaben aus dem IT-Sicherheitskatalog müssen an Dritte (bzw. bei Outsourcing) über entsprechende Vereinbarungen weitergegeben werden.
Sicherheitsanforderungen Abschnitt E.	ISMS: Netzbetreiber müssen ein ISMS nach den Anforderungen der ISO/IEC 27001 implementieren. Das ISMS muss als regelmäßiger Prozess in die Organisationsstrukturen eingebunden werden. Bei der Implementierung des ISMS sind die Normen ISO/IEC 27002 und ISO/IEC 27019 zu berücksichtigen. Der Betrieb der relevanten TK- und EDV-Systeme muss ordnungsgemäß erfolgen. Netzstrukturplan: Der Betreiber muss für alle vom Geltungsbereich des IT-Sicherheitskatalogs betroffenen Anwendungen, Systeme und Komponenten eine Übersicht erstellen. Die Übersicht muss vorgegebene Technologiekategorien berücksichtigen. Eine Gruppierung von Systemen oder getrennte Teilpläne sind erlaubt. Risikoeinschätzung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Vorgaben für die Schadenskategorien (kritisch, hoch, mäßig) und bei der Einstufung zu betrachtende Kriterien. Risikobehandlung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Maßnahmen sind angemessen und nach dem allgemein anerkannten "Stand der Technik" zu wählen. Ansprechpartner IT-Sicherheit: Für die Koordination und Kommunikation der IT-Sicherheit gegenüber der Bundesnetzagentur muss der Netzbetreiber einen Ansprechpartner benennen.
Umsetzungsvorgaben Abschnitt F.	Zertifizierung: Das ISMS muss durch eine DAkkS-akkreditierte Zertifizierungsstelle auf der Basis von DIN ISO/IEC 27001 zertifiziert werden. Das Zertifikat hat eine Gültigkeit von 3 Jahren (bei jährlichen Überwachungsaudits).

IT-Sicherheitskatalog Anlagen (1b)

Der IT-Sicherheitskatalog, IT-SiKat, nach §11 (1b) EnWG a.F. gilt seit 2018 für Betreiber von Energieanlagen, die nach der BSI-KritisV als KRITIS bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind. Konkret im Katalog genannt werden:

Erzeugungsanlagen: Anlagen i.S.d. §3 Nr. 18d oder Nr. 11 EnWG, z. B. Photovoltaikanlagen, Gaskraftwerke, Windkraftanlagen. Diese Kategorie umfasst auch Anlagen zur Speicherung von elektrischer Energie sowie dezentrale Energieerzeuungsanlagen. (Nr. 1.1.1 BSI-KritisV)
Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (Nr. 1.1.2 BSI-KritisV)†
Gasförderanlagen (Nr. 2.1.1 BSI-KritisV)
Anlagen zur zentralen standortübergreifenden Steuerung in der Gasversorgung (Nr. 2.1.2 BSI-KritisV)
Gasspeicher (Nr. 2.2.3 BSI-KritisV)

aus BNetzA IT-Sicherheitskatalog 1b Stand 2018
Abschnitt	Inhalt
Einleitung Abschnitt A.	Einleitende Informationen Zusammenwirken und Abgrenzung zum IT-Sicherheitskatalog nach §11 (1a) EnWG
Schutzziele Abschnitt B.	Definition der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität Besondere Schutzziele nach Anlagenkategorien
Geltungsbereich Abschnitt C.	Generischer Geltungsbereich des IT-Sicherheitskatalogs Vorgehensweise zur Identifizierung der konkret betroffenen TK- und EDV-Systeme durch den Betreiber Mindestanforderungen an Geltungsbereich für die anzuwendenden Maßnahmen: muss mindestens alle TK- und EDV-Systeme des Netzbetreibers enthalten, die für einen sicheren Anlagenbetrieb notwendig sind. Vorgaben aus dem IT-Sicherheitskatalog müssen an Dritte (bzw. bei Outsourcing) über entsprechende Vereinbarungen weitergegeben werden. Betreiber müssen alle in der Energieanlage eingesetzten TK- und EDV-Systeme in ein vorgegebenes 6-Zonen-Schema einteilen. Dies betrifft sowohl Systeme für die Prozessführung und im Leitstand als auch Büro- und Verwaltungsinformationssysteme. Definition der 6 verschiedenen Zonen mit Beispielen
Sicherheitsanforderungen Abschnitt D.	ISMS: Anlagenbetreiber müssen ein ISMS nach den Anforderungen der ISO/IEC 27001 implementieren. Das ISMS muss als regelmäßiger Prozess in die Organisationsstrukturen eingebunden werden und mindestens die Anwendungen, Systeme und Komponenten der Zonen 1 bis 3 umfassen. Bei der Implementierung des ISMS sind die Normen ISO/IEC 27002 und ISO/IEC 27019 zu berücksichtigen. Der Betrieb der relevanten TK- und EDV-Systeme muss ordnungsgemäß erfolgen. Risikoeinschätzung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Vorgaben für die Schadenskategorien (kritisch, hoch, mäßig, gering) und bei der Einstufung zu betrachtende Kriterien. Risikobehandlung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Maßnahmen sind mindestens für die Anwendungen, Systeme und Komponenten der Zonen 1 bis 3 sowie angemessen, geeignet und nach dem allgemein anerkannten Stand der Technik zu wählen. Risiken für Anwendungen, Systeme und Komponenten in Zone 1 dürfen nicht akzeptiert werden. Ansprechpartner IT-Sicherheit: Für die Koordination und Kommunikation der IT-Sicherheit gegenüber der Bundesnetzagentur muss der Anlagenbetreiber einen Ansprechpartner benennen. Zusätzlich besteht die Pflicht zur Registrierung einer Kontaktstelle gemäß §8b (3 BSIG.
Umsetzungsvorgaben Abschnitt E.	Zertifizierung: Das ISMS muss durch eine DAkkS-akkreditierte Zertifizierungsstelle auf der Basis von ISO/IEC 27001 zertifiziert werden. Das Zertifikat hat eine Gültigkeit von 3 Jahren (bei jährlichen Überwachungsaudits).
Abweichende Regelungen für Anlagen nach § 7 (1 ATG Abschnitt F.	tbd

Weitere Informationen

Literatur

KRITIS-Sektor Energie, OpenKRITIS
Energie, EnWG und NIS2, OpenKRITIS

Quellen

Festlegung kritischer Funktionen, Tenor 4.12.09/1, 2025, Bundesnetzagentur
Festlegung - Erstellung eines IT-Sicherheitskataloges nach &11 (1a und 1b) EnWG Konsultationsverfahren, 07.05.2025, Bundesnetzagentur
Festlegung - Erstellung eines IT-Sicherheitskatalogs nach §5c Abs. 1–3 EnWG, 06.01.2026, Bundesnetzagentur
Übersichtsseite zum IT-Sicherheitskatalog für Strom- und Gasnetze gemäß §11 (1a) EnWG, Bundesnetzagentur (BNetzA), Stand August 2015
Übersichtsseite zum IT-Sicherheitskatalog für Energieanlagen gemäß §11 (1b) EnWG, Bundesnetzagentur (BNetzA), Stand Dezember 2018
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie, Regierungsentwurf 25.07.2025, BMI
Regierungsentwurf des Bundesregierung: KRITIS-Dachgesetz (KRITISDachG) 10. September 2025, Bundesinnenministerium
Übersichtsseite zu LNG-Anlagen, Bundesnetzagentur (BNetzA), o.D.