EnWG Sicherheitskataloge

Unternehmen im Sektor Energie, die bestimmte Anlagentypen betreiben, fallen generell unter die Regulierung durch das Energiewirtschaftsgesetz (EnWG). Dies betrifft Betreiber von Energieversorgungsnetzen und Energieanlagen, die nach der BSI-Kritisverordnung als KRITIS bestimmt wurden.

EnWG und KRITIS
EnWG und NIS2
EnWG und DachG
Sicherheitskataloge
EU-Kodex

Für diese Anlagen ist das BSIG (KRITIS) dann nicht einschlägig, sondern das EnWG. Dieses fordert den Betrieb eines sicheren Energieversorungsnetzes (1a) und einen sicheren Anlagenbetriebs (1b) und die Umsetzung von BNetzA-Sicherheitskatalogen. Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz bleibt diese Mehrfach-Regulierung ab 2025 erhalten.

Mapping von ISO 27001:2022 und KRITIS

Abgleich von BSI KRITIS und Maßnahmen der ISO 27001:2022
PDF ∙ OpenKRITIS-Analyse von KRITIS-Standards ∙ 2023

Energie und Kritische Infrastrukturen

EnWG und KRITIS (bis 2024)

Ausnahmeregelungen

KRITIS-Betreiber, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind und den Regelungen von §11 unterliegen, müssen nach §8d (2) Nr. 2 BSIG keine KRITIS-Maßnahmen nach §8a BSIG umsetzen. Für diese KRITIS-Betreiber gilt stattdessen das Energiewirtschaftsgesetz.

Energiewirtschaftsgesetz (EnWG)

Das Energiewirtschaftsgesetz EnWG regelt in §11 die Pflichten der Betreiber von Energieanlagen und Energieversorgungsnetzen. Die wichtigsten Regelungen sind:

Betreiber von Energieversorgungsnetzen (Strom und Gas) müssen einen angemessenen Schutz ihrer IT-Systeme gewährleisten, die für einen sicheren Netzbetrieb notwendig sind. Dazu müssen sie den BNetzA IT-Sicherheitskatalog gemäß §11 Abs. 1a umsetzen. Der Katalog regelt neben Sicherheitsmaßnahmen auch das Vorgehen zur regelmäßigen Überprüfung.
Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung Kritische Infrastruktur sind (d.h., als KRITIS die Schwellenwerte überschreiten) und an ein Energieversorgungsnetz angeschlossen sind, müssen einen angemessenen Schutz ihrer IT-Systeme für einen sicheren Anlagenbetrieb gewährleisten. Dazu müssen sie den BNetzA IT-Sicherheitskatalog gemäß §11 Abs. 1b umsetzen. Der Katalog regelt neben Sicherheitsmaßnahmen auch das Vorgehen zur regelmäßigen Überprüfung.
Sicherheitsvorfälle mit Auswirkungen sowie Vorfälle mit potentiellen Auswirkungen auf den Betrieb des Energieversorgungsnetzes oder der betreffenden Energieanlage müssen dem BSI gemeldet werden §11 Abs. 1c. Das BSI leitet die Meldung an die BNetzA weiter.
Betreiber müssen nach §11 Abs. 1d spätestens bis zum 1. April jeden Jahres die von ihnen betriebene Anlage beim BSI registrieren und einen Sicherheitsbeauftragen als Kontaktstelle benennen. Das BSI leitet die Registrierung und Kontaktdaten dann an die BNetzA weiter.
Betreiber müssen Systeme zur Angriffserkennung nach §11 Abs. 1e einsetzen und den Einsatz nach §11 Abs. 1f regelmäßig gegenüber dem BSI nachgewiesen werden. Das BSI leitet die hierfür eingereichten Nachweisdokumente an die BNetzA weiter.
Die BNetzA legt nach §11 Abs. 1g bis zum 22. Mai 2023 einen weiteren Katalog vor, der die kritischen Komponenten im Sinne des § 2 Abs. 13 S. 1 Nr. 3 a) BSIG sowie die kritischen Funktionen im Sinne des § 2 Abs. 13 S. 1 Nr. 3 b) BSIG definiert. Betreiber müssen die Vorgaben dieses Katalogs spätestens 6 Monate nach Inkrafttreten erfüllen. Der neue Katalog soll mit den bestehenden IT-Sicherheitskatalogen nach §11 Abs. 1a/1b verbunden werden.

EnWG und NIS2 (ab 2025)

Auch mit der NIS2-Umsetzung bleibt im Energiesektor Mehrfach-Regulierung erhalten. Betreiber bestimmter Energieanlagen werden nicht nur durch NIS2 und KRITIS reguliert, sondern fallen in einigen Teilen weiterhin unter das neue EnWG.

Das Energiewirtschaftsgesetz EnWG wird mit dem NIS2-Umsetzungsgesetz ab 2025 revidiert. Es regelt zukünftig in §5c IT-Sicherheit im Anlagen und Netzbetrieb die Pflichten der Betreiber von Energieanlagen und Energieversorgungsnetzen.

Ausnahmeregelungen

NIS2-Einrichtungen, die Betreiber von Energieversorgungsnetzen oder Energieanlagen oder digitalen Energiediensten im Sinne des EnWG sind und den Regelungen von §5c unterliegen, müssen nach §28 (4) BSIG-E (NIS2UmsuCG) keine NIS2-Maßnahmen nach §§ 30, 31, 32, 35, 36, 38, 39 umsetzen oder prüfen.

Es gelten stattdessen die Anforderungen aus §5c EnWG. Die Ausnahme gilt (vermutlich) für alle IT-Systeme, Komponenten und Prozesse, die den Regelungen des §5c EnWG unterliegen. Für das übrige Unternehmen gilt (vermutlich) NIS2.

Energiewirtschaftsgesetz

Der Entwurf von §5c des neuen EnWG unterscheidet künftig zwischen vier Gruppen von Betreibern:

Betreiber	Anlagen	Details
Energieversorgungsnetze	Strom- und Gasnetze	unabhängig ihrer Größe
Energieanlagen	Anlagen nach §2 EnWG, die an Energieversorgungsnetz angeschlossen sind	wenn Betreiber mit NIS2-Methodik besonders wichtige oder wichtige Einrichtung
Energiedienste	Anlagen nach §2 EnWG, die an Energieversorgungsnetz angeschlossen sind	wenn Betreiber mit NIS2-Methodik besonders wichtige oder wichtige Einrichtung
KRITIS-Energieversorgungsnetze oder -Anlagen	kritische Versorgungsnetze oder Anlagen nach KRITIS-Methodik	Anlagentypen, die KRITIS-Schwellenwerte überschreiten

Die wichtigsten Regelungen und Anforderungen aus dem neuen EnWG sind:

§5c (1) Betreiber von Energieversorgungsnetzen müssen einen angemessenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten, die für einen sicheren Netzbetrieb notwendig sind. Dieser muss auch die Beschaffung von Anlagengütern und Dienstleistungen betreffen. Die BNetzA erstellt dazu einen Katalog mit Sicherheitsanforderungen, der durch die Betreiber einzuhalten ist.
Dieser Katalog wird den bestehenden IT-Sicherheitskatalog gemäß §11 Abs. 1a EnWG ersetzen und die in §§31, 32, 35 und 39 BSIG-E (NIS2UmsuCG) enthaltenen Anforderungen aufgreifen.
§5c (2) Betreiber von Energieanlagen müssen einen angemessenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. Die BNetzA erstellt dazu einen Katalog mit Sicherheitsanforderungen, der durch die Betreiber einzuhalten ist.
Dieser Katalog wird den bestehenden IT-Sicherheitskatalog gemäß §11 Abs. 1b EnWG ersetzen und die in §§31, 32, 35 und 39 BSIG-E (NIS2UmsuCG) enthaltenen Anforderungen aufgreifen.
§5c (3) Betreiber von digitalen Energiediensten müssen einen angemessenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. Die BNetzA erstellt dazu einen Katalog mit Sicherheitsanforderungen, der durch die Betreiber einzuhalten ist.
§5c (4) Stand der Technik muss in beiden IT-Sicherheitskatalogen eingehalten werden. Maßnahmen aus den Katalogen müssen im Hinblick auf Risikoexposition, Eintrittswahrscheinlichkeit, Auswirkungen und Größe des Betreibers angemessen sein. Die IT-Sicherheitskataloge müssen mindestens die in §30 (2) BSIG-E (NIS2UmsuCG) genannten Themen umfassen, plus Systeme zur Angriffserkennung. Die BNetzA kann in den Sicherheitskatalogen auch Regelungen zur regelmäßigen Überprüfung der Anforderungserfüllung festlegen.
§5c (5) Dokumentation und Mängelbeseitigung: Betreiber von Energieversorgungsnetzen und Betreiber von Energieanlagen müssen der BNetzA die Dokumentation über die Einhaltung der Anforderungen des jeweiligen Sicherheitskatalogs übermitteln. Die BNetzA kann die Vorlage des Mängelbeseitigungsplans verlangen und die Beseitigung von Mängeln innerhalb einer festgesetzten Fristen verlangen. etreiber müssen der BNetzA oder den in deren Auftrag handelnen Personen zum Zweck einer Überprüfung Vor-Ort-Begehungen, Dokumenteneinsicht, Auskunft oder anderweitige Unterstützung gewähren.
§5c (6) Überprüfung: Bei Verdacht, dass Betreiber von Energieanlagen Sicherheitsanforderungen nicht oder nicht richtig umsetzen, kann die BNetzA Informationen anfordern, um die Einhaltung zu überprüfen.
Unklar: Was ist mit Betreibern von Energieversorgungsnetzen? Auch sind Betreiber von Energieanlagen bereits in Abs. 4 inkludiert. Ggf. ist diese Unschärfe der Historie geschuldet.
§5c (7) Erhebliche Sicherheitsvorfälle müssen durch Betreiber von Energieversorgungsnetzen oder Betreiber von Energieanlagen an eine gemeinsame Meldestelle von BSI und BBK gemeldet werden. Der Umfang der Meldung entspricht den Vorgaben aus §32 BSIG-E (NIS2UmsuCG).
§5c (8) Das BSI tauscht Informationen über Sicherheitsvorfälle mit Relevanz für die Energieversorgungssicherheit mit der BNetzA aus. Die BNetzA kann vom betroffenen Unternehmen die Herausgabe von Informationen einschließlich personenbezogenen Daten verlangen. Die BNetzA kann Betreiber von Übertragungs- und Fernleitungsnetzen einbeziehen.
§5c (9) Betreiber von Energieversorgungsnetzen und Betreiber von Energieanlagen müssen sich spätestens bis zum 01. April, erstmalig oder erneut beim BSI registrieren. Das BSI übermittelt die Registrierungen und Kontaktdaten an die BNetzA Betreiber müssen über die beannte Kontaktstelle jederzeit erreichbar sein.
§5c (10) Geschäftsleiter betroffener Einrichtungen sind verpflichtet, die Sicherheitsanforderungen nach §5c (1) oder (2) umzusetzen und die Umsetzung zu überwachen.
§5c (11) Bei Pflichtverletzung haften Geschäftsleiter ihrer Einrichtung für einen schuldhaft verursachten Schaden.
§5c (12) Geschäftsleiter müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und zum Risikomanagement zu erlangen und die Auswirkungen von Risiken beurteilen zu können..
§5c (13)Die BNetzA legt einen weiteren Katalog vor, der die kritischen Komponenten im Sinne des § 2 Nr. 23 c) aa) BSIG-E sowie die kritisch bestimmten Funktionen im Sinne des § 2 Nr. 23 c) bb) BSIG-E definiert. Der neue Katalog soll mit den neuen IT-Sicherheitskatalogen nach §5c (1)(2) verbunden werden. Betreiber von KRITIS-Energieversorgungsnetzen und Betreiber von KRITIS-Energie-Anlagen müssen den Katalog spätestens 6 Monate nach Inkrafttreten erfüllen.
Diese Forderung ist bereits jetzt in §11 (1g) EnWG verankert; der Katalog sollte eigentlich bis zum 22. Mai 2023 vorgelegt werden. Die Forderung gilt im Unterschied zu den vorherigen Absätzen nur für Versorgungsnetze und Anlagen, die kritische Anlagen nach §2 Nr. 22 BSIG-E sind.

Im bisherigen §11 EnWG werden die Absätze 1a bis 1g aufgehoben und §95 EnWG wird um Ordnungswidrigkeiten und Bußgelder für Verstöße gegen §5c EnWG erweitert.

EnWG und KRITIS-DachG (ab 2024)

Das KRITIS-Dachgesetz verlagert ebenfalls einige Pflichten ins EnWG und verstärkt so die Mehrfach-Regulierung.

Das Energiewirtschaftsgesetz EnWG wird mit dem KRITIS-Dachgesetz ab 2024 revidiert. Es regelt zukünftig in §5d Resilienznachweis die Pflichten der Betreiber von KRITIS-Anlagen im Energiesektor.

Ausnahmeregelungen

Die Nachweispflichten aus §16 (1)-(6) KRITIS-DachG gelten nach §16 (7) KRITIS-DachG nicht für Betreiber kritischer Anlagen aus dem Energiesektor.

Es gelten stattdessen die Nachweispflichten aus §5d EnWG. Diese betreffen den Nachweis der Erfüllung der Resilienzpflichten aus dem KRITIS-Dachgesetz – die Resilienzpflichten selbst werden auch für Energiebetreiber weiterhin im KRITIS-Dachgesetz geregelt.

Energiewirtschaftsgesetz

Das EnWG wird durch das KRITIS-Dachgesetz angepasst, der Entwurf enthält die Änderungen in Artikel 2. Dort ist ein neuer §5d EnWG-E vorgesehen, der Resilienz-Nachweispflichten für Betreiber Kritischer Anlagen im Energiesektor definiert.

§5d (1) Betreiber von KRITIS-Anlagen i.S.d. KRITIS-DachG müssen die Einhaltung der Pflichten nach § 14 (1) KRITIS-DachG dokumentieren und der Bundesnetzagentur gegenüber nachweisen
Vermutlich ein Fehler im Entwurf, der Verweis müsste die Resilienzpflichten in § 13 betreffen.
§5d (2) Betreiber müssen der BNetzA zum Zweck der Überprüfung der Einhaltung der Verpflichtungen das Betreten der Geschäfts- und Betriebsräume sowie Zugang zu Informationen, Systemen und Anlagen im Zusammenhang mit der Erbringung ihrer kritischen Dienstleistung gestatten.
§5d (3) Die BNetzA kann im Benehmen mit BBK und BSI in einem Sicherheitskatalog nähere Bestimmungen zu Format, Inhalt und Gestaltung von Nachweisen und zur Behebung von Mängeln bei der Erfüllung der Verpflichtungen nach §14 Absatz 1 des KRITIS-Dachgesetzes treffen. Der Sicherheitskatalog soll auch Regelungen zur regelmäßigen Überprüfung der Anforderungserfüllung festlegen.
Vermutlich ein Fehler im Entwurf, der Verweis müsste die Resilienzpflichten in § 13 betreffen..
§5d (4) Es muss eine Anhörung betroffener Wirtschaftsverbände vor Erlass des neuen Sicherheitskatalogs geben.
§5d (5) Betreiber von KRITIS-Anlagen i.S.d. KRITIS-DachG übermitteln der BNetzA die Dokumentation nach §5d Abs. 1.

Sicherheitskataloge BNetzA

Hintergrund der Kataloge

Die Bundesnetzagentur (BNetzA) hat für das EnWG zwei Kataloge mit Sicherheitsanforderungen und Regelungen zur regelmäßigen Überprüfung erstellt. Betreiber müssen die für sie relevanten Kataloge einhalten und die Umsetzung dokumentieren.

Katalog	ab	Betreiber
IT‑Sicherheitskatalog §11 Abs. 1a EnWG	2015	Betreiber von Energieversorgungsnetzen Stromübertragungsnetze (Nr. 1.2.1 BSI-KritisV) Stromverteilnetze (Nr. 1.3.1 BSI-KritisV) Gasfernleitungsnetze (Nr. 2.2.1 BSI-KritisV) Gasgrenzübergabestellen (Nr. 2.2.2 BSI-KritisV) LNG-Anlagen (Nr. 2.2.4 BSI-KritisV. LNG-Anlagen gelten i.S.d. §3 Nr. 20 EnWG als Gasnetz. Auch die BNetzA stuft LNG-Anlagen rechtlich betrachtet als Gasnetz ein.) Gasverteilnetze (Nr. 2.3.1 BSI-KritisV)
IT‑Sicherheitskatalog §11 Abs. 1b EnWG	2018	Betreiber von Energieanlagen nach KRITIS-Verordnung Anhang 1, Teil 3, die an ein Energieversorgungsnetz angeschlossen sind Erzeugungsanlagen: Anlagen i.S.d. §3 Nr. 18d oder Nr. 11 EnWG, z. B. Photovoltaikanlagen, Gaskraftwerke, Windkraftanlagen. Diese Kategorie umfasst auch Anlagen zur Speicherung von elektrischer Energie sowie dezentrale Energieerzeuungsanlagen. (Nr. 1.1.1 BSI-KritisV) Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (Nr. 1.1.2 BSI-KritisV) Gasförderanlagen (Nr. 2.1.1 BSI-KritisV) Anlagen zur zentralen standortübergreifenden Steuerung in der Gasversorgung (Nr. 2.1.2 BSI-KritisV) Gasspeicher (Nr. 2.2.3 BSI-KritisV) Hinweis: die Anlagendefinitionen sind ggf. nicht (mehr) ganz korrekt
IT-Sicherheitskatalog neu §5c Abs. 1 EnWG	2024?	Betreiber von Energieversorgungsnetzen ersetzt Katalog §11 Abs. 1a setzt NIS2-Pflichten um
IT-Sicherheitskatalog neu§5c Abs. 2 EnWG	2024?	Betreiber von Energieanlagen ersetzt Katalog §11 Abs. 1b setzt NIS2-Pflichten um
IT-Sicherheitskatalog neu§5c Abs. 3 EnWG	2024?	Betreiber von digitalen Energiediensten neuer Katalog für neue Gruppe von Betreibern setzt NIS2-Pflichten um
IT-Sicherheitskatalog neu§5c Abs. 12 EnWG	2024?	Betreiber von KRITIS-Energieversorgungsnetzen und -Energieanlagen ersetzt Katalog §11 Abs. 1g (bisher nicht veröffentlicht) regelt Einsatz kritischer Komponenten und als kritisch bestimmter Funktionen
IT-Sicherheitskatalog Resilienz §5d Abs. 3 EnWG	2025?	Betreiber kritischer Anlagen i.S.d. KRITIS-DachG setzt KRITIS-Dachgesetz Pflichten um

IT-Sicherheitskatalog §11 Abs. 1a

Der IT-Sicherheitskatalog (IT-SiKat) gemäß §11 Abs. 1a EnWG gilt seit August 2015 für Betreiber von Energieversorgungsnetzen. Konkret betrifft dies:

Stromübertragungsnetze (Nr. 1.2.1 BSI-KritisV)
Stromverteilnetze (Nr. 1.3.1 BSI-KritisV)
Gasfernleitungsnetze (Nr. 2.2.1 BSI-KritisV)
Gasgrenzübergabestellen (Nr. 2.2.2 BSI-KritisV)
LNG-Anlagen (Nr. 2.2.4 BSI-KritisV. LNG-Anlagen gelten i.S.d. §3 Nr. 20 EnWG als Gasnetz. Auch die BNetzA stuft LNG-Anlagen rechtlich betrachtet als Gasnetz ein.)
Gasverteilnetze (Nr. 2.3.1 BSI-KritisV)

aus BNetzA IT-Sicherheitskatalog 1a Stand 2015
Abschnitt	Inhalt
Einleitung Abschnitt A.	Einleitende Informationen Erläuterungen zum Aufbau des Katalogs Hervorhebung der Kernforderung: Einführung eines ISMS nach ISO/IEC 27001 und Zertifizierung
Rechtliche Grundlagen Abschnitt B.	Herleitung aus §11 Abs. 1a EnWG Zusammenhang mit IT-Sicherheitsgesetz bzw. BSIG Zusammenarbeit zwischen BNetzA und BSI Angemessener Schutz liegt gemäß §11 Abs. 1a S. 4 EnWG vor, wenn der IT-Sicherheitskatalog eingehalten wird
Schutzziele Abschnitt C.	Definition der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität Forderung nach Angemessenheit über individuellen Schutzbedarf Verantwortung für die Erfüllung der Schutzziele durch Netzbetreiber, auch wenn hierzu Dritte bedient werden
Geltungsbereich Abschnitt D.	Generischer Geltungsbereich des IT-Sicherheitskatalogs Vorgehensweise zur Identifizierung der konkret betroffenen TK- und EDV-Systeme durch den Betreiber Mindestanforderungen an Geltungsbereich für die anzuwendenden Maßnahmen: muss mindestens alle TK- und EDV-Systeme des Netzbetreibers enthalten, die direkter Teil der Netzsteuerung sind, unmittelbar Einfluss nehmen auf die Netzfahrweise, sowie alle TK- und EDV-Systeme, die nicht direkt Teil der Netzsteuerung sind, deren Ausfall jedoch die Sicherheit des Netzbetriebs gefährden könnte. Ausnahmen für Messsysteme nach §21d EnWG, wenn diese nicht zu netzbetrieblichen Zwecken eingesetzt werden. Vorgaben aus dem IT-Sicherheitskatalog müssen an Dritte (bzw. bei Outsourcing) über entsprechende Vereinbarungen weitergegeben werden.
Sicherheitsanforderungen Abschnitt E.	ISMS: Netzbetreiber müssen ein ISMS nach den Anforderungen der ISO/IEC 27001 implementieren. Das ISMS muss als regelmäßiger Prozess in die Organisationsstrukturen eingebunden werden. Bei der Implementierung des ISMS sind die Normen ISO/IEC 27002 und ISO/IEC 27019 zu berücksichtigen. Der Betrieb der relevanten TK- und EDV-Systeme muss ordnungsgemäß erfolgen. Netzstrukturplan: Der Betreiber muss für alle vom Geltungsbereich des IT-Sicherheitskatalogs betroffenen Anwendungen, Systeme und Komponenten eine Übersicht erstellen. Die Übersicht muss vorgegebene Technologiekategorien berücksichtigen. Eine Gruppierung von Systemen oder getrennte Teilpläne sind erlaubt. Risikoeinschätzung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Vorgaben für die Schadenskategorien (kritisch, hoch, mäßig) und bei der Einstufung zu betrachtende Kriterien. Risikobehandlung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Maßnahmen sind angemessen und nach dem allgemein anerkannten "Stand der Technik" zu wählen. Ansprechpartner IT-Sicherheit: Für die Koordination und Kommunikation der IT-Sicherheit gegenüber der Bundesnetzagentur muss der Netzbetreiber einen Ansprechpartner benennen.
Umsetzungsvorgaben Abschnitt F.	Zertifizierung: Das ISMS muss durch eine DAkkS-akkreditierte Zertifizierungsstelle auf der Basis von DIN ISO/IEC 27001 zertifiziert werden. Das Zertifikat hat eine Gültigkeit von 3 Jahren (bei jährlichen Überwachungsaudits).

IT-Sicherheitskatalog §11 Abs. 1b

Der IT-Sicherheitskatalog (IT-SiKat) gemäß §11 Abs. 1b EnWG gilt seit 2018 für Betreiber von Energieanlagen, die nach der BSI-KritisV als KRITIS bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind. Konkret im Katalog genannt werden*:

Erzeugungsanlagen: Anlagen i.S.d. §3 Nr. 18d oder Nr. 11 EnWG, z. B. Photovoltaikanlagen, Gaskraftwerke, Windkraftanlagen. Diese Kategorie umfasst auch Anlagen zur Speicherung von elektrischer Energie sowie dezentrale Energieerzeuungsanlagen. (Nr. 1.1.1 BSI-KritisV)
Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (Nr. 1.1.2 BSI-KritisV)*
Gasförderanlagen (Nr. 2.1.1 BSI-KritisV)
Anlagen zur zentralen standortübergreifenden Steuerung in der Gasversorgung (Nr. 2.1.2 BSI-KritisV)
Gasspeicher (Nr. 2.2.3 BSI-KritisV)
Hinweis: die Anlagendefinitionen und Verweise sind ggf. nicht (mehr) ganz korrekt

aus BNetzA IT-Sicherheitskatalog 1b Stand 2018
Abschnitt	Inhalt
Einleitung Abschnitt A.	Einleitende Informationen Zusammenwirken und Abgrenzung zum IT-Sicherheitskatalog nach §11 Abs. 1a EnWG
Schutzziele Abschnitt B.	Definition der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität Besondere Schutzziele nach Anlagenkategorien
Geltungsbereich Abschnitt C.	Generischer Geltungsbereich des IT-Sicherheitskatalogs Vorgehensweise zur Identifizierung der konkret betroffenen TK- und EDV-Systeme durch den Betreiber Mindestanforderungen an Geltungsbereich für die anzuwendenden Maßnahmen: muss mindestens alle TK- und EDV-Systeme des Netzbetreibers enthalten, die für einen sicheren Anlagenbetrieb notwendig sind. Vorgaben aus dem IT-Sicherheitskatalog müssen an Dritte (bzw. bei Outsourcing) über entsprechende Vereinbarungen weitergegeben werden. Betreiber müssen alle in der Energieanlage eingesetzten TK- und EDV-Systeme in ein vorgegebenes 6-Zonen-Schema einteilen. Dies betrifft sowohl Systeme für die Prozessführung und im Leitstand als auch Büro- und Verwaltungsinformationssysteme. Definition der 6 verschiedenen Zonen mit Beispielen
Sicherheitsanforderungen Abschnitt D.	ISMS: Anlagenbetreiber müssen ein ISMS nach den Anforderungen der ISO/IEC 27001 implementieren. Das ISMS muss als regelmäßiger Prozess in die Organisationsstrukturen eingebunden werden und mindestens die Anwendungen, Systeme und Komponenten der Zonen 1 bis 3 umfassen. Bei der Implementierung des ISMS sind die Normen ISO/IEC 27002 und ISO/IEC 27019 zu berücksichtigen. Der Betrieb der relevanten TK- und EDV-Systeme muss ordnungsgemäß erfolgen. Risikoeinschätzung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Vorgaben für die Schadenskategorien (kritisch, hoch, mäßig, gering) und bei der Einstufung zu betrachtende Kriterien. Risikobehandlung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Maßnahmen sind mindestens für die Anwendungen, Systeme und Komponenten der Zonen 1 bis 3 sowie angemessen, geeignet und nach dem allgemein anerkannten Stand der Technik zu wählen. Risiken für Anwendungen, Systeme und Komponenten in Zone 1 dürfen nicht akzeptiert werden. Ansprechpartner IT-Sicherheit: Für die Koordination und Kommunikation der IT-Sicherheit gegenüber der Bundesnetzagentur muss der Anlagenbetreiber einen Ansprechpartner benennen. Zusätzlich besteht die Pflicht zur Registrierung einer Kontaktstelle gemäß §8b Abs. 3 BSIG.
Umsetzungsvorgaben Abschnitt E.	Zertifizierung: Das ISMS muss durch eine DAkkS-akkreditierte Zertifizierungsstelle auf der Basis von ISO/IEC 27001 zertifiziert werden. Das Zertifikat hat eine Gültigkeit von 3 Jahren (bei jährlichen Überwachungsaudits).
Abweichende Regelungen für Anlagen nach § 7 Abs. 1 ATG Abschnitt F.	tbd

EU-Verordnungen

Aufgrund der Bedeutung der Energieversorgung nicht nur auf nationaler Ebene, sondern grenzüberschreitend im gesamten EU-Raum, regeln zusätzlich diverse EU-Richtlinien und EU-Verordnungen Aspekte zur Energieversorgung in Nationalstaaten.

Die Europäische Kommission hat im Oktober 2023 einen Entwurf für Cybersecurity in der EU-Stromversorgung zur Kommentierung vorgelegt. Der Entwurf ergänzt EU-Verordnung 2019/943 über den Elektrizitätsbinnenmarkt durch die Festlegung eines Netzkodexes mit Vorschriften für Cybersecurity grenzüberschreitender Stromflüsse. Der Kodex gilt als wichtige Maßnahme zur Verbesserung der Widerstandsfähigkeit kritischer Energieinfrastrukturen und -dienste.

Der Entwurf sieht regelmäßige EU-weite, regionale und nationale Cyber Risk Assessments durch Behörden vor. Auf Basis dieser Assessments sollen periodisch Cyber Risk Mitigation Pläne für Betriebsregionen entwickelt werden. Diese sollen minimale und fortgeschrittene Cybersecurity-Maßnahmen enthalten und verbleibende Cyberrisiken in den Regionen nach Anwendung der definierten Maßnahmen aufzeigen.

Der Netzkodex soll in Zusammenarbeit von Übertragungsnetzbetreibern (TSOs) und Verbänden (ENTSO-E, EU DSO Entity) erarbeitet werden und als Governance-Modell gemeinsame Methoden festlegen, etwa zu:

einem umfassenden grenzüberschreitenden Risikomanagementverfahren
Mindest- und fortgeschrittenen Cybersicherheitskontrollen
dem Austausch von Cybersicherheitsinformationen, um eine rechtzeitige Information und eine rasche und koordinierte Reaktion der einschlägigen Akteure zu gewährleisten;
Regeln für die Behandlung von Cybersicherheitsvorfällen und das Krisenmanagement;
einen Rahmen für Cybersicherheitsübungen, um die Bereitschaft aller Betreiber zu stärken;
Regeln für den Schutz des Informationsaustauschs;
einen Rahmen für Überwachung, Benchmarking und Berichterstattung.

Der Netzkodex soll für high-risk und critical risk entitiesgelten, die mithilfe der in ECII, dem Electricity Cybersecurity Impact Index, definierten Schwellenwerte ermittelt werden.

Weitere Informationen

Literatur

KRITIS-Sektor Energie, OpenKRITIS

Quellen

Übersichtsseite zum IT-Sicherheitskatalog für Strom- und Gasnetze gemäß §11 Abs. 1a EnWG, Bundesnetzagentur (BNetzA), Stand August 2015
Übersichtsseite zum IT-Sicherheitskatalog für Energieanlagen gemäß §11 Abs. 1b EnWG, Bundesnetzagentur (BNetzA), Stand Dezember 2018
Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, Referentenentwurf, Innenministerium, 22.07.2024
Referentenentwurf KRITIS-Dachgesetz – KRITIS-DachG April 2024, intrapol, August 2024
Übersichtsseite zu LNG-Anlagen, Bundesnetzagentur (BNetzA), o.D.

EnWG Sicherheitskataloge

Energie und Kritische Infrastrukturen

EnWG und KRITIS (bis 2024)

Ausnahmeregelungen

Energiewirtschaftsgesetz (EnWG)

EnWG und NIS2 (ab 2025)

Ausnahmeregelungen

Energiewirtschaftsgesetz

EnWG und KRITIS-DachG (ab 2024)

Ausnahmeregelungen

Energiewirtschaftsgesetz

Sicherheitskataloge BNetzA

Hintergrund der Kataloge

IT-Sicherheits­katalog §11 Abs. 1a

IT-Sicherheits­katalog §11 Abs. 1b

EU-Verordnungen

Weitere Informationen

Literatur

Quellen

IT-Sicherheitskatalog §11 Abs. 1a

IT-Sicherheitskatalog §11 Abs. 1b