EnWG Sicherheitskataloge

Regulierung für Energiebetreiber

Die Bundesnetzagentur (BNetzA) hat für EnWG-regulierte Betreiber Mitte der 2010er-Jahre zwei Kataloge mit Sicherheits­anforderungen erstellt, die 1a und 1b Kataloge. Mit NIS2 und KRITIS-Dachgesetz wird es ab 2025 und 2026 diverse neue Kataloge geben müssen.

Stand Mai 2025, Quelle: eigene Zusammenstellung und BNetzA

Katalog	ab	Betreiber
IT‑Sicherheitskatalog §11 Abs. 1a EnWG	2015	Betreiber von Energieversorgungsnetzen Stromübertragungsnetze (Nr. 1.2.1 BSI-KritisV) Stromverteilnetze (Nr. 1.3.1 BSI-KritisV) Gasfernleitungsnetze (Nr. 2.2.1 BSI-KritisV) Gasgrenzübergabestellen (Nr. 2.2.2 BSI-KritisV) LNG-Anlagen (Nr. 2.2.4 BSI-KritisV. LNG-Anlagen gelten i.S.d. §3 Nr. 20 EnWG als Gasnetz. Auch die BNetzA stuft LNG-Anlagen rechtlich betrachtet als Gasnetz ein.) Gasverteilnetze (Nr. 2.3.1 BSI-KritisV)
IT‑Sicherheitskatalog §11 Abs. 1b EnWG	2018	Betreiber von Energieanlagen nach KRITIS-Verordnung Anhang 1, Teil 3, die an ein Energieversorgungsnetz angeschlossen sind Erzeugungsanlagen: Anlagen i.S.d. §3 Nr. 18d oder Nr. 11 EnWG, z. B. Photovoltaikanlagen, Gaskraftwerke, Windkraftanlagen. Diese Kategorie umfasst auch Anlagen zur Speicherung von elektrischer Energie sowie dezentrale Energieerzeuungsanlagen. (Nr. 1.1.1 BSI-KritisV) Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (Nr. 1.1.2 BSI-KritisV) Gasförderanlagen (Nr. 2.1.1 BSI-KritisV) Anlagen zur zentralen standortübergreifenden Steuerung in der Gasversorgung (Nr. 2.1.2 BSI-KritisV) Gasspeicher (Nr. 2.2.3 BSI-KritisV) Hinweis: die Anlagendefinitionen sind ggf. nicht (mehr) ganz korrekt
IT-Sicherheitskatalog neu §11 Abs. 1a EnWG §11 Abs. 1b EnWG	2025 Konsultation	Betreiber von Energieversorgungsnetzen und Energieanlagen aktualisiert Katalog §11 Abs. 1a aktualisiert Katalog §11 Abs. 1b setzt NIS2-und RCE-Pflichten teilweise um
IT-Sicherheitskatalog neu §5c Abs. 1 EnWG-E §5c Abs. 2 EnWG-E	2025?	Betreiber von Energieversorgungsnetzen und Energieanlagen ersetzt Katalog §11 Abs. 1a ersetzt Katalog §11 Abs. 1b vollständige Umsetzung NIS2 und RCE
IT-Sicherheitskatalog neu§5c Abs. 3 EnWG-E	2025?	Betreiber von digitalen Energiediensten neuer Katalog für neue Gruppe von Betreibern setzt NIS2-Pflichten teilweise um
IT-Sicherheitskatalog neu§5c Abs. 12 EnWG-E	2025?	Betreiber von KRITIS-Energieversorgungsnetzen und -Energieanlagen ersetzt Katalog §11 Abs. 1g EnWG (bisher nicht veröffentlicht) Einsatz kritischer Komponenten und kritischer Funktionen
IT-Sicherheitskatalog neu§5d Abs. 3 EnWG-E	2025?	Betreiber kritischer Anlagen i.S.d. KRITIS-DachG setzt KRITIS-Dachgesetz Pflichten um

IT-Sicherheits­katalog Netze (1a)

Der IT-Sicherheits­katalog (IT-SiKat) gemäß §11 Abs. 1a EnWG gilt seit August 2015 für Betreiber von Energieversorgungsnetzen. Konkret betrifft dies:

• Stromübertragungsnetze (Nr. 1.2.1 BSI-KritisV)
• Stromverteilnetze (Nr. 1.3.1 BSI-KritisV)
• Gasfernleitungsnetze (Nr. 2.2.1 BSI-KritisV)
• Gasgrenzübergabestellen (Nr. 2.2.2 BSI-KritisV)
• LNG-Anlagen (Nr. 2.2.4 BSI-KritisV. LNG-Anlagen gelten i.S.d. §3 Nr. 20 EnWG als Gasnetz. Auch die BNetzA stuft LNG-Anlagen rechtlich betrachtet als Gasnetz ein.)
• Gasverteilnetze (Nr. 2.3.1 BSI-KritisV)

aus BNetzA IT-Sicherheitskatalog 1a Stand 2015

Abschnitt	Inhalt
Einleitung Abschnitt A.	Einleitende Informationen Erläuterungen zum Aufbau des Katalogs Hervorhebung der Kernforderung: Einführung eines ISMS nach ISO/IEC 27001 und Zertifizierung
Rechtliche Grundlagen Abschnitt B.	Herleitung aus §11 Abs. 1a EnWG Zusammenhang mit IT-Sicherheitsgesetz bzw. BSIG Zusammenarbeit zwischen BNetzA und BSI Angemessener Schutz liegt gemäß §11 Abs. 1a S. 4 EnWG vor, wenn der IT-Sicherheitskatalog eingehalten wird
Schutzziele Abschnitt C.	Definition der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität Forderung nach Angemessenheit über individuellen Schutzbedarf Verantwortung für die Erfüllung der Schutzziele durch Netzbetreiber, auch wenn hierzu Dritte bedient werden
Geltungsbereich Abschnitt D.	Generischer Geltungsbereich des IT-Sicherheitskatalogs Vorgehensweise zur Identifizierung der konkret betroffenen TK- und EDV-Systeme durch den Betreiber Mindestanforderungen an Geltungsbereich für die anzuwendenden Maßnahmen: muss mindestens alle TK- und EDV-Systeme des Netzbetreibers enthalten, die direkter Teil der Netzsteuerung sind, unmittelbar Einfluss nehmen auf die Netzfahrweise, sowie alle TK- und EDV-Systeme, die nicht direkt Teil der Netzsteuerung sind, deren Ausfall jedoch die Sicherheit des Netzbetriebs gefährden könnte. Ausnahmen für Messsysteme nach §21d EnWG, wenn diese nicht zu netzbetrieblichen Zwecken eingesetzt werden. Vorgaben aus dem IT-Sicherheitskatalog müssen an Dritte (bzw. bei Outsourcing) über entsprechende Vereinbarungen weitergegeben werden.
Sicherheitsanforderungen Abschnitt E.	ISMS: Netzbetreiber müssen ein ISMS nach den Anforderungen der ISO/IEC 27001 implementieren. Das ISMS muss als regelmäßiger Prozess in die Organisationsstrukturen eingebunden werden. Bei der Implementierung des ISMS sind die Normen ISO/IEC 27002 und ISO/IEC 27019 zu berücksichtigen. Der Betrieb der relevanten TK- und EDV-Systeme muss ordnungsgemäß erfolgen. Netzstrukturplan: Der Betreiber muss für alle vom Geltungsbereich des IT-Sicherheitskatalogs betroffenen Anwendungen, Systeme und Komponenten eine Übersicht erstellen. Die Übersicht muss vorgegebene Technologiekategorien berücksichtigen. Eine Gruppierung von Systemen oder getrennte Teilpläne sind erlaubt. Risikoeinschätzung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Vorgaben für die Schadenskategorien (kritisch, hoch, mäßig) und bei der Einstufung zu betrachtende Kriterien. Risikobehandlung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Maßnahmen sind angemessen und nach dem allgemein anerkannten "Stand der Technik" zu wählen. Ansprechpartner IT-Sicherheit: Für die Koordination und Kommunikation der IT-Sicherheit gegenüber der Bundesnetzagentur muss der Netzbetreiber einen Ansprechpartner benennen.
Umsetzungsvorgaben Abschnitt F.	Zertifizierung: Das ISMS muss durch eine DAkkS-akkreditierte Zertifizierungsstelle auf der Basis von DIN ISO/IEC 27001 zertifiziert werden. Das Zertifikat hat eine Gültigkeit von 3 Jahren (bei jährlichen Überwachungsaudits).

IT-Sicherheits­katalog Anlagen (1b)

Der IT-Sicherheits­katalog (IT-SiKat) gemäß §11 Abs. 1b EnWG gilt seit 2018 für Betreiber von Energieanlagen, die nach der BSI-KritisV als KRITIS bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind. Konkret im Katalog genannt werden*:

• Erzeugungsanlagen: Anlagen i.S.d. §3 Nr. 18d oder Nr. 11 EnWG, z. B. Photovoltaikanlagen, Gaskraftwerke, Windkraftanlagen. Diese Kategorie umfasst auch Anlagen zur Speicherung von elektrischer Energie sowie dezentrale Energieerzeuungsanlagen. (Nr. 1.1.1 BSI-KritisV)
• Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (Nr. 1.1.2 BSI-KritisV)*
• Gasförderanlagen (Nr. 2.1.1 BSI-KritisV)
• Anlagen zur zentralen standortübergreifenden Steuerung in der Gasversorgung (Nr. 2.1.2 BSI-KritisV)
• Gasspeicher (Nr. 2.2.3 BSI-KritisV)
• Hinweis: die Anlagendefinitionen und Verweise sind ggf. nicht (mehr) ganz korrekt

aus BNetzA IT-Sicherheitskatalog 1b Stand 2018

Abschnitt	Inhalt
Einleitung Abschnitt A.	Einleitende Informationen Zusammenwirken und Abgrenzung zum IT-Sicherheitskatalog nach §11 Abs. 1a EnWG
Schutzziele Abschnitt B.	Definition der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität Besondere Schutzziele nach Anlagenkategorien
Geltungsbereich Abschnitt C.	Generischer Geltungsbereich des IT-Sicherheitskatalogs Vorgehensweise zur Identifizierung der konkret betroffenen TK- und EDV-Systeme durch den Betreiber Mindestanforderungen an Geltungsbereich für die anzuwendenden Maßnahmen: muss mindestens alle TK- und EDV-Systeme des Netzbetreibers enthalten, die für einen sicheren Anlagenbetrieb notwendig sind. Vorgaben aus dem IT-Sicherheitskatalog müssen an Dritte (bzw. bei Outsourcing) über entsprechende Vereinbarungen weitergegeben werden. Betreiber müssen alle in der Energieanlage eingesetzten TK- und EDV-Systeme in ein vorgegebenes 6-Zonen-Schema einteilen. Dies betrifft sowohl Systeme für die Prozessführung und im Leitstand als auch Büro- und Verwaltungsinformationssysteme. Definition der 6 verschiedenen Zonen mit Beispielen
Sicherheitsanforderungen Abschnitt D.	ISMS: Anlagenbetreiber müssen ein ISMS nach den Anforderungen der ISO/IEC 27001 implementieren. Das ISMS muss als regelmäßiger Prozess in die Organisationsstrukturen eingebunden werden und mindestens die Anwendungen, Systeme und Komponenten der Zonen 1 bis 3 umfassen. Bei der Implementierung des ISMS sind die Normen ISO/IEC 27002 und ISO/IEC 27019 zu berücksichtigen. Der Betrieb der relevanten TK- und EDV-Systeme muss ordnungsgemäß erfolgen. Risikoeinschätzung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Vorgaben für die Schadenskategorien (kritisch, hoch, mäßig, gering) und bei der Einstufung zu betrachtende Kriterien. Risikobehandlung: Prozesse müssen entsprechend der ISO/IEC 27001 implementiert werden. Maßnahmen sind mindestens für die Anwendungen, Systeme und Komponenten der Zonen 1 bis 3 sowie angemessen, geeignet und nach dem allgemein anerkannten Stand der Technik zu wählen. Risiken für Anwendungen, Systeme und Komponenten in Zone 1 dürfen nicht akzeptiert werden. Ansprechpartner IT-Sicherheit: Für die Koordination und Kommunikation der IT-Sicherheit gegenüber der Bundesnetzagentur muss der Anlagenbetreiber einen Ansprechpartner benennen. Zusätzlich besteht die Pflicht zur Registrierung einer Kontaktstelle gemäß §8b Abs. 3 BSIG.
Umsetzungsvorgaben Abschnitt E.	Zertifizierung: Das ISMS muss durch eine DAkkS-akkreditierte Zertifizierungsstelle auf der Basis von ISO/IEC 27001 zertifiziert werden. Das Zertifikat hat eine Gültigkeit von 3 Jahren (bei jährlichen Überwachungsaudits).
Abweichende Regelungen für Anlagen nach § 7 Abs. 1 ATG Abschnitt F.	tbd

IT-Sicherheits­katalog Anlagen und Netze

Mit der NIS2-Umsetzung wird es ab 2025 mehrere neue IT-Sicherheitskataloge nach §5c EnWG-E geben, welcher die alten Kataloge für NIS2 aktualisiert. Parallel gibt es 2025 eine turnusmäßige Überarbeitung und Konsolidierung der bestehenden §11 EnWG Kataloge. Diese Überarbeitung betrifft Energieanlagen und Energienetze aber anscheinend noch nicht alle NIS2- und KRITIS-DachG Vorgaben.

Konsultationsverfahren

Aktuell befindet sich der neue §11 EnWG Katalog im Konsultationsverfahren bei der Bundesnetzagentur. Ein Konsultationspapier zum neuen IT-Sicherheitskatalog (Festlegung IT-SiKat) wurde im Amtsblatt der BNetzA veröffentlicht und um Stellungnahme bis zum 11. Juni 2025 gebeten.

Versionen IT-Sicherheitskatalog neu EnWG, Stand Mai 2025

Nr.	Katalog	Version	Datum	Kommentar
1.	neu §11 (1a) EnWG neu §11 (1b) EnWG Netze und Anlagen	Konsultationspapier	Mai 2025	bis Juni 2025

Aufbau

Das Eckpunkte-Papier der BNetzA von Mai 2025 ist wie folgt gegliedert:

• Eckpunkte (Festlegungen): Allgemeine Definitionen zu Anforderungen an regulierte Betreiber und Festlegungen zum Verfahren mit dem IT-Sicherheitskatalog
• Anlage 1 (Energienetze): Spezifische Vorgaben und Pflichten (Zertifizierung) für Betreiber regulierter Energienetze (§11 Abs. 1a EnWG)
• Anlage 2 (Energieanlagen): Spezifische Vorgaben und Pflichten (Zertifizierung) für Betreiber regulierter Energieanlagen (§11 Abs. 1b EnWG)
• Anlage 3 (Maßnahmen): Allgemeine Maßnahmen für Cybersecurity und Resilienz
• Anlage 4 (Begriffe): Definitionen und Begriffsbestimmungen, kritische Funktionen

Betroffenheit

Die Logik, nach der Betreiber (Einrichtungen) den IT-Sicherheitskatalog Energie umsetzen müssen, bleibt gleich: Betreiber bestimmter Energieanlagen und -netze, die in KRITIS (Schwellenwerte) und dem EnWG definiert sind, fallen unter das EnWG und müssen dessen Vorgaben und Kataloge umsetzen.

Dies wird sich mit der vollständigen NIS2-Umsetzung noch erweitern – der Scope von Einrichtungen im Energiesektor, die unter das EnWG und IT-Sicherheitskataloge fallen, wird sich deutlich erhöhen.

Verantwortung

Der neue IT-Sicherheitskatalog betrifft regulierte Energiebetreiber und deren Betriebsführer gleichermaßen. Die (Haupt-)Verantwortung für den den zuverlässigen Betrieb der Anlage bleibt beim Betreiber, auch wenn Betriebsführer den tatsächlichen Betrieb organisieren.

Nutzen Betreiber im Betrieb ihrer Anlagen und Netze Betriebsführer, brauchen beide ein zertifizierungspflichtiges ISMS (außer in Konzernverbünden, wo gemeinsame ISMS gestattet sind).

Zertifizierung

Für regulierte Betreiber von Energienetzen und Energieanlagen besteht weiterhin die Pflicht einer Zertifizierung nach ISO/IEC 27001 in der aktuellen, englischsprachigen Fassung. Der Nachweis muss nach einem Zertifizierungsschema der Deutschen Akkreditierungsstelle (DAkkS) erbracht werden.

Im zertifizierten ISMS müssen die Umsetzungsempfehlungen (Controls) der ISO/IEC 27002 und ISO/IEC 27019 berücksichtigt werden. Der Nachweis an die BNetzA umfasst das Zertifikat, das Statement of Applicability (SoA) und die Identifikation der kritischen Prozesse.

Die Zertifizierungspflicht betrifft Netze und Anlagen. Anlage 1 (B) Anlage 2 (B)

Geltungsbereich

Der neue IT-Sicherheitskatalog legt zwei verschiedene Geltungsbereiche bei EnWG-Betreibern fest:

1. Zertifizierter Bereich: Der von einem zertifizierten ISMS abgedeckte Bereich umfasst (mindestens) alle kritischen Systeme, die für die kritischen Prozesse im Netzbetrieb oder Anlagenbetrieb notwendig sind. Anlage 1 (B) Anlage 2 (B)
   Hier gelten die in Anlage 1 gefassten Vorgaben zu IT-Sicherheitsmaßnahmen und ISO 27001 pp.
2. Übrige Systeme: Für die Systeme, die sich außerhalb des Geltungsbereichs befinden oder nicht-kritische Systeme muss der Betreiber allgemein anerkannte, verhältnismäßige Maßnahmen nach dem Stand Technik umsetzen. Anlage 3

Die Methode zur Bestimmung der kritischen Systeme im Geltungsbereich ist im aktuellen Entwurf etwas unorthodox eher bottom-up skizziert:

• Sämtliche Systeme des Betreibers und Betriebsführers müssen auf Notwendigkeit für kritische Prozesse untersucht werden.
• Systeme sind für einen kritischen Prozess notwendig, wenn ihre Ausfalltoleranz (für diesen Prozess?) weniger als 24 Stunden ist.
• Die so identifizierten Systeme sind dann die kritischen Systeme im Geltungsbereich
• Schnittstellen zu Systeme, die nicht im Geltungsbereich sind, müssen identifiziert werden

Dieser Prozess läßt mithin außen vor, wie kritische Prozesse identifiziert werden, nach der Definition alle beim jeweiligen Betreiber etablierte Prozesse, die kritische Funktionen umsetzen oder anderweitig unmittelbar für den zuverlässigen Betrieb notwendig sind. Anlage 4

Cybersicherheit

Die im ISMS umgesetzten Maßnahmen müssen einen Mindestschutz bereitstellen, inhaltlich angemessen sein und allgemein anerkannten Stand der Technik entsprechen. Die Maßnahmen müssen aber auch wirtschaftlich angemessen sein mit Kosten, deren Umsetzung im Verhältnis zu mitigierten Risiken stehen. Anlage 1 (A) Anlage 2 (A)

Darüberhinaus müssen Betreiber im restlichen Geltungsbereich bzw. bei den übrigen Systeme allgemeine Maßnahmen zur Steigerung der Cybersicherheit umsetzen, verhältnismäßig und nach dem Stand Technik. Die Pflichten für eine Ansprechperson für IT-Sicherheit und Meldung von Sicherheitsvorfällen bleibt erhalten. Anlage 3

Resilienzmaßnahmen

Als neues Thema werden im neuen IT-Sicherheitskatalog (endlich) Maßnahmen zur Resilienz und Business Continuity verbindlich gefordert. Anlage 3

• Business Impact Analyse (BIA) für mindestens die kritischen Prozesse und Wiederanlaufzeiten
• Risikoanalyse basierend auf der Risikoabschätzung
• Notfallpläne und Wiederanlaufstrategien
• Krisenkommunikation und Notfallübungen

Risikomanagement

Im zertifizierten Bereich (ISMS) müssen Betreiber ein organisiertes Risikomanagement für Informationssicherheitsrisiken etablieren: Anlage 1 (B) Anlage 2 (B)

• Risikokriterien und Risikomatrix
• Allgefahren-Ansatz zur Identifikation von Risiken
• Analyse von Risiken für (alle) Systeme
• Risikotolerenz: nur mittlere Risiken dürfen toleriert werden, für kritische Systeme keine
• Risikobewertung basierend auf Risikokriterien, Einbezug von Aufgabenerfüllung der Versorgungssicherheit
• Identifikation von Mitigationsmaßnahmen und Verantwortungen
• Akzeptanz von Restrisiken
• Kontinuierliche Umsetzung der Maßnahmen
• Risikobehandlungsplan zur Dokumentation der Maßnahmen und Akzeptanz

Noch offen

Einige Themen aus der neuen NIS2- und KRITIS-Regulierung ab 2025 fanden im Konsultationspapier noch keine Berücksichtigung, unter anderem: Einkauf und Supply Chain Security, Krisenmanagement, konkretere NIS2-Maßnahmen und technische Maßnahmen, breiteres BCM und IT-Notfallmanagement.

Kritische Komponenten

Bestimmte Kritische Komponenten der KRITIS-Regulierung dürfen nur mit Zertifizierung oder Freigabe des BMI eingesetzt werden, mit NIS2 auch im Energiesektor. Seit Mai 2025 gibt es ein Eckpunktepapier der Bundesnetzagentur zur Überarbeitung der IT-Sicherheitskataloge im Energiesektor mit erstmals einer Liste kritischer Funktionen, die durch kritische Komponenten bereitgestellt werden.

eigene Zusammenstellung, Stand Mai 2025

Funktion	Kritische Komponente (?)
Steuerung, Leittechnik, Netzschutz	Netz- und Anlagensteuerung (zentrale und dezentrale Prozess- und Netzleittechnik) Netz- und Systemsteuerung Offshore/HVDC Netzzustandserfassung und Störungsmeldungsverarbeitung Dynamische Grenzwertberechnung Netz schützen
Netzführung, Schaltleitung	EnWG-Kaskade Netzwiederaufbau
Stationsbetrieb	Infrastrukturbetrieb OT-Betrieb/dezentrale Leittechnik
Systembilanz, Frequenzhaltung	Leistungsfrequenzregelung Minutenreserve einsetzen Kapazitätsreserve
Operatives Engpassmanagement	Redispatchmaßnahmen
IKT-Betrieb, Sachdatenverwaltung	Betrieb des Nachrichtennetzes/TK-Betrieb Leitstellen-Telefonie Fernwartungszugänge

Literatur

1. KRITIS-Sektor Energie, OpenKRITIS
2. Energie, EnWG und NIS2, OpenKRITIS

Quellen

1. Festlegung - Erstellung eines IT-Sicherheitskataloges nach &11 Abs. 1a und 1b EnWG Konsultationsverfahren, 07.05.2025, Bundesnetzagentur
2. Übersichtsseite zum IT-Sicherheitskatalog für Strom- und Gasnetze gemäß §11 Abs. 1a EnWG, Bundesnetzagentur (BNetzA), Stand August 2015
3. Übersichtsseite zum IT-Sicherheitskatalog für Energieanlagen gemäß §11 Abs. 1b EnWG, Bundesnetzagentur (BNetzA), Stand Dezember 2018
4. Entwurf eines NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetzes, Referentenentwurf, Innenministerium, 22.07.2024
5. Referentenentwurf KRITIS-Dachgesetz – KRITIS-DachG April 2024, intrapol, August 2024
6. Übersichtsseite zu LNG-Anlagen, Bundesnetzagentur (BNetzA), o.D.