Cybervize - Cybersecurity Beratung

Der EnWG-Katalog im Zusammenspiel mit NIS2, KRITIS-Dachgesetz und ISO 27001

Energie (EnWG)CISOISMS ManagerLeitung Netzbetrieb/AnlagenbetriebCompliance-Verantwortliche Energieversorger

Kernaussage

Energieunternehmen werden von mehreren Regelwerken gleichzeitig adressiert. Der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) nach dem Energiewirtschaftsgesetz (EnWG) steht neben den Cybersicherheitspflichten aus NIS2 beziehungsweise dem BSIG und neben den Resilienzpflichten aus dem KRITIS-Dachgesetz, das die europäische CER-Richtlinie umsetzt. Energie ist nach NIS2 Anhang I ein Sektor mit hoher Kritikalität, und daraus folgt die Doppel- beziehungsweise Mehrfachbetroffenheit.

Für das Management bedeutet das eine sektorale (BNetzA) und eine zentrale (BSI) Zuständigkeit, verknüpft über das gesetzliche Einvernehmen beim Katalog. Ein nach EnWG-Katalog zertifiziertes ISMS nach ISO/IEC 27001 bildet die gemeinsame Grundlage, auf der sich viele Anforderungen mehrfach nutzen lassen. Einen automatischen Gleichlauf zwischen den Regelwerken gibt es aber nicht.

Problem in der Praxis

In vielen Energieunternehmen sind die Regelwerke organisatorisch getrennt verankert. Der Netzbetrieb arbeitet am EnWG-Katalog, ein zentrales Security-Team an NIS2/BSIG, die physische Resilienz wird häufig erst durch das KRITIS-Dachgesetz aufgegriffen. So entstehen parallele Projekte, Nachweise und Ansprechpartner, ohne dass jemand die Schnittmengen steuert.

Das fällt spätestens auf, wenn Fristen, Meldewege und Geltungsbereiche nicht zusammenpassen. Eine Anlage kann zugleich als Energieanlage unter den EnWG-Katalog, als wichtige oder besonders wichtige Einrichtung unter das BSIG und als kritische Anlage unter das KRITIS-Dachgesetz fallen. Wer drei Programme nebeneinander betreibt, erzeugt dreifachen Aufwand und trotzdem Lücken, weil Abgrenzung und Mehrfachnutzung nicht bewusst entschieden werden.

CISO-Einordnung

Sinnvoll ist es, die drei Ebenen sauber zu trennen und dann gezielt zu verbinden:

  • EnWG-Katalog (BNetzA): sektorale Cybersicherheit für Netz- und Anlagenbetrieb, mit ISMS-Zertifizierung als Nachweis.
  • NIS2/BSIG: allgemeiner Cybersicherheits-Rahmen mit Risikomanagement-, Melde- und Governance-Pflichten.
  • KRITIS-Dachgesetz/CER: physische und organisatorische Resilienz kritischer Anlagen, also der nicht-IT-Teil.

Der Bezugspunkt der Grundpflicht ist im EnWG der angemessene Schutz nach dem Stand der Technik. Die BNetzA konkretisiert diesen Maßstab im Einvernehmen mit dem BSI über einen oder mehrere IT-Sicherheitskataloge; mit Einhaltung des Katalogs gilt der angemessene Schutz als gewährleistet. Das erklärt die Doppelaufsicht: Die BNetzA ist sektorspezifische Aufsicht für die energiewirtschaftlichen IT-Sicherheitspflichten, das BSI wirkt über das Einvernehmen mit und ist zugleich zentrale Cybersicherheitsbehörde nach BSIG.

Die IT-Sicherheitspflichten waren historisch in § 11 EnWG (alte Fassung) angesiedelt, für Netzbetreiber und für KRITIS-Energieanlagen. Mit der NIS2-Umsetzung wurden sie in neue Paragraphen (§§ 5c folgende EnWG) überführt. Die genaue Zuordnung einzelner Absätze und der aktuelle Paragraphenstand sind am amtlichen EnWG-Text zu verifizieren und nicht als feststehend zu behandeln.

Umsetzungsperspektive

Tragende Idee ist das ISO/IEC-27001-Zertifikat als gemeinsame Basis. Beide Bestandskataloge fordern Aufbau, Betrieb und Zertifizierung eines ISMS nach ISO/IEC 27001, ergänzt um die branchenspezifische ISO/IEC 27019 und unter Berücksichtigung von ISO/IEC 27002. ISO/IEC 27019 liefert energiewirtschaftsspezifische Zusatz- und Anpassungs-Controls, insbesondere für Prozessleit- und Netzsteuerungstechnik, also den OT-Bereich.

Ein praktikabler Weg für den CISO:

  • Ein gemeinsames ISMS als Dach betreiben, dessen Geltungsbereich die für den Netz- und Anlagenbetrieb notwendigen Telekommunikations- und EDV-Systeme abdeckt.
  • Das ISO-27001/27019-Zertifikat als primären Nachweis gegenüber der BNetzA führen und dieselben Managementprozesse für NIS2/BSIG-Risikomanagement mitnutzen.
  • Die KRITIS-Dachgesetz-Anforderungen zur physischen Resilienz als eigenen, aber angekoppelten Strang führen, da sie nicht durch ein ISMS-Zertifikat abgedeckt werden.

Die Erwartungen sind ehrlich zu steuern: Ein nach Katalog zertifiziertes ISMS adressiert viele, aber nicht zwingend alle NIS2/BSIG-Einzelanforderungen; ein automatischer Eins-zu-eins-Gleichlauf besteht nicht. Mehrfachnutzung heißt, Nachweise und Prozesse so zu schneiden, dass sie mehrere Regelwerke bedienen, ohne dass spezifische Zusatzpflichten untergehen.

Typische Fehler

  1. Annahme, das EnWG-Zertifikat decke NIS2/BSIG automatisch vollständig ab.
  2. Drei getrennte Programme ohne gemeinsame Geltungsbereichs- und Asset-Sicht.
  3. Vermischung von Cybersicherheit (EnWG/NIS2) und physischer Resilienz (KRITIS-Dachgesetz) in einem einzigen Nachweis.
  4. Paragraphen und Fristen aus Sekundärquellen als feststehend übernehmen, statt am aktuellen EnWG und Katalog zu prüfen.
  5. Meldepflichten nur einseitig denken, obwohl BNetzA und BSI unterschiedliche Wege und Inhalte verlangen können.

Risiken und Trade-offs

Wer alles in ein einziges Programm presst, spart kurzfristig Aufwand, riskiert aber, dass spezifische Pflichten einzelner Regelwerke verschwimmen. Wer dagegen vollständig getrennte Silos betreibt, erzeugt doppelte Nachweise, widersprüchliche Aussagen gegenüber zwei Aufsichten und höhere Kosten.

Ein weiterer Trade-off betrifft die Aktualität. Die NIS2-Umsetzung im EnWG, die Konsolidierung der beiden Bestandskataloge und die genauen Melde- und Fristenregelungen befinden sich in Bewegung. Eine Aussage, die heute stimmt, kann durch einen neuen, konsolidierten Katalog oder eine Gesetzesnovelle überholt werden. Verbindliche Details müssen deshalb gegen den jeweils aktuellen BNetzA-Katalog und das geltende EnWG abgeglichen werden.

Entscheidungspunkte

  • Welche Einrichtungen und Anlagen fallen unter welche Regelwerke, und wo überlappen sie sich konkret?
  • Wird ein gemeinsames ISMS als Dach geführt, oder bleiben getrennte Managementsysteme bestehen?
  • Welche Nachweise und Prozesse lassen sich mehrfach nutzen, und welche Zusatzpflichten bleiben regelwerksspezifisch?
  • Wie werden die Meldewege gegenüber BNetzA und BSI organisiert, ohne Doppelmeldungen oder Lücken?
  • Wer steuert zentral die Abgrenzung und hält den Paragraphen- und Katalogstand aktuell?

Praktische Empfehlungen

  1. Erstellen Sie eine Betroffenheits- und Abgrenzungsmatrix: je Anlage/Einrichtung der Bezug zu EnWG-Katalog, NIS2/BSIG und KRITIS-Dachgesetz.
  2. Führen Sie das ISO-27001/27019-Zertifikat als gemeinsame Basis und planen Sie die Mehrfachnutzung von Nachweisen bewusst ein.
  3. Trennen Sie physische Resilienz (KRITIS-Dachgesetz) sichtbar vom ISMS, koppeln Sie beide aber über gemeinsame Risiko- und Asset-Sicht.
  4. Benennen Sie den Ansprechpartner IT-Sicherheit gegenüber der BNetzA und klären Sie parallel die BSIG-Kontakt- und Meldewege.
  5. Verifizieren Sie Paragraphenstand, Katalogversion und Fristen vor jeder verbindlichen Aussage am amtlichen EnWG und am aktuellen BNetzA-Katalog.

Relevante Normreferenzen

  • EnWG (Energiewirtschaftsgesetz): amtliches Werk, frei zitierbar mit Quellenangabe; Rechtsgrundlage der IT-Sicherheitspflichten und der Katalog-Festlegungskompetenz der BNetzA.
  • BNetzA IT-Sicherheitskatalog (Netzbetreiber 2015; Energieanlagen 2018; Konsolidierung in Arbeit): amtliche Verlautbarung, frei zitierbar mit Quellenangabe.
  • ISO/IEC 27001: Referenz für ISMS-Anforderungen und Zertifizierung (nur Verweis, kein Volltext).
  • ISO/IEC 27019: Referenz für energiewirtschaftsspezifische Controls (nur Verweis; Editionsbezug versionsabhängig und am Katalog zu prüfen).

Häufige Fragen

Deckt das EnWG-Zertifikat NIS2 automatisch ab?+

Nein. Ein nach Katalog zertifiziertes ISMS adressiert viele NIS2/BSIG-Anforderungen, aber es gibt keinen automatischen Eins-zu-eins-Gleichlauf.

Wer beaufsichtigt Energieunternehmen bei der IT-Sicherheit?+

Die BNetzA als sektorale Aufsicht; das BSI wirkt über das Einvernehmen beim Katalog mit und ist zentrale Cybersicherheitsbehörde nach BSIG.

Was regelt das KRITIS-Dachgesetz zusätzlich?+

Es setzt die CER-Richtlinie um und adressiert die physische und organisatorische Resilienz kritischer Anlagen, also den Teil, den ein ISMS-Zertifikat nicht abdeckt.

Welche Norm ist die gemeinsame Basis?+

ISO/IEC 27001, ergänzt um die branchenspezifische ISO/IEC 27019; sie liefern das Umsetzungs- und Zertifizierungsschema für die EnWG-Pflicht.

Auf welchen Paragraphen stützt sich der Katalog?+

Historisch § 11 EnWG (alte Fassung), nach NIS2-Umsetzung neue Paragraphen (§§ 5c folgende). Der genaue Stand ist am amtlichen EnWG zu prüfen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Energie (EnWG) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: enwg-005.