Die ISMS-Pflicht nach ISO/IEC 27001 und ISO/IEC 27019 im Netzbetrieb
Kernaussage
Für Betreiber von Strom- und Gasversorgungsnetzen ist ein Informationssicherheits-Managementsystem (ISMS) keine Reifegradentscheidung, sondern eine regulatorische Pflicht. Nach dem Energiewirtschaftsgesetz (EnWG) müssen Netzbetreiber einen angemessenen Schutz nach dem Stand der Technik für ihre Telekommunikations- und EDV-Systeme gewährleisten. Diesen Maßstab konkretisiert die Bundesnetzagentur (BNetzA) im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) über einen IT-Sicherheitskatalog; wer ihn einhält, für den gilt der angemessene Schutz als gewährleistet.
Der Katalog für den Netzbetrieb verlangt ein nach ISO/IEC 27001 zertifiziertes ISMS, ergänzt um die branchenspezifische ISO/IEC 27019 und unter Berücksichtigung von ISO/IEC 27002. Die Zertifizierung ist Nachweispflicht gegenüber der Behörde, nicht Selbstzweck; Steuerungsgegenstand ist die Aufrechterhaltung des Netzbetriebs. Für KRITIS-Energieanlagen außerhalb des reinen Netzbetriebs besteht ein eigener IT-Sicherheitskatalog der BNetzA; die hier beschriebene ISMS-Logik ist übertragbar, der konkret geltende Katalog ist jedoch je nach Adressat am aktuellen BNetzA-Stand zu bestimmen.
Problem in der Praxis
Die Pflicht wird häufig auf das Zertifikat verkürzt. Es entsteht ein ISMS, das ein generisches IT-Umfeld abdeckt, aber den eigentlichen Schutzgegenstand verfehlt: die für den sicheren Netzbetrieb notwendigen Systeme, also Leitstellen, Netzleittechnik, Fernwirktechnik und zugehörige Prozesssteuerung (OT).
Typische Schwächen sind ein zu eng oder unscharf gezogener Geltungsbereich, der kritische Steuerungssysteme nicht erfasst, sowie die Gleichbehandlung von OT und Office-IT trotz grundverschiedener Verfügbarkeit, Lebenszyklen und Patchbarkeit. Spätestens im Audit oder bei einer Störung zeigt sich der Unterschied zwischen einem ISMS, das die Netzleittechnik wirklich steuert, und einem, das vor allem dokumentiert.
CISO-Einordnung
Der CISO sollte die Pflicht entlang von drei Ebenen einordnen.
Pflichtenebene: Das EnWG begründet die Schutzpflicht und die Festlegungskompetenz der BNetzA; der Katalog konkretisiert sie und fordert das zertifizierte ISMS. EnWG und Katalog sind amtliche Werke und mit Quellenangabe zitierfähig. ISO/IEC 27001 und 27019 liefern dagegen das "Wie", also Umsetzungs- und Zertifizierungsschema; sie sind lizenzierte Normen und werden nur referenziert.
Geltungsbereichsebene: Maßgeblich ist der Schutz der TK- und EDV-Systeme, die für einen sicheren Netzbetrieb notwendig sind. Hier setzt ISO/IEC 27019 an, mit energiewirtschaftsspezifischen Anpassungen für Prozessleit- und Netzsteuerungstechnik, die ein rein 27001-orientiertes ISMS nicht ausreichend abbildet.
Abgrenzungsebene: Energie ist Sektor hoher Kritikalität nach NIS2, mit Mehrfachbetroffenheit aus EnWG-Katalog und NIS2/BSIG-Pflichten. Ein katalogkonform zertifiziertes ISMS adressiert viele, aber nicht zwingend alle Anforderungen anderer Regime; einen automatischen 1:1-Gleichlauf gibt es nicht.
Umsetzungsperspektive
Die Umsetzung beginnt mit der bewussten Definition des Geltungsbereichs. Leitfrage ist nicht "Welche IT haben wir?", sondern "Welche Systeme sind für einen sicheren Netzbetrieb notwendig?". Daraus leiten sich Asset-Inventar, Schutzbedarf und Risikobewertung ab.
Darauf setzt der ISMS-Kern auf: Rollen, Risikologik, Maßnahmen- und Nachweismanagement, Review-Taktung sowie Verbesserungs- und Abweichungsmanagement. Branchenspezifisch kommen die OT-Eigenheiten hinzu: lange Lebenszyklen, eingeschränkte Patchfenster, hohe Verfügbarkeitsanforderungen, Fernwartung und die Trennung von Netzleit- und Bürokommunikation.
Organisatorisch ist der BNetzA ein Ansprechpartner IT-Sicherheit zu benennen; der Nachweis erfolgt über das Zertifikat einer akkreditierten Zertifizierungsstelle nach dem besonderen Zertifizierungsverfahren des Katalogs, branchenüblich mit mehrjähriger Gültigkeit und jährlichen Überwachungsaudits. Da die EnWG-Pflichten im Zuge der NIS2-Umsetzung neu verortet und ergänzt wurden (u. a. um Systeme zur Angriffserkennung), sind Fristen, Verfahren, geforderte ISO/IEC-27019-Edition, Paragraphenstand und der Stand eines neuen, konsolidierten Katalogs am aktuellen EnWG und an der BNetzA zu verifizieren.
Typische Fehler
- Geltungsbereich an der Office-IT statt am Netzbetrieb ausgerichtet, sodass Netzleit- und Fernwirktechnik nur am Rand erfasst sind.
- ISO/IEC 27019 als formaler Zusatz behandelt statt als prozessleittechnischer Kern des ISMS.
- OT mit IT-Annahmen bewertet (Patchbarkeit, Neustartbarkeit, Verfügbarkeit), was zu unrealistischen Maßnahmen führt.
- ISMS als Zertifizierungsprojekt gefahren; nach dem Audit verliert der Regelbetrieb an Taktung.
- Paragraphenstände und Katalogversionen aus älteren Quellen übernommen statt aktuell verifiziert.
- EnWG- und NIS2/BSIG-Pflichten gleichgesetzt, ohne verbleibende Unterschiede zu prüfen.
Risiken und Trade-offs
Ein zu eng gezogener Geltungsbereich senkt den Aufwand, lässt aber kritische Steuerungssysteme ungeschützt und gefährdet Versorgungssicherheit wie Auditbestätigung; ein zu weiter Bereich bindet Ressourcen und überfordert die Organisation.
Im OT-Umfeld besteht zudem ein dauerhafter Zielkonflikt zwischen Verfügbarkeit und Veränderung: Maßnahmen, die in der Office-IT selbstverständlich sind, können die Netzleittechnik gefährden; diese Abwägung muss bewusst getroffen und dokumentiert werden. Schließlich erzeugt die Gleichsetzung von EnWG-Katalog und NIS2/BSIG Lücken, ein ungesteuertes Nebeneinander dagegen Doppelstrukturen.
Entscheidungspunkte
- Wie wird der Geltungsbereich entlang des sicheren Netzbetriebs gezogen, und welche OT-Systeme gehören zwingend hinein?
- Welche ISO/IEC-27019-Edition fordert der für uns geltende Katalog, und ist diese Angabe am aktuellen Katalog verifiziert?
- Gilt für uns die fortbestehende Bestandsregelung oder bereits ein neuer Stand des Katalogs?
- Wer ist Ansprechpartner IT-Sicherheit, und wie ist die Schnittstelle zur BNetzA organisiert?
- Wie integrieren wir EnWG-Katalog und NIS2/BSIG, ohne sie gleichzusetzen und ohne Doppelstrukturen aufzubauen?
Praktische Empfehlungen
- Definieren Sie den Geltungsbereich aus dem Netzbetrieb heraus und begründen Sie Ein- und Ausschlüsse nachvollziehbar.
- Behandeln Sie OT als eigenständigen Steuerungsgegenstand mit eigener Risikologik, statt IT-Annahmen zu übertragen.
- Verankern Sie die Anpassungen aus ISO/IEC 27019 im Kern des ISMS, nicht als Anhang.
- Verifizieren Sie Paragraphenstand, geltenden Katalog und geforderte Normedition am aktuellen EnWG und an der BNetzA, bevor Sie verbindliche Aussagen treffen.
- Bedienen Sie EnWG-Katalog und NIS2/BSIG über ein integriertes Nachweissystem, das Unterschiede sichtbar hält, und halten Sie den Regelbetrieb nach dem Erstzertifikat in Taktung.
Relevante Normreferenzen
- EnWG: gesetzliche Grundlage der Schutzpflicht und der Festlegungskompetenz der BNetzA; amtliches Werk, mit Quellenangabe zitierfähig. Aktuellen Paragraphenstand prüfen.
- BNetzA IT-Sicherheitskatalog (Netzbetrieb): konkretisiert die Pflicht, fordert das zertifizierte ISMS; amtliche Verlautbarung, mit Quellenangabe zitierfähig. Aktuellen Versionsstand prüfen.
- ISO/IEC 27001: Referenz für ISMS-Anforderungen und Zertifizierung. Nur Referenz.
- ISO/IEC 27019: Referenz für energiewirtschaftsspezifische Sicherheitsvorgaben (Prozessleit- und Netzsteuerungstechnik). Nur Referenz; geforderte Edition versionsabhängig.
- ISO/IEC 27002: Referenz für ergänzende Sicherheitsmaßnahmen. Nur Referenz.
Häufige Fragen
Ist ein ISMS für Netzbetreiber freiwillig?+
Nein. Das EnWG begründet eine Schutzpflicht; der IT-Sicherheitskatalog der BNetzA fordert ein zertifiziertes ISMS als Nachweis.
Welche Norm gilt, ISO/IEC 27001 oder 27019?+
Beide. ISO/IEC 27001 liefert das ISMS-Schema, ISO/IEC 27019 die energiewirtschaftsspezifischen Anpassungen, ergänzt um ISO/IEC 27002.
Deckt das ISMS auch NIS2 ab?+
Nicht automatisch. Energie ist NIS2-Sektor hoher Kritikalität; ein katalogkonformes ISMS adressiert viele, aber nicht zwingend alle NIS2/BSIG-Anforderungen.
Auf welchen Paragraphen stützt sich die Pflicht?+
Die Pflicht ist im EnWG verankert und wurde im Zuge der NIS2-Umsetzung neu verortet. Der genaue Paragraphenstand ist am aktuellen EnWG zu prüfen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Energie (EnWG) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
- Der IT-Sicherheitskatalog der BNetzA für den Energiesektor: Überblick
- Zwei IT-Sicherheitskataloge: Netzbetreiber und Energieanlagen richtig einordnen
- Zertifizierung, Ansprechpartner IT-Sicherheit und Meldepflichten nach dem IT-Sicherheitskatalog
- Der EnWG-Katalog im Zusammenspiel mit NIS2, KRITIS-Dachgesetz und ISO 27001
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: enwg-002.
