Der IT-Sicherheitskatalog der BNetzA für den Energiesektor: Überblick
Kernaussage
Der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) konkretisiert die gesetzliche Pflicht aus dem Energiewirtschaftsgesetz (EnWG), die vom Betreiber genutzten Telekommunikations- und EDV-Systeme nach dem Stand der Technik angemessen zu schützen. Die BNetzA gibt die Kataloge im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) heraus. Wer die Vorgaben des einschlägigen Katalogs einhält, für den gilt der angemessene Schutz als gewährleistet.
Für das Management ist das keine freiwillige Branchenempfehlung, sondern eine durchsetzbare Aufsichtsanforderung mit Zertifizierungs- und Nachweispflicht. Energie ist KRITIS- und NIS2-Sektor mit hoher Kritikalität; ein Ausfall der Steuerungs- und Netzführungssysteme hat unmittelbare Versorgungsrelevanz. Der Katalog adressiert damit primär Versorgungssicherheit, nicht Datenschutz.
Problem in der Praxis
In der Praxis wird der Katalog häufig auf "ein ISO-27001-Zertifikat besorgen" verkürzt. Damit wird der Punkt verfehlt: Verlangt ist ein wirksam betriebenes Managementsystem für die betriebsnotwendigen Systeme, nicht nur ein Zertifikat im Ordner.
Zweite Schwierigkeit ist der Geltungsbereich. Energieunternehmen betreiben oft Netzbetrieb, Erzeugungsanlagen, Vertrieb und Querschnitts-IT in einer Organisation. Welche Systeme in den Katalog-Scope fallen, welcher der beiden Kataloge greift und ob eine Anlage die KRITIS-Schwellen überschreitet, ist regelmäßig Gegenstand von Auslegung.
Dritte Schwierigkeit ist die Rechtslage selbst. Die Pflichten waren historisch an einer bestimmten EnWG-Stelle verankert; mit der NIS2-Umsetzung wurden sie verschoben und neu nummeriert. Wer mit veralteten Paragraphenverweisen arbeitet, riskiert formale Fehler in Vorgaben, Verträgen und Aufsichtskommunikation.
CISO-Einordnung
Der CISO sollte den Katalog entlang weniger Leitfragen einordnen, statt sich in Paragraphennummern zu verlieren:
- Welche unserer Systeme sind für Netzbetrieb bzw. Anlagenbetrieb notwendig und damit im Pflicht-Scope?
- Welcher Katalog ist einschlägig: der für Strom- und Gasnetzbetreiber oder der für Energieanlagen?
- Welcher Reifegrad des ISMS ist nachweisbar, und wo stehen wir im Zertifizierungszyklus?
- Wie verhält sich der EnWG-Katalog zu unseren Pflichten aus NIS2/BSIG und aus dem KRITIS-Dachgesetz?
Es bestehen zwei Kataloge mit unterschiedlichem Adressatenkreis: einer für Strom- und Gasnetzbetreiber mit Blick auf den Netzbetrieb, einer für Betreiber von Energieanlagen, die als Kritische Infrastruktur eingestuft und an ein Energieversorgungsnetz angeschlossen sind. Beide verlangen Aufbau, Betrieb und Zertifizierung eines ISMS und ergänzen dies um energiewirtschafts- und netzsteuerungsspezifische Aspekte.
Die gesetzliche Verortung hat sich mit der NIS2-Umsetzung verschoben: Die historisch in einer eigenen EnWG-Vorschrift stehenden Pflichten wurden in früher angesiedelte Paragraphen überführt. Die exakte aktuelle Paragraphen- und Absatznummerierung sowie der Stand der Umsetzung sind am aktuellen EnWG-Volltext zu verifizieren, nicht aus dem Gedächtnis zu zitieren.
Umsetzungsperspektive
Aus Steuerungssicht läuft die Umsetzung in stabilen Bausteinen ab:
- Geltungsbereich sauber abgrenzen: Welche TK- und EDV-Systeme sind für den Netz- bzw. Anlagenbetrieb notwendig?
- ISMS aufbauen und betreiben, dokumentiert nach den vom Katalog referenzierten Normen und um energiespezifische Anforderungen erweitert.
- Ansprechpartner IT-Sicherheit benennen und der BNetzA melden.
- Zertifizierung durch eine akkreditierte Konformitätsbewertungsstelle durchlaufen und das Zertifikat als Nachweis vorlegen.
- Den Betrieb über Überwachungsaudits und Re-Zertifizierung dauerhaft aufrechterhalten.
Die bestehenden Kataloge wurden zu unterschiedlichen Zeitpunkten veröffentlicht (Netzkatalog 2015, Anlagenkatalog 2018). Beide gelten übergangsweise fort, solange kein neuer, konsolidierter Katalog auf Basis der neuen Rechtsgrundlage verbindlich veröffentlicht ist. Die BNetzA betreibt ein Verfahren zur Konsolidierung; der finale Versionsstand ist vor jeder Planung auf den Seiten der BNetzA zu prüfen. Bestehende Zertifikate behalten in der Übergangszeit grundsätzlich ihre Gültigkeit.
Praktisch wichtig ist die Angriffserkennung: Die neue Rechtsgrundlage verlangt, dass der Katalog Vorgaben zum Einsatz von Systemen zur Angriffserkennung enthält. Wer ein ISMS aufbaut, sollte SzA-fähige Architektur und Prozesse von Anfang an mitdenken.
Typische Fehler
- Der Katalog wird auf ein ISO-27001-Zertifikat reduziert, ohne den betriebenen Regelkreis nachweisen zu können.
- Veraltete Paragraphenverweise werden ungeprüft in Richtlinien und Verträge übernommen.
- Der falsche Katalog wird zugrunde gelegt, weil Netzbetrieb und KRITIS-Anlage nicht sauber getrennt wurden.
- Der Geltungsbereich wird zu eng gezogen und schließt netzführungs- oder anlagenrelevante OT-Systeme aus.
- NIS2/BSIG-Pflichten werden als durch das Katalog-Zertifikat automatisch abgedeckt angenommen.
Risiken und Trade-offs
Der zentrale Trade-off liegt zwischen Scope-Minimierung und Versorgungsrelevanz. Ein eng gezogener Geltungsbereich senkt Aufwand und Auditkosten, kann aber genau die Systeme ausklammern, deren Ausfall den Netz- oder Anlagenbetrieb gefährdet. Ein zu weiter Scope erhöht den Pflegeaufwand erheblich.
Zweites Risiko ist die Doppel- bzw. Mehrfachbetroffenheit. Energieunternehmen unterliegen neben dem EnWG-Katalog regelmäßig NIS2/BSIG und der physischen Resilienzregulierung (KRITIS-Dachgesetz/CER). Ein nach Katalog zertifiziertes ISMS adressiert viele, aber nicht zwingend alle Einzelanforderungen dieser parallelen Regime; ein automatischer Gleichlauf besteht nicht.
Drittes Risiko ist die Rechtsdynamik. Paragraphennummerierung, In-Kraft-Treten der NIS2-Umsetzung und Versionsstand des konsolidierten Katalogs sind in Bewegung. Planungen auf nicht verifiziertem Stand können kurzfristig hinfällig werden.
Entscheidungspunkte
- Welcher Geltungsbereich ist fachlich notwendig und zugleich auditierbar?
- Welcher Katalog ist für welche Organisationseinheit einschlägig, und gibt es Einheiten mit Doppelbetroffenheit?
- Bauen wir das ISMS so, dass es EnWG-Katalog und NIS2/BSIG gemeinsam trägt, oder führen wir getrennte Nachweiswelten?
- Wie binden wir die Pflicht zur Angriffserkennung architektonisch und prozessual ein?
- Wer ist Ansprechpartner IT-Sicherheit, und wie ist die Aufsichtskommunikation mit der BNetzA organisiert?
Praktische Empfehlungen
- Klären Sie zuerst Scope und Adressatenfrage, bevor Sie über Zertifizierungstermine sprechen.
- Verifizieren Sie die aktuelle EnWG-Rechtsgrundlage und den aktuellen Katalog-Versionsstand direkt bei BNetzA und am amtlichen Gesetzestext, nicht aus Sekundärquellen.
- Behandeln Sie das ISMS als betriebenen Regelkreis mit fortlaufenden Nachweisen, nicht als einmaliges Zertifizierungsprojekt.
- Planen Sie EnWG-Katalog und NIS2/BSIG bewusst zusammen, um Doppelaufwand und Nachweislücken zu vermeiden.
- Benennen Sie den Ansprechpartner IT-Sicherheit früh und etablieren Sie eine klare Linie zur Aufsicht.
Relevante Normreferenzen
- EnWG: Gesetzliche Grundpflicht zum Schutz nach Stand der Technik und Ermächtigung der BNetzA, im Einvernehmen mit dem BSI IT-Sicherheitskataloge herauszugeben. Amtliches Werk, mit Quellenangabe frei zitierbar. Die genaue Paragraphenstelle (historisch in einer eigenen Vorschrift, nach NIS2-Umsetzung in früher angesiedelten Paragraphen) ist am aktuellen Volltext zu prüfen.
- BNetzA IT-Sicherheitskatalog: Konkretisierung der gesetzlichen Pflicht; bestehende Kataloge für Strom- und Gasnetzbetreiber sowie für Energieanlagen, derzeit in Konsolidierung. Amtliche Verlautbarung, mit Quellenangabe frei zitierbar.
- ISO/IEC 27001 und ISO/IEC 27019: Vom Katalog herangezogenes ISMS- und Zertifizierungsschema bzw. energiewirtschaftsspezifische Ergänzung. Lizenzierte Normen, hier nur als Referenz benannt, ohne Volltext oder Control-Listen.
Häufige Fragen
Was ist der IT-Sicherheitskatalog der BNetzA?+
Die regulatorische Konkretisierung der EnWG-Pflicht zum Schutz der betriebsnotwendigen TK- und EDV-Systeme nach Stand der Technik. Die BNetzA gibt ihn im Einvernehmen mit dem BSI heraus.
Wen trifft der Katalog?+
Strom- und Gasnetzbetreiber sowie Betreiber von Energieanlagen, die als Kritische Infrastruktur eingestuft und an ein Energieversorgungsnetz angeschlossen sind. Es gibt je einen Katalog für diese Adressatenkreise.
Reicht ein ISO-27001-Zertifikat?+
Nein. Der Katalog verlangt ein betriebenes ISMS mit energiewirtschaftsspezifischen Ergänzungen und laufenden Nachweisen, nicht nur ein Zertifikat. Welche ISO-Editionen einschlägig sind, ist am jeweiligen Katalog zu prüfen.
Welche Paragraphenstelle im EnWG gilt?+
Die Pflichten waren historisch in einer eigenen EnWG-Vorschrift verankert und wurden mit der NIS2-Umsetzung verschoben. Die aktuelle Paragraphennummerierung ist am Volltext des EnWG zu verifizieren.
Löst der Katalog die NIS2-Pflichten ab?+
Nein. Energieunternehmen können parallel dem EnWG-Katalog und NIS2/BSIG unterliegen. Ein Katalog-Zertifikat deckt nicht automatisch alle NIS2-Anforderungen ab.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Energie (EnWG) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
- Die ISMS-Pflicht nach ISO/IEC 27001 und ISO/IEC 27019 im Netzbetrieb
- Zwei IT-Sicherheitskataloge: Netzbetreiber und Energieanlagen richtig einordnen
- Zertifizierung, Ansprechpartner IT-Sicherheit und Meldepflichten nach dem IT-Sicherheitskatalog
- Der EnWG-Katalog im Zusammenspiel mit NIS2, KRITIS-Dachgesetz und ISO 27001
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: enwg-001.
