Cybervize - Cybersecurity Beratung

Umsetzungs-Roadmap für den CISO eines Energienetzbetreibers

Energie (EnWG)CISOISMS ManagerGeschäftsführung

Kernaussage

Der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) ist für Energienetzbetreiber keine freiwillige Best Practice, sondern Pflicht: Betreiber müssen einen angemessenen Schutz nach dem Stand der Technik für ihre Telekommunikations- und EDV-Systeme gewährleisten, und der Katalog konkretisiert diesen Maßstab. Wer den Katalog einhält, für den gilt der angemessene Schutz als gewährleistet (Quelle: EnWG; BNetzA IT-Sicherheitskatalog).

Für den CISO zählt nicht das einzelne Audit, sondern eine belastbare Roadmap: Betroffenheit und Geltungsbereich klären, die Lücke gegen ISO/IEC 27001 und ISO/IEC 27019 ermitteln, den Ansprechpartner IT-Sicherheit benennen, die Zertifizierung planen, den Melde- und Nachweisprozess aufsetzen und das Ganze mit NIS2 und KRITIS verzahnen. Diese sechs Bausteine bilden den roten Faden dieses Artikels.

Problem in der Praxis

Viele Energieunternehmen behandeln den IT-Sicherheitskatalog als reines Zertifizierungsprojekt mit Stichtag. Eine externe Beratung baut ein ISMS, ein Zertifikat wird erreicht, danach fällt das Thema in den Hintergrund bis zum nächsten Überwachungsaudit.

Das führt zu drei Mustern. Erstens ist der Geltungsbereich oft unscharf: Es bleibt unklar, welche Systeme zum Netzbetrieb gehören und welche separat als KRITIS-Anlage zu betrachten sind. Zweitens wird die Verzahnung mit NIS2 und KRITIS übersehen, sodass parallele Pflichten doppelt oder gar nicht bedient werden. Drittens ist der Melde- und Nachweisprozess nicht eingeübt: Tritt ein Vorfall ein oder verlangt die Aufsicht einen Nachweis, beginnt die hektische Suche nach Zuständigkeit und Belegen.

Hinzu kommt regulatorische Bewegung. Die IT-Sicherheitspflichten, historisch in § 11 EnWG verortet, werden im Zuge der NIS2-Umsetzung neu strukturiert. Wer seine Roadmap allein auf eine bestimmte Paragraphennummer stützt, riskiert eine veraltete Grundlage.

CISO-Einordnung

Der CISO sollte den Katalog als das "Was" und "Wozu" der Pflicht verstehen, während ISO/IEC 27001 und ISO/IEC 27019 das "Wie" der Umsetzung und Zertifizierung liefern. Ein nach Katalog zertifiziertes ISMS adressiert viele, aber nicht zwingend alle Einzelanforderungen aus NIS2 und BSIG. Einen automatischen 1:1-Gleichlauf gibt es nicht.

Für Betroffenheit und Scope kommt es auf die Unterscheidung zwischen Netz und Anlagen an. Historisch gab es zwei getrennte Kataloge mit unterschiedlichem Geltungsbereich:

  • Der IT-Sicherheitskatalog für Strom- und Gasnetzbetreiber (August 2015) zielt auf den Netzbetrieb und die dafür notwendigen TK- und EDV-Systeme. Er war historisch an § 11 Abs. 1a EnWG (alte Fassung) geknüpft.
  • Der IT-Sicherheitskatalog für Energieanlagen (Dezember 2018) adressiert KRITIS-relevante Energieanlagen, die an ein Energieversorgungsnetz angeschlossen sind und Schwellenwerte überschreiten. Er war historisch an § 11 Abs. 1b EnWG (alte Fassung) geknüpft.

Ein integrierter Energiekonzern kann von beiden Katalogen betroffen sein. Der CISO muss daher zuerst abgrenzen, welche Assets dem Netzbetrieb dienen und welche zur Anlagenwelt gehören, denn daraus folgen unterschiedliche Geltungsbereiche und potenziell zwei Zertifizierungsräume.

Wichtig: Die Paragraphen-Verortung ist in Bewegung. Mit der NIS2-Umsetzung (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) wurden die Pflichten aus § 11 EnWG voraussichtlich in neue §§ 5c ff. EnWG überführt; § 5c adressiert IT-Sicherheit im Anlagen- und im Netzbetrieb samt Festlegungskompetenz der BNetzA und Vorgaben zu Systemen zur Angriffserkennung. Die exakte Zuordnung einzelner Absätze sowie Inkrafttretens- und Paragraphenstand sind am aktuellen EnWG (gesetze-im-internet.de) und am geltenden BNetzA-Katalog zu prüfen und nicht als fix anzunehmen.

Umsetzungsperspektive

Eine tragfähige Roadmap lässt sich in sechs Etappen denken:

  1. Betroffenheit und Scope feststellen. Prüfen, ob das Unternehmen Netzbetreiber, KRITIS-Energieanlagenbetreiber oder beides ist. Geltungsbereich entlang der für den Netzbetrieb bzw. Anlagenbetrieb notwendigen TK- und EDV-Systeme abgrenzen und dokumentieren, einschließlich der Prozessleit- und Netzsteuerungstechnik (OT).

  2. Gap-Analyse gegen das ISMS-Schema. Die Kernpflicht beider Kataloge ist Aufbau, Betrieb und Zertifizierung eines ISMS nach ISO/IEC 27001, ergänzt um die branchenspezifische ISO/IEC 27019 und unter Berücksichtigung von ISO/IEC 27002. ISO/IEC 27019 liefert energiewirtschaftsspezifische Zusatz- und Anpassungs-Controls, insbesondere für OT. Welche Edition (TR 27019:2013, ISO/IEC 27019:2017 oder :2024) der jeweils geltende Katalog konkret fordert, ist versionsabhängig und am Katalog zu prüfen.

  3. Ansprechpartner IT-Sicherheit benennen. Betreiber müssen der BNetzA einen Ansprechpartner IT-Sicherheit mit Kontaktdaten benennen. Frist und Form ergeben sich aus dem jeweiligen Katalog und sind dort zu prüfen. Der CISO sollte diese Rolle früh klären, da sie die Schnittstelle zur Aufsicht ist.

  4. Zertifizierung planen. Die Zertifizierung erfolgt durch eine akkreditierte Konformitätsbewertungs- bzw. Zertifizierungsstelle (DAkkS-akkreditiert) auf Basis ISO/IEC 27001 nach dem besonderen Zertifizierungsverfahren des jeweiligen Katalogs. Branchenüblich ist ein dreijähriger Zyklus mit jährlichen Überwachungsaudits; das konkrete Detail ist am Katalog und Verfahren zu verifizieren.

  5. Melde- und Nachweisprozess aufsetzen. Das Zertifikat ist der BNetzA als Nachweis vorzulegen, und sicherheitsrelevante Vorfälle sind zu melden. Mit NIS2 bzw. BSIG können zusätzliche oder strengere Meldepflichten hinzukommen (Fristen, Erst- und Folgemeldung); die genaue Ausgestaltung ist gegen den geltenden Rechtsrahmen zu prüfen.

  6. Verzahnung mit NIS2 und KRITIS. Energie ist Sektor hoher Kritikalität. Es besteht Mehrfachbetroffenheit aus EnWG-Katalog, NIS2/BSIG und KRITIS-Dachgesetz bzw. CER für physische Resilienz. Die Roadmap sollte die Pflichten in einem gemeinsamen Steuerungsmodell zusammenführen.

Die Etappen 3 bis 5 können parallel laufen, sobald Scope und Gap aus 1 und 2 stehen. Sie sollten als Dauerbetrieb verankert werden, nicht als einmaliges Projekt.

Typische Fehler

  1. Den Geltungsbereich nicht sauber zwischen Netzbetrieb und KRITIS-Anlagen trennen und dadurch Lücken oder Doppelarbeit erzeugen.
  2. Die Roadmap auf eine konkrete Paragraphennummer festschreiben, obwohl der Paragraphenstand durch die NIS2-Umsetzung in Bewegung ist.
  3. Die ISO/IEC-27019-Anpassungen für OT vergessen und nur ein generisches 27001-ISMS bauen.
  4. Den Ansprechpartner IT-Sicherheit spät oder unklar benennen und damit die Aufsichtsschnittstelle schwächen.
  5. Den Melde- und Nachweisprozess erst im Ernstfall improvisieren statt vorab einzuüben.
  6. Annehmen, ein Katalog-Zertifikat decke automatisch alle NIS2- und BSIG-Pflichten ab.

Risiken und Trade-offs

Ein zu eng gezogener Scope reduziert Aufwand, kann aber regulatorische Lücken hinterlassen, etwa wenn OT-Systeme oder grenzwertige Anlagen ausgeklammert werden. Ein zu weit gezogener Scope erhöht Audit- und Betriebskosten und kann die Organisation überfordern.

Beim Timing besteht ein Trade-off zwischen Abwarten und Vorpreschen. Die bestehenden Kataloge (2015 für Netze, 2018 für Anlagen) gelten übergangsweise fort, und bestehende Zertifikate behalten ihre Gültigkeit, während ein konsolidierter neuer Katalog auf Basis der §§ 5c ff. EnWG in Arbeit, aber noch nicht final veröffentlicht ist. Wer die Neufassung blind abwartet, verliert Vorlaufzeit; wer auf einen nicht final beschlossenen Stand baut, riskiert Nacharbeit. Der CISO sollte daher robust gegen beide Kataloggenerationen planen und den aktuellen Stand auf den Seiten der BNetzA verfolgen.

Ein dritter Trade-off betrifft die Aufsichtsabgrenzung: Die BNetzA ist sektorspezifische Aufsicht, das BSI wirkt über das Einvernehmen beim Katalog mit und ist zentrale Cybersicherheitsbehörde. Die Abgrenzung der Zuständigkeiten zwischen EnWG und BSIG ist im Einzelfall zu prüfen, insbesondere nach der NIS2-Umsetzung.

Entscheidungspunkte

  • Ist das Unternehmen Netzbetreiber, KRITIS-Anlagenbetreiber oder beides, und wo verläuft die Scope-Grenze zwischen Netz und Anlage?
  • Wird ein gemeinsamer Geltungsbereich gewählt oder werden Netz- und Anlagenwelt getrennt zertifiziert?
  • Auf welche Kataloggeneration und welche ISO/IEC-27019-Edition wird die Umsetzung ausgerichtet, und wie wird auf die Neufassung reagiert?
  • Wer wird Ansprechpartner IT-Sicherheit, und wie ist diese Rolle vertreten?
  • Wie werden EnWG-, NIS2- und KRITIS-Pflichten in einem Melde- und Nachweisprozess gebündelt?

Praktische Empfehlungen

  1. Beginnen Sie mit einer dokumentierten Scope- und Betroffenheitsanalyse, die Netzbetrieb, Anlagen und OT klar abgrenzt.
  2. Führen Sie die Gap-Analyse gegen ein ISMS nach ISO/IEC 27001 mit der energiewirtschaftlichen Ergänzung ISO/IEC 27019 durch und halten Sie die OT-spezifischen Anpassungen explizit fest.
  3. Benennen Sie den Ansprechpartner IT-Sicherheit früh und klären Sie Vertretung sowie Eskalationswege zur BNetzA.
  4. Planen Sie die Zertifizierung mit einer DAkkS-akkreditierten Stelle und kalkulieren Sie Überwachungsaudits als Dauerbetrieb ein; verifizieren Sie Zyklus und Fristen am geltenden Katalog.
  5. Etablieren Sie einen geübten Melde- und Nachweisprozess, der EnWG, NIS2/BSIG und KRITIS gemeinsam bedient, und testen Sie ihn.
  6. Verfolgen Sie den aktuellen Stand des Katalogs und des EnWG auf bundesnetzagentur.de bzw. gesetze-im-internet.de und verankern Sie ein Verfahren für regulatorische Änderungen.

Relevante Normreferenzen

  • EnWG (Energiewirtschaftsgesetz): amtliches Werk, frei zitierbar mit Quellenangabe. Grundpflicht zum angemessenen Schutz nach dem Stand der Technik und Festlegungskompetenz der BNetzA; Paragraphenstand (§ 11 a.F. bzw. §§ 5c ff. n.F.) am aktuellen Gesetzestext zu prüfen.
  • BNetzA IT-Sicherheitskatalog (Strom-/Gasnetzbetreiber 2015; Energieanlagen 2018): amtliche Verlautbarung, frei zitierbar mit Quellenangabe; aktueller bzw. konsolidierter Stand bei der BNetzA zu prüfen.
  • ISO/IEC 27001: Referenz für ISMS-Anforderungen und Zertifizierung (nur Verweis, kein Volltext).
  • ISO/IEC 27019: Referenz für energiewirtschaftsspezifische Controls inkl. OT (nur Verweis, kein Volltext); konkrete Edition versionsabhängig.

Häufige Fragen

Bin ich als Netzbetreiber oder als Anlagenbetreiber betroffen?+

Möglicherweise beides. Historisch trennen zwei Kataloge den Netzbetrieb (2015) von KRITIS-Energieanlagen (2018). Der Scope ist entlang der jeweils notwendigen TK- und EDV-Systeme abzugrenzen.

Reicht ein ISO/IEC-27001-Zertifikat aus?+

Der Katalog verlangt ein ISMS nach ISO/IEC 27001, ergänzt um die energiewirtschaftliche ISO/IEC 27019. Ein generisches 27001-ISMS ohne 27019-Anpassungen für OT genügt in der Regel nicht.

Deckt das Katalog-Zertifikat meine NIS2-Pflichten ab?+

Nicht automatisch. Ein nach Katalog zertifiziertes ISMS adressiert viele, aber nicht zwingend alle NIS2- und BSIG-Anforderungen.

Welcher Paragraph gilt aktuell?+

Historisch § 11 EnWG, nach der NIS2-Umsetzung voraussichtlich §§ 5c ff. EnWG. Der genaue Paragraphenstand ist am aktuellen EnWG zu prüfen.

Muss ich der BNetzA jemanden benennen?+

Ja, einen Ansprechpartner IT-Sicherheit mit Kontaktdaten. Frist und Form sind dem jeweiligen Katalog zu entnehmen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Energie (EnWG) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: enwg-006.