Cybervize - Cybersecurity Beratung

Zertifizierung, Ansprechpartner IT-Sicherheit und Meldepflichten nach dem IT-Sicherheitskatalog

Energie (EnWG)CISOGeschäftsführungISMS ManagerCompliance

Kernaussage

Der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) macht aus einer Schutzpflicht eine nachweispflichtige Pflicht. Betreiber müssen einen angemessenen Schutz nach dem Stand der Technik für ihre Telekommunikations- und EDV-Systeme gewährleisten; mit Einhaltung des Katalogs gilt dieser Schutz als gewährleistet. Nachgewiesen wird er nicht durch Selbsterklärung, sondern über drei verbundene Pflichten: ein zertifiziertes ISMS, einen gegenüber der BNetzA benannten Ansprechpartner IT-Sicherheit und laufende Melde- und Nachweispflichten.

Die Zertifizierung ist nicht der Endpunkt, sondern der Eintritt in einen dauerhaften Aufsichts- und Auditzyklus; der CISO muss die drei Pflichten als ein zusammenhängendes Steuerungssystem führen.

Problem in der Praxis

Viele Energieunternehmen behandeln die Zertifizierung als einmaliges Ziel: Audit bestanden, Zertifikat im Schrank, Thema erledigt. Das Zertifikat ist aber an Geltungsbereich, Überwachungsaudits und die laufende Wirksamkeit des ISMS gebunden. Fällt der ISMS-Betrieb danach zusammen, ist es nur formal vorhanden, inhaltlich nicht mehr getragen.

Ein zweites Muster: Der Ansprechpartner IT-Sicherheit wird als Formalie benannt, ohne Mandat, Erreichbarkeit und Anbindung an die Incident-Prozesse. Bei einem meldepflichtigen Vorfall ist dann unklar, wer wann was an die BNetzA meldet und wie sich das zu BSI-Pflichten verhält. Denn Energie ist KRITIS-/NIS2-Sektor hoher Kritikalität: Neben dem EnWG-Katalog greifen NIS2/BSIG, sodass Meldewege und Fristen mehrerer Rechtsrahmen nebeneinander bestehen.

CISO-Einordnung

Der CISO steuert die drei Pflichten als ein verbundenes Nachweissystem entlang weniger Leitfragen: Welcher Geltungsbereich ist zertifiziert, und deckt er die betriebsnotwendigen TK-/EDV-Systeme ab? Wer ist Ansprechpartner IT-Sicherheit, mit welchem Mandat und welcher Vertretung? Welche Vorfälle sind nach welchem Rechtsrahmen, an welche Behörde und in welcher Frist zu melden?

Der Katalog beschreibt das regulatorische Was und Wozu. Die Zertifizierung folgt dem ISO-Schema (ISO/IEC 27001, ergänzt um die energiewirtschaftsspezifische ISO/IEC 27019 und ISO/IEC 27002). Ein nach Katalog zertifiziertes ISMS adressiert viele, aber nicht alle Einzelanforderungen aus NIS2/BSIG; einen automatischen 1:1-Gleichlauf gibt es nicht.

Umsetzungsperspektive

Die Zertifizierung erfolgt durch eine akkreditierte Konformitätsbewertungsstelle (DAkkS-akkreditiert) auf Basis von ISO/IEC 27001 nach dem besonderen Verfahren des jeweiligen Katalogs. Der branchenübliche Rahmen sieht eine mehrjährige Gültigkeit mit jährlichen Überwachungsaudits vor; Zyklus und Fristen sind am geltenden Katalog zu prüfen, nicht als feste Regel anzunehmen.

Belastbare Nachweise entstehen im Regelbetrieb des ISMS, nicht kurz vor dem Audit. Interne Audits und Managementbewertung liefern die Spur, auf die sich externe Zertifizierungs- und Überwachungsaudits stützen; Überwachungsaudits folgen den Akkreditierungs- und Zertifizierungsregeln, nicht der Anforderungsnorm selbst.

Den Ansprechpartner IT-Sicherheit benennen Betreiber gegenüber der BNetzA mit Kontaktdaten; Form und Frist ergeben sich aus dem Katalog. Die Rolle braucht Mandat, Erreichbarkeit, Vertretung und Anbindung an Incident- und Krisenmanagement. Bei den Nachweispflichten sind die Vorlage des Zertifikats und die Meldung sicherheitsrelevanter Vorfälle zu unterscheiden. Mit der NIS2-Umsetzung können zusätzliche oder strengere Meldepflichten hinzutreten (Erst- und Folgemeldung mit eigenen Fristen); die Ausgestaltung ist am aktuellen Rechtsrahmen abzugleichen. Zudem fordert der neue Rahmen Vorgaben zum Einsatz von Systemen zur Angriffserkennung.

Typische Fehler

  1. Die Zertifizierung wird als Endpunkt geplant, nicht als Eintritt in den Auditzyklus.
  2. Der Geltungsbereich des Zertifikats deckt nicht alle betriebsnotwendigen TK-/EDV-Systeme ab.
  3. Der Ansprechpartner IT-Sicherheit wird formal benannt, aber ohne Mandat, Vertretung und Incident-Anbindung.
  4. Meldewege werden nur für den Katalog gedacht, parallele NIS2/BSIG-Pflichten bleiben ungeklärt.
  5. Fristen und Zyklen werden aus Sekundärquellen statt aus dem geltenden Katalog übernommen.

Risiken und Trade-offs

Ein zu enger Geltungsbereich senkt den Aufwand, kann aber kritische Systeme formal außerhalb des Zertifikats lassen; ein zu breiter erhöht Aufwand über das Notwendige hinaus.

Bei den Meldepflichten besteht ein Spannungsfeld zwischen Geschwindigkeit und Belastbarkeit: Wer zu spät meldet, verletzt Fristen; wer ohne gesicherte Faktenlage meldet, riskiert widersprüchliche Folgemeldungen. Klare Schwellenwerte und ein eingespieltes Erstmeldungsverfahren steuern dies. Die Annahme, ein Katalogzertifikat decke alle NIS2/BSIG-Pflichten ab, erzeugt blinde Flecken.

Entscheidungspunkte

  • Wie wird der zertifizierte Geltungsbereich abgegrenzt, und wer verantwortet seine Aktualität?
  • Welche Person füllt die Rolle Ansprechpartner IT-Sicherheit aus, mit welchem Mandat und welcher Vertretung?
  • Welche Schwellenwerte lösen eine Meldung aus, und wie werden EnWG-/Katalog- mit NIS2/BSIG-Meldungen koordiniert?
  • Wer überwacht den aktuellen Katalogstand und die laufende Konsolidierung der Kataloge?

Praktische Empfehlungen

  1. Führen Sie Zertifizierung, Ansprechpartner-Rolle und Meldepflichten als ein verbundenes Nachweissystem.
  2. Definieren Sie den Geltungsbereich entlang der betriebsnotwendigen TK-/EDV-Systeme und prüfen Sie ihn bei wesentlichen Änderungen.
  3. Statten Sie den Ansprechpartner IT-Sicherheit mit Mandat, Erreichbarkeit, Vertretung und Incident-Anbindung aus.
  4. Erstellen Sie eine Meldematrix, die EnWG-/Katalog-, NIS2- und BSIG-Pflichten samt Behörde und Fristen gegenüberstellt.
  5. Erzeugen Sie Auditnachweise aus dem Regelbetrieb und verifizieren Sie verbindliche Details am aktuellen Katalog und EnWG.

Relevante Normreferenzen

  • EnWG: Grundpflicht zum angemessenen Schutz nach dem Stand der Technik und Festlegungskompetenz der BNetzA für den Katalog im Einvernehmen mit dem BSI. Die historische Verortung in § 11 Abs. 1a/1b wurde mit der NIS2-Umsetzung in neue Paragrafen (§§ 5c ff.) überführt; die genaue Paragrafenzuordnung ist am amtlichen Volltext zu prüfen. Amtliches Werk, frei zitierbar mit Quellenangabe.
  • BNetzA IT-Sicherheitskatalog: für Strom- und Gasnetzbetreiber (August 2015) und für Energieanlagen (Dezember 2018); beide gelten übergangsweise fort, eine konsolidierte Neufassung war zum Stand dieses Artikels nicht abschließend veröffentlicht. Amtliche Verlautbarung, frei zitierbar mit Quellenangabe.
  • ISO/IEC 27001: ISMS-Anforderungen, auf deren Basis die Zertifizierung erfolgt (reference-only).
  • ISO/IEC 27019: energiewirtschaftsspezifische Sicherheitscontrols; der Editionsbezug (2013/2017/2024) ist katalogabhängig und zu prüfen (reference-only).

Häufige Fragen

Wer zertifiziert nach dem IT-Sicherheitskatalog?+

Eine akkreditierte Konformitätsbewertungsstelle (DAkkS-akkreditiert) auf Basis von ISO/IEC 27001 nach dem besonderen Verfahren des Katalogs.

Ist das Zertifikat dauerhaft gültig?+

Nein. Es gilt befristet mit Überwachungsaudits; der Zyklus ist am geltenden Katalog zu prüfen.

Was ist der Ansprechpartner IT-Sicherheit?+

Eine gegenüber der BNetzA zu benennende Rolle mit Kontaktdaten; das Mandat sollte Erreichbarkeit, Vertretung und Incident-Anbindung umfassen.

Reicht das Katalogzertifikat für NIS2 und BSIG?+

Nein. Es deckt viele, aber nicht alle Anforderungen ab; die Rechtsrahmen überlappen, sind aber nicht deckungsgleich.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Energie (EnWG) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: enwg-004.