Zwei IT-Sicherheitskataloge: Netzbetreiber und Energieanlagen richtig einordnen
Kernaussage
Der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) ist kein einzelnes Dokument, sondern existiert im Bestand als zwei getrennte Kataloge mit unterschiedlichem Geltungsbereich: einer für Strom- und Gasnetzbetreiber und einer für Betreiber von Energieanlagen, die als Kritische Infrastruktur (KRITIS) eingestuft und an ein Energieversorgungsnetz angeschlossen sind.
Für einen CISO ist die erste und folgenreichste Entscheidung deshalb keine technische, sondern eine Einordnungsfrage: In welche Rolle fällt das eigene Unternehmen, und welcher Katalog adressiert welche Anlagen? Wer Netzbetrieb und Anlagenbetrieb unter einem Konzerndach vereint, kann von beiden Katalogen betroffen sein. Eine falsche Einordnung verschiebt nicht nur Aufwände, sondern auch den Zertifizierungsgegenstand und damit die Nachweisbarkeit gegenüber der Aufsicht.
Problem in der Praxis
In der Praxis wird der IT-Sicherheitskatalog oft als ein homogener Pflichtenkatalog wahrgenommen. Das führt zu zwei typischen Fehlbildern. Erstens: Ein Netzbetreiber zertifiziert seinen Netzbetrieb und nimmt an, damit seien auch angeschlossene KRITIS-Erzeugungsanlagen abgedeckt. Zweitens: Ein Anlagenbetreiber orientiert sich am Netz-Katalog, obwohl für ihn ein eigener Geltungsbereich und ein eigenes Schwellenkriterium gelten.
Beide Fehler entstehen, weil die Frage "Welcher Katalog gilt für welchen Teil meiner Organisation?" zu spät gestellt wird. Sie wird erst sichtbar, wenn eine Zertifizierungsstelle den Geltungsbereich abgrenzen muss oder wenn die BNetzA als sektorale Aufsicht den Nachweis für eine konkrete Anlage verlangt.
CISO-Einordnung
Die historische Verortung hilft beim Verständnis der Trennung. In der alten Fassung des EnWG adressierte ein Absatz die Strom- und Gasnetzbetreiber, ein weiterer Absatz die KRITIS-Energieanlagenbetreiber (in der bisherigen Systematik § 11 Abs. 1a für Netze und § 11 Abs. 1b für Anlagen). Mit der deutschen NIS2-Umsetzung wurden diese Pflichten in neue Paragrafen des EnWG überführt (Systematik §§ 5c folgende). Die genaue Zuordnung einzelner Absätze zu den neuen Paragrafen ist gegen den aktuellen amtlichen Gesetzestext zu prüfen und sollte nicht als feststehend behauptet werden.
Für die Einordnung der eigenen Anlagen sind drei Achsen maßgeblich:
- Rolle: Betreibe ich ein Energieversorgungsnetz (Strom/Gas), eine Energieanlage, oder beides? Die neue Fassung kennt zusätzlich Betreiber digitaler Energiedienste als Adressaten.
- KRITIS-Status: Ist die Energieanlage als Kritische Infrastruktur eingestuft und an ein Energieversorgungsnetz angeschlossen? Der Anlagen-Katalog zielt genau auf diese Konstellation, typischerweise oberhalb definierter Schwellenwerte.
- Geltungsbereich (Scope): Welche konkreten Telekommunikations- und EDV-Systeme sind für den jeweiligen Betrieb notwendig und damit schutzbedürftig?
Der Netz-Katalog zielt auf die für den Netzbetrieb notwendigen Systeme inklusive netzsteuerungsspezifischer Aspekte. Der Anlagen-Katalog zielt auf die KRITIS-relevanten Energieanlagen. Beide verlangen dasselbe Steuerungsinstrument, setzen es aber auf unterschiedliche Gegenstände an.
Umsetzungsperspektive
Beide Kataloge fordern als Kernpflicht den Aufbau, Betrieb und die Zertifizierung eines ISMS nach ISO/IEC 27001, ergänzt um die branchenspezifische ISO/IEC 27019 und unter Berücksichtigung von ISO/IEC 27002. ISO/IEC 27019 liefert dabei die energiewirtschaftsspezifischen Zusatz- und Anpassungs-Controls, unter anderem für Prozessleit- und Netzsteuerungstechnik (OT). Welche Edition der ISO/IEC 27019 der jeweilige Katalog konkret referenziert, ist versionsabhängig und am geltenden Katalog zu prüfen.
Die Zertifizierung erfolgt durch eine akkreditierte Konformitätsbewertungs- beziehungsweise Zertifizierungsstelle nach dem besonderen Verfahren des jeweiligen Katalogs. Branchenüblich ist ein dreijähriger Zertifikatszyklus mit jährlichen Überwachungsaudits; die genauen Fristen sind am jeweiligen Katalog und Verfahren zu verifizieren. Zusätzlich müssen Betreiber der BNetzA einen Ansprechpartner IT-Sicherheit benennen und das Zertifikat als Nachweis vorlegen.
Wichtig für die Planung: Bis zur Veröffentlichung eines neuen, konsolidierten Katalogs auf Basis der neuen EnWG-Paragrafen gelten die bestehenden Kataloge fort (Netz-Katalog August 2015, Anlagen-Katalog Dezember 2018). Eine Neufassung ist in Arbeit; ein finaler, verbindlicher neuer Katalog war zum Stand dieses Beitrags noch nicht abschließend veröffentlicht. Der aktuelle Stand ist bei der BNetzA zu prüfen.
Typische Fehler
- Der Geltungsbereich wird auf den Netzbetrieb verengt, obwohl angeschlossene KRITIS-Energieanlagen einen eigenen Katalog und Scope erfordern.
- Ein Anlagenbetreiber orientiert sich am Netz-Katalog, ohne das eigene Schwellen- und KRITIS-Kriterium zu prüfen.
- Die Einordnung der eigenen Anlagen erfolgt erst im Zertifizierungsprojekt statt als bewusste Management-Entscheidung am Anfang.
- Veraltete Paragrafenstände werden als feste Rechtsgrundlage zitiert, statt den aktuellen EnWG-Text und Katalog heranzuziehen.
- Die EnWG-Pflicht wird als gleichbedeutend mit NIS2/BSIG behandelt, obwohl kein automatischer 1:1-Gleichlauf besteht.
Risiken und Trade-offs
Ein zu eng gezogener Geltungsbereich spart kurzfristig Aufwand, lässt aber Anlagen ungeschützt und nicht nachweisbar. Ein zu weit gezogener Scope erhöht den Zertifizierungs- und Betriebsaufwand und bindet Ressourcen an Systeme, die nicht katalogrelevant sind.
Der zweite Trade-off betrifft die Mehrfachbetroffenheit. Energie ist ein KRITIS- und NIS2-Sektor hoher Kritikalität; neben dem EnWG-Katalog können NIS2/BSIG und Vorgaben zur physischen Resilienz greifen. Ein nach Katalog zertifiziertes ISMS adressiert viele, aber nicht zwingend alle Einzelanforderungen dieser Rahmen. Wer die EnWG-Zertifizierung als alleinigen Compliance-Nachweis versteht, unterschätzt möglicherweise zusätzliche Melde- und Geschäftsleitungspflichten. Die Abgrenzung der Zuständigkeiten zwischen EnWG und BSIG ist im Einzelfall zu prüfen.
Entscheidungspunkte
- Welche Teile der Organisation fallen unter den Netz-Katalog, welche unter den Anlagen-Katalog, und welche unter beide?
- Wie wird der Geltungsbereich je Katalog abgegrenzt, damit alle notwendigen TK-/EDV-Systeme erfasst, aber nicht überzogen werden?
- Wird ein gemeinsames ISMS mit getrennten Scopes oder werden getrennte Zertifizierungen aufgebaut?
- Wie wird die Mehrfachbetroffenheit (EnWG plus NIS2/BSIG) in einer konsistenten Steuerung zusammengeführt?
- Wie wird auf die kommende Konsolidierung der Kataloge vorbereitet, ohne den fortgeltenden Bestand zu vernachlässigen?
Praktische Empfehlungen
- Erstellen Sie zuerst eine belastbare Rollen- und Anlagenlandkarte: Welche Einheit ist Netzbetreiber, welche Anlagenbetreiber, welche Anlage ist KRITIS und ans Netz angeschlossen.
- Leiten Sie daraus pro Katalog einen sauber abgegrenzten Geltungsbereich ab und lassen Sie ihn frühzeitig mit der Zertifizierungsstelle abstimmen.
- Behandeln Sie das ISMS nach ISO/IEC 27001 mit ISO/IEC 27019 als gemeinsame Basis, aber halten Sie die Scopes der beiden Kataloge nachvollziehbar getrennt.
- Benennen Sie den Ansprechpartner IT-Sicherheit und richten Sie die Nachweis- und Meldewege frühzeitig ein.
- Beobachten Sie die Neufassung der Kataloge und den aktuellen EnWG-Stand aktiv; prüfen Sie verbindliche Details stets am aktuellen BNetzA-Katalog und Gesetzestext.
Relevante Normreferenzen
- EnWG: Rechtsgrundlage der IT-Sicherheitspflichten und der Festlegungskompetenz der BNetzA; amtliches Werk, frei zitierbar mit Quellenangabe. Paragrafenstand (alte Fassung § 11 Abs. 1a/1b gegenüber neuer Systematik §§ 5c folgende) am aktuellen Gesetzestext prüfen.
- BNetzA IT-Sicherheitskatalog (Netzbetreiber, 2015; Energieanlagen, 2018): amtliche Verlautbarung, frei zitierbar mit Quellenangabe.
- ISO/IEC 27001: Referenz für die ISMS-Anforderungen (reine Referenz, kein Volltext).
- ISO/IEC 27019: Referenz für energiewirtschaftsspezifische Controls (reine Referenz, kein Volltext).
Häufige Fragen
Gibt es einen oder mehrere IT-Sicherheitskataloge?+
Im Bestand existieren zwei: einer für Strom- und Gasnetzbetreiber, einer für KRITIS-Energieanlagen. Eine Konsolidierung ist in Arbeit; der aktuelle Stand ist bei der BNetzA zu prüfen.
Welcher Katalog gilt für mich?+
Das hängt von der Rolle ab: Netzbetreiber fallen unter den Netz-Katalog, Betreiber KRITIS-relevanter, ans Netz angeschlossener Energieanlagen unter den Anlagen-Katalog. Wer beides betreibt, kann von beiden betroffen sein.
Reicht eine ISO/IEC-27001-Zertifizierung aus?+
Der Katalog verlangt ein ISMS nach ISO/IEC 27001, ergänzt um ISO/IEC 27019 und nach dem besonderen Verfahren des Katalogs. Eine reine 27001-Zertifizierung ohne den katalogspezifischen Geltungsbereich genügt in der Regel nicht.
Deckt der EnWG-Katalog auch NIS2 ab?+
Nicht automatisch. Ein katalogkonformes ISMS adressiert viele, aber nicht zwingend alle NIS2/BSIG-Anforderungen. Die Abgrenzung ist im Einzelfall zu prüfen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Energie (EnWG) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
- Der IT-Sicherheitskatalog der BNetzA für den Energiesektor: Überblick
- Die ISMS-Pflicht nach ISO/IEC 27001 und ISO/IEC 27019 im Netzbetrieb
- Zertifizierung, Ansprechpartner IT-Sicherheit und Meldepflichten nach dem IT-Sicherheitskatalog
- Der EnWG-Katalog im Zusammenspiel mit NIS2, KRITIS-Dachgesetz und ISO 27001
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: enwg-003.
