Informationssicherheit für Energie und KRITIS.
Netzbetreiber und Anlagenbetreiber stehen zwischen mehreren Regelwerken – IT-Sicherheitskatalog, BSIG, NIS-2. Wir ordnen die Anforderungen, verbinden sie mit einem ISMS und behalten die Betriebsrealität in der OT im Blick.
IT-Sicherheit endet nicht am Leitstand.
Energieunternehmen bewegen sich zwischen IT und OT, zwischen Regulierung und Verfügbarkeit. Maßnahmen, die im Büro selbstverständlich sind, brauchen in der Anlage einen anderen Ansatz. Ein Patch, der im Büronetz eine Randnotiz ist, kann in der Leittechnik eine Abstimmung mit dem Hersteller und ein Wartungsfenster bedeuten.
Dazu kommt: Betreiber unterliegen oft mehreren Regelwerken parallel. Der IT-Sicherheitskatalog der Bundesnetzagentur, die Nachweispflichten aus dem BSIG und die NIS-2-Umsetzung greifen ineinander, mit unterschiedlichen Behörden und unterschiedlichen Nachweisen. Bevor Maßnahmen sinnvoll sind, muss klar sein, was für Sie gilt. Genau dort setzen wir an – mit Respekt vor der Betriebsrealität und ohne die Anforderungen zu verwässern.
Wer braucht was – im Überblick.
Die folgenden Regelwerke betreffen Energieunternehmen je nach Rolle und Größe – Netzbetreiber, Anlagenbetreiber, Anbieter digitaler Energiedienste, KRITIS-Betreiber. Sie schließen sich nicht aus, sondern gelten häufig nebeneinander. Die Karte zeigt, was greift, welche Norm den Maßstab setzt und welche Behörde zuständig ist.
Strom- und Gasnetzbetreiber.
Betreiber von Strom- und Gasnetzen müssen ein ISMS betreiben und zertifizieren lassen. Maßstab ist ISO/IEC 27001, erweitert um ISO/IEC 27019 mit den Besonderheiten der Prozess- und Leittechnik. Ein Ansprechpartner IT-Sicherheit ist gegenüber der Bundesnetzagentur zu benennen.
Betreiber kritischer Energieanlagen.
Für Betreiber von Energieanlagen, die als kritische Infrastruktur gelten und an ein Energieversorgungsnetz angeschlossen sind, gilt ein eigener Katalog. Auch hier bilden ISO/IEC 27001 und ISO/IEC 27019 den Maßstab – mit Fokus auf die Anlagensteuerung statt auf das Netz.
Digitale Energiedienste.
Neu erfasst: Betreiber digitaler Energiedienste – etwa Energiemanagementsysteme oder Dienste zur Laststeuerung und Bündelung elektrischer Leistung -, soweit sie als besonders wichtige oder wichtige Einrichtung gelten und ihren Dienst an einer netzgebundenen Anlage erbringen. Auch sie müssen einen angemessenen Schutz nach dem IT-Sicherheitskatalog der Bundesnetzagentur gewährleisten.
KRITIS-Betreiber gegenüber dem BSI.
Wer die KRITIS-Schwellenwerte überschreitet, weist dem BSI wiederkehrend nach, dass die Informationssicherheit dem Stand der Technik entspricht – nach bisherigem Recht alle zwei Jahre. Mit dem NIS-2-Umsetzungsgesetz wurde die Nachweispflicht in das novellierte BSIG überführt.
Branchenspezifische Sicherheitsstandards.
B3S werden von Branchenverbänden erarbeitet und vom BSI auf Eignung geprüft. Sie übersetzen den Stand der Technik in konkrete Anforderungen für eine Branche und können als Grundlage für den KRITIS-Nachweis dienen – im Energieumfeld etwa für Fernwärme oder für Systeme zur Steuerung und Bündelung elektrischer Leistung.
Besonders wichtige und wichtige Einrichtungen.
Das deutsche NIS-2-Umsetzungsgesetz ist in Kraft und erweitert den Kreis der regulierten Unternehmen deutlich. Der Energiesektor zählt zu den Bereichen mit hoher Kritikalität; KRITIS-Betreiber gelten dabei regelmäßig als besonders wichtige Einrichtungen. Hinzu kommen Registrierung beim BSI, Meldepflichten für erhebliche Sicherheitsvorfälle und Anforderungen an das Risikomanagement. Für Netz- und Anlagenbetreiber wird NIS-2 im EnWG konkretisiert – der IT-Sicherheitskatalog bleibt der energiespezifische Maßstab.
Ob eine Anlage unter die KRITIS-Pflichten fällt, entscheiden die Schwellenwerte der BSI-KritisV – im Strombereich beispielsweise eine Regelschwelle von rund 3.700 GWh Jahresarbeit. Die genaue Betroffenheit hängt von Sektor, Anlagenart und Rolle ab und gehört an den Anfang jedes Vorhabens. Diese Übersicht ordnet ein, sie ersetzt keine rechtliche Prüfung im Einzelfall.
Von der Betroffenheit zum belastbaren Nachweis.
Ob IT-Sicherheitskatalog, KRITIS-Nachweis oder NIS-2 – das Vorgehen folgt einem verlässlichen Muster. Wir begleiten die Schritte, bei denen es auf Erfahrung ankommt, und halten die Prüfung selbst bewusst außen vor.
Betroffenheit klären
Welche Regelwerke greifen, welche Schwellenwerte sind relevant, welcher Geltungsbereich zählt. Wir übernehmen die Einordnung.
Standortbestimmung
GAP-Analyse gegen ISO/IEC 27001 und 27019 – über IT und OT hinweg, mit klaren Prioritäten statt langer Mängellisten.
ISMS & Maßnahmen
Richtlinien, Prozesse und technische Maßnahmen aufsetzen und einführen – im Umfang, den Netz und Anlagen wirklich brauchen.
Interne Prüfung
Die Prüfung vor der Prüfung: Nachweise sichten, Reifegrad bestätigen, offene Punkte schließen – bevor die externe Stelle kommt.
Nachweis & Audit
Begleitung bis zum Zertifizierungs- oder Nachweisverfahren durch die zuständige akkreditierte Stelle – und darüber hinaus, wenn gewünscht.
Die Zertifizierung und den Nachweis selbst führt eine akkreditierte, unabhängige Stelle durch – nicht isms2cert. Wo wir beraten, auditieren wir nicht. Diese Trennung sichert die Aussagekraft Ihres Nachweises.
Wo Anforderung und Anlage aufeinandertreffen.
Drei Themen, die in Leittechnik-Umgebungen immer wieder auftauchen – und wie sich Sicherheit und Verfügbarkeit dabei zusammenbringen lassen.
Patch-Management in der Leittechnik.
Situation: Steuerungssysteme lassen sich nicht wie Bürorechner einfach aktualisieren. Herstellerfreigaben, Verfügbarkeit und Wartungsfenster setzen enge Grenzen.
Ansatz: Ein risikobasierter Patch-Prozess mit klarer Bewertung, definierten Wartungsfenstern und kompensierenden Maßnahmen dort, wo ein Patch nicht möglich ist – dokumentiert und nachweisbar.
Netzsegmentierung OT und IT.
Situation: Historisch gewachsene Netze vermischen Büro-IT und Prozesssteuerung. Ein Vorfall im einen Bereich kann so ungewollt in den anderen wandern.
Ansatz: Zonen und Übergänge nach anerkanntem Vorbild sauber trennen, Datenflüsse zwischen den Ebenen bewusst führen und kontrollieren – schrittweise, ohne den Betrieb anzuhalten.
Fernwartung und Zugänge.
Situation: Hersteller und Dienstleister warten Anlagen aus der Ferne. Offene oder pauschale Zugänge sind bequem, aber ein bevorzugter Angriffsweg.
Ansatz: Fernzugriffe über kontrollierte Wege, mit starker Authentifizierung, zeitlich begrenzten Freigaben und nachvollziehbarer Protokollierung – Wartbarkeit bleibt, das Risiko sinkt.
Ich habe die Energieseite selbst verantwortet.
Bevor ich beraten und auditiert habe, war ich als CISO in der Energiewirtschaft für Informationssicherheit verantwortlich – mit allem, was zwischen Regulierung, Leitstand und Vorstand liegt. Heute trage ich als aktiver CISO Verantwortung in einer OT-geprägten Umgebung. Ich kenne die Fragen, die im Leitstand wirklich gestellt werden, und die, die im Aufsichtsgremium ankommen.
Das prägt, wie wir arbeiten: nah an der Anlage, verständlich für die Führung und ohne die Betriebsrealität zu übergehen. Und es bleibt bei unserem Grundsatz – wo wir beraten, auditieren wir nicht.
Sprechen wir über Ihre Anlagen und Nachweise.
In einem ersten Gespräch ordnen wir Ihre Betroffenheit ein, klären den nächsten sinnvollen Schritt und sagen ehrlich, was der Aufwand wert ist. Unverbindlich, konkret und mit Verständnis für den Betrieb.
Erstgespräch anfragen →