isms2cert Consult · Train · Audit
03
Energie & KRITIS

Informationssicherheit für Energie und KRITIS.

Netzbetreiber und Anlagenbetreiber stehen zwischen mehreren Regelwerken – IT-Sicherheitskatalog, BSIG, NIS-2. Wir ordnen die Anforderungen, verbinden sie mit einem ISMS und behalten die Betriebsrealität in der OT im Blick.

Bildwelt · Energie
Platzhalter · Fotomotiv Umspannwerk oder Freileitung aus Distanz – nüchtern und grafisch. Crop 16:9 · keine identifizierbaren Betreiber
01 Die Ausgangslage

IT-Sicherheit endet nicht am Leitstand.

Energieunternehmen bewegen sich zwischen IT und OT, zwischen Regulierung und Verfügbarkeit. Maßnahmen, die im Büro selbstverständlich sind, brauchen in der Anlage einen anderen Ansatz. Ein Patch, der im Büronetz eine Randnotiz ist, kann in der Leittechnik eine Abstimmung mit dem Hersteller und ein Wartungsfenster bedeuten.

Dazu kommt: Betreiber unterliegen oft mehreren Regelwerken parallel. Der IT-Sicherheitskatalog der Bundesnetzagentur, die Nachweispflichten aus dem BSIG und die NIS-2-Umsetzung greifen ineinander, mit unterschiedlichen Behörden und unterschiedlichen Nachweisen. Bevor Maßnahmen sinnvoll sind, muss klar sein, was für Sie gilt. Genau dort setzen wir an – mit Respekt vor der Betriebsrealität und ohne die Anforderungen zu verwässern.

02Regulierungslandkarte

Wer braucht was – im Überblick.

Stand · Juli 2026

Die folgenden Regelwerke betreffen Energieunternehmen je nach Rolle und Größe – Netzbetreiber, Anlagenbetreiber, Anbieter digitaler Energiedienste, KRITIS-Betreiber. Sie schließen sich nicht aus, sondern gelten häufig nebeneinander. Die Karte zeigt, was greift, welche Norm den Maßstab setzt und welche Behörde zuständig ist.

IT-Sicherheitskatalog § 5c Abs. 1 Nr. 1 EnWG

Strom- und Gasnetzbetreiber.

Betreiber von Strom- und Gasnetzen müssen ein ISMS betreiben und zertifizieren lassen. Maßstab ist ISO/IEC 27001, erweitert um ISO/IEC 27019 mit den Besonderheiten der Prozess- und Leittechnik. Ein Ansprechpartner IT-Sicherheit ist gegenüber der Bundesnetzagentur zu benennen.

ISO/IEC 27001 ISO/IEC 27019 Aufsicht · BNetzA
IT-Sicherheitskatalog § 5c Abs. 1 Nr. 2 EnWG

Betreiber kritischer Energieanlagen.

Für Betreiber von Energieanlagen, die als kritische Infrastruktur gelten und an ein Energieversorgungsnetz angeschlossen sind, gilt ein eigener Katalog. Auch hier bilden ISO/IEC 27001 und ISO/IEC 27019 den Maßstab – mit Fokus auf die Anlagensteuerung statt auf das Netz.

ISO/IEC 27001 ISO/IEC 27019 Aufsicht · BNetzA
IT-Sicherheitskatalog § 5c Abs. 1 Nr. 3 EnWG

Digitale Energiedienste.

Neu erfasst: Betreiber digitaler Energiedienste – etwa Energiemanagementsysteme oder Dienste zur Laststeuerung und Bündelung elektrischer Leistung -, soweit sie als besonders wichtige oder wichtige Einrichtung gelten und ihren Dienst an einer netzgebundenen Anlage erbringen. Auch sie müssen einen angemessenen Schutz nach dem IT-Sicherheitskatalog der Bundesnetzagentur gewährleisten.

Energiemanagement Laststeuerung Aufsicht · BNetzA
KRITIS-Nachweis BSIG · § 8a a. F. → § 39

KRITIS-Betreiber gegenüber dem BSI.

Wer die KRITIS-Schwellenwerte überschreitet, weist dem BSI wiederkehrend nach, dass die Informationssicherheit dem Stand der Technik entspricht – nach bisherigem Recht alle zwei Jahre. Mit dem NIS-2-Umsetzungsgesetz wurde die Nachweispflicht in das novellierte BSIG überführt.

Wiederkehrender Nachweis Aufsicht · BSI
B3S Branchenstandard

Branchenspezifische Sicherheitsstandards.

B3S werden von Branchenverbänden erarbeitet und vom BSI auf Eignung geprüft. Sie übersetzen den Stand der Technik in konkrete Anforderungen für eine Branche und können als Grundlage für den KRITIS-Nachweis dienen – im Energieumfeld etwa für Fernwärme oder für Systeme zur Steuerung und Bündelung elektrischer Leistung.

Nachweisgrundlage Anerkennung · BSI
NIS-2 NIS2UmsuCG · seit Dez. 2025

Besonders wichtige und wichtige Einrichtungen.

Das deutsche NIS-2-Umsetzungsgesetz ist in Kraft und erweitert den Kreis der regulierten Unternehmen deutlich. Der Energiesektor zählt zu den Bereichen mit hoher Kritikalität; KRITIS-Betreiber gelten dabei regelmäßig als besonders wichtige Einrichtungen. Hinzu kommen Registrierung beim BSI, Meldepflichten für erhebliche Sicherheitsvorfälle und Anforderungen an das Risikomanagement. Für Netz- und Anlagenbetreiber wird NIS-2 im EnWG konkretisiert – der IT-Sicherheitskatalog bleibt der energiespezifische Maßstab.

Registrierung Meldepflichten Risikomanagement Aufsicht · BSI

Ob eine Anlage unter die KRITIS-Pflichten fällt, entscheiden die Schwellenwerte der BSI-KritisV – im Strombereich beispielsweise eine Regelschwelle von rund 3.700 GWh Jahresarbeit. Die genaue Betroffenheit hängt von Sektor, Anlagenart und Rolle ab und gehört an den Anfang jedes Vorhabens. Diese Übersicht ordnet ein, sie ersetzt keine rechtliche Prüfung im Einzelfall.

03Ablauf eines Nachweisverfahrens

Von der Betroffenheit zum belastbaren Nachweis.

Ob IT-Sicherheitskatalog, KRITIS-Nachweis oder NIS-2 – das Vorgehen folgt einem verlässlichen Muster. Wir begleiten die Schritte, bei denen es auf Erfahrung ankommt, und halten die Prüfung selbst bewusst außen vor.

01

Betroffenheit klären

Welche Regelwerke greifen, welche Schwellenwerte sind relevant, welcher Geltungsbereich zählt. Wir übernehmen die Einordnung.

02

Standortbestimmung

GAP-Analyse gegen ISO/IEC 27001 und 27019 – über IT und OT hinweg, mit klaren Prioritäten statt langer Mängellisten.

03

ISMS & Maßnahmen

Richtlinien, Prozesse und technische Maßnahmen aufsetzen und einführen – im Umfang, den Netz und Anlagen wirklich brauchen.

04

Interne Prüfung

Die Prüfung vor der Prüfung: Nachweise sichten, Reifegrad bestätigen, offene Punkte schließen – bevor die externe Stelle kommt.

05

Nachweis & Audit

Begleitung bis zum Zertifizierungs- oder Nachweisverfahren durch die zuständige akkreditierte Stelle – und darüber hinaus, wenn gewünscht.

Die Zertifizierung und den Nachweis selbst führt eine akkreditierte, unabhängige Stelle durch – nicht isms2cert. Wo wir beraten, auditieren wir nicht. Diese Trennung sichert die Aussagekraft Ihres Nachweises.

04Aus der OT-Praxis

Wo Anforderung und Anlage aufeinandertreffen.

Drei Themen, die in Leittechnik-Umgebungen immer wieder auftauchen – und wie sich Sicherheit und Verfügbarkeit dabei zusammenbringen lassen.

Patch-Management in der Leittechnik.

Situation: Steuerungssysteme lassen sich nicht wie Bürorechner einfach aktualisieren. Herstellerfreigaben, Verfügbarkeit und Wartungsfenster setzen enge Grenzen.

Ansatz: Ein risikobasierter Patch-Prozess mit klarer Bewertung, definierten Wartungsfenstern und kompensierenden Maßnahmen dort, wo ein Patch nicht möglich ist – dokumentiert und nachweisbar.

Netzsegmentierung OT und IT.

Situation: Historisch gewachsene Netze vermischen Büro-IT und Prozesssteuerung. Ein Vorfall im einen Bereich kann so ungewollt in den anderen wandern.

Ansatz: Zonen und Übergänge nach anerkanntem Vorbild sauber trennen, Datenflüsse zwischen den Ebenen bewusst führen und kontrollieren – schrittweise, ohne den Betrieb anzuhalten.

Fernwartung und Zugänge.

Situation: Hersteller und Dienstleister warten Anlagen aus der Ferne. Offene oder pauschale Zugänge sind bequem, aber ein bevorzugter Angriffsweg.

Ansatz: Fernzugriffe über kontrollierte Wege, mit starker Authentifizierung, zeitlich begrenzten Freigaben und nachvollziehbarer Protokollierung – Wartbarkeit bleibt, das Risiko sinkt.

PlatzhalterPorträt · 4:5
05Sektor-Erfahrung

Ich habe die Energieseite selbst verantwortet.

Bevor ich beraten und auditiert habe, war ich als CISO in der Energiewirtschaft für Informationssicherheit verantwortlich – mit allem, was zwischen Regulierung, Leitstand und Vorstand liegt. Heute trage ich als aktiver CISO Verantwortung in einer OT-geprägten Umgebung. Ich kenne die Fragen, die im Leitstand wirklich gestellt werden, und die, die im Aufsichtsgremium ankommen.

Das prägt, wie wir arbeiten: nah an der Anlage, verständlich für die Führung und ohne die Betriebsrealität zu übergehen. Und es bleibt bei unserem Grundsatz – wo wir beraten, auditieren wir nicht.

Erstgespräch

Sprechen wir über Ihre Anlagen und Nachweise.

In einem ersten Gespräch ordnen wir Ihre Betroffenheit ein, klären den nächsten sinnvollen Schritt und sagen ehrlich, was der Aufwand wert ist. Unverbindlich, konkret und mit Verständnis für den Betrieb.

Erstgespräch anfragen