Federal Network Agency for Electricity, Gas, Telecommunications, Post and Railway
Federal Network Agency for Electricity, Gas, Telecommunications, Post and Railway
05/05/2026 | Press release | Distributed by Public on 05/06/2026 08:23
IT-Sicherheit im Energiesektor
Unsere moderne Gesellschaft ist in hohem Maße von einer funktionierenden Energieversorgung abhängig. Fehlen Strom und Gas, kommt das öffentliche Leben innerhalb kürzester Zeit zum Erliegen und lebensnotwendige Dienstleistungen können nicht mehr erbracht werden. Gleichzeitig ist die Funktionsfähigkeit der Energieversorgung von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig.
Die Unterstützung durch -Systeme bringt viele Vorteile. Mit der wachsenden Abhängigkeit von diesen Systemen gehen jedoch auch Risiken für die Versorgungssicherheit einher. Die Bundesnetzagentur hat daher den Auftrag, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik () Mindeststandards für die -Sicherheit im Energiesektor zu erstellen und zu veröffentlichen.
Aufgrund des Inkrafttretens des Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (pdf / 1 MB) am 6. Dezember 2025 ist es zu gesetzlichen Anpassungen des Energiewirtschaftsgesetzes ( ) gekommen. Aktuell befindet sich unsere Website im Bereich -Sicherheit in der Überarbeitung, um die neuen Inhalte und Verweise aufzunehmen bestehende Seiten anzupassen.
Bis zur Veröffentlichung eines neuen -Sicherheitskatalogs gelten die -Sicherheitskataloge nach § 11 1a und 1b (alte Fassung) weiterhin für die bestehenden Adressaten (Netz- und Anlagenbetreiber). Bestehende Systeme zur Angriffserkennung (SzA) sind entsprechend der Vorgaben aus § 11 1e (alte Fassung) weiter zu betreiben. Für die Umsetzung der SzA können sich die Betreiber an der im "B3S Aggregatoren" referenzierten Orientierungshilfe SzA des orientieren, um eine Umsetzung der gesetzlichen Standards sicherzustellen. Es steht den Betreibern frei, individuell gleichwertige Alternativen zu nutzen, um mindestens das gesetzlich geforderte Sicherheitsniveau zu erreichen.
Für Aggregatoren, die bisher der Regulierung des nach § 8a (alte Fassung) unterfielen, gilt der "B3S Aggregatoren" des inklusive der Vorgaben zu Systemen zur Angriffserkennung (SzA) weiterhin.
[ENDE]
Festlegung kritischer Komponenten
Für die Festlegung kritischer Komponenten ist das Bundesministerium des Inneren () zuständig. Bis zur Veröffentlichung einer entsprechenden Allgemeinverfügung gilt weiterhin die Festlegung kritischer Funktionen der Bundesnetzagentur: Tenor der Festlegung kritischer Funktionen (pdf / 101 KB)
Bei Rückfragen können Sie sich gerne an unser Postfach: [email protected] wenden.
-Sicherheitskataloge
Zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, sind diese Mindeststandards in den sogenannten "-Sicherheitskatalogen" enthalten.
-Sicherheitskatalog für Digitale Energiedienste
Der -Sicherheitskatalog für Betreiber von digitalen Energiediensten wird aktuell erarbeitet und soll im August konsultiert werden.
-Sicherheitskatalog für Strom- und Gasnetze
-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen (veröffentlicht im August 2015)
-Sicherheitskatalog für Energieanlagen
-Sicherheitskatalog für Betreiber von Energieanlagen, die nach der -Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind (veröffentlicht im Dezember 2018)
Festlegung - Erstellung eines -Sicherheitskatalogs (nach § 5c 1-3 )
Die geplante Festlegung stellt eine Überarbeitung der beiden o.. -Sicherheitskataloge dar und soll diese um Vorgaben für die im Rahmen der NIS-2-Umsetzung neu durch die Bundesnetzagentur regulierten Adressatengruppen ergänzen.
Mitteilung zur Zertifizierung nach -Sicherheitskatalog im Fall einer Betriebsführung durch Dritte
Die vorliegende Mitteilung passt die am 19. Januar 2021 im Rahmen der "Mitteilung bezüglich der Zertifizierung nach dem -Sicherheitskatalog § 11 1a im Falle der Betriebsführung durch Dritte" aufgezeigten Lösungsoptionen an. Die Mitteilung vom 19. Januar 2021 ist damit obsolet. Mit der aktuellen Mitteilung werden bestehende Widersprüche im Zertifizierungsverfahren aufgelöst.
Das wesentliche Resultat der Anpassung ist, dass sich die Netzbetreiber und die Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen in der Konstellation "Betriebsführung durch Dritte" selbst zu zertifizieren haben. Hierüber ist ein Nachweis zu erbringen. Die Nachweiserbringung hatte zum 31. März 2024 zu erfolgen.
Mapping zwischen / 27019:2020 und / 27002:2022
Basis der -Sicherheitskataloge bilden die Normen 27001, 27002 und 27019, die inhaltlich aufeinander aufbauen und untereinander referenzieren. Die internationale Norm / 27001 stellt die Grundlage für ein Informationssicherheitsmanagementsystem () dar und definiert deren Anforderungen. Die Norm / 27002 ist eine dazu korrespondierende Orientierungshilfe, die Hinweise gibt, wie diese Maßnahmenziele erreicht Kontrollen umgesetzt werden können.
Seit Herbst 2024 liegt die aktualisierte Fassung der / 27019 vor, sodass die Verweise zur / 27001 wieder konsistent sind. Die Mappingtabelle der Bundesnetzagentur wird mit dem Umstieg auf die neue Fassung obsolet. Bis zur verpflichtenden Nutzung im Rahmen des -Sicherheitskataloge im Oktober 2026 stellt die Bundesnetzagentur die folgende Mappingtabelle zwischen /IEC27002:2022 / 27019:2020 weiterhin zur Verfügung.
Federal Network Agency for Electricity, Gas, Telecommunications, Post and Railway published this content on May 05, 2026, and is solely responsible for the information contained herein. Distributed via Public Technologies (PUBT), unedited and unaltered, on May 06, 2026 at 14:23 UTC. If you believe the information included in the content is inaccurate or outdated and requires editing or removal, please contact us at [email protected]