IT-Sicherheitskatalog § 11 Absatz 1a/b EnWG – Schutz der Öffentlichkeit
Um die Stabilität und Sicherheit des Netzbetriebs und der Energieerzeugung zu gewährleisten, wurden verbindliche Mindeststandards in den sogenannten „IT-Sicherheitskatalogen“ definiert.
Der IT-Sicherheitskatalog (ITSK) richtet sich an Betreiber und Betriebsführer, betriebsgeführte Betreiber von Energieversorgungsnetzen sowie Energieanlagen, die als Kritische Infrastruktur gelten und deren Anlagen mit dem öffentlichen Versorgungsnetz verbunden sind (Strom und/oder Gas).
Sein Fokus richtet sich auf die Systeme, Anwendungen und Komponenten, die für einen sicheren Netz- und Anlagenbetrieb erforderlich sind.
Prüfung der Systeme zur Angriffserkennung (SzA) und Ausstellung des Nachweisdokument P*
Die Nachweispflicht bestand für Strom- und Gasnetzbetreiber sowie alle Anlagenbetreiber, die unter die KRITIS-VO fallen, erstmalig zum 1. Mai 2023, sowie darauffolgend alle 2 Jahre.
Die GUTcert bietet ihren Kunden eine Checkliste über alle Forderungen entsprechend der Orientierungshilfe des BSI. Unsere Auditoren gehen alle Anforderungen mit den Kunden durch und bewerten den Umsetzungsgrad. Im Anschluss werden die Nachweisdokumente ausgestellt, die beim BSI eingereicht werden können.
Fakten und Hinweise
Neben dem ITSK dienen die Normen ISO 27001 und ISO 27019 als zentrale Grundlage für die Zertifizierung. Die ISO 27019 wurde speziell für Betreiber kritischer Infrastruktur entwickelt und baut auf den bewährten Sicherheitsrichtlinien der ISO 27002 auf. Sie ergänzt diesen durch sektorspezifische Anforderungen und verbindliche Erweiterungen, die gezielt auf die Risikoreduktion in der Energieversorgung ausgerichtet sind.
Im Rahmen des unternehmensweiten Risikomanagements müssen die in den Normen beschriebenen Maßnahmen nicht vollständig umgesetzt werden. Sie sind jedoch individuell auf ihre Relevanz zu prüfen und ggf. in das ISMS zu integrieren.
Alle Strom- und Gasnetzbetreiber sowie Anlagenbetreiber, die KRITIS-relevante Schwellenwerte überschreiten und mit dem Versorgungsnetz verbunden sind. Auch bei Auslagerung des Betriebs auf Dritte besteht Zertifizierungspflicht.
Schwellenwerte nach BSI-KritisV (Anhang 1, Teil 3):
104 MW elektrischer Anschlussleistung (Stromerzeugung) und
5.190 GWh/ Jahr entnommene Arbeit (Verteilung Gas)
3.700 GWh/Jahr entnommene Arbeit (Verteilung Strom)
Nach dem 31.10.2026 müssen alle Audits nach ISO/IEC 27019:2024 erfolgen
Durchführung per Rezertifizierungs-, Überprüfungs- oder Sonderaudit
GAP-Analyse der Organisation mit den daraus abgeleiteten Maßnahmenplan für die Umstellung (Notwendigkeit von Änderungen am bestehenden ISMS),
Aktualisierung der Anwendbarkeitserklärung (SoA) und des Risikobehandlungsplans,
Umsetzung und Wirksamkeit der neuen oder geänderten Maßnahmen
NIS-2-Schulungspflicht: BSI aktualisiert Empfehlungen für Geschäftsleitungsschulungen
Das BSI hat nun eine aktualisierte Version seiner Empfehlungen zu Schulungen für Geschäftsleitungen nach dem novellierten BSI-Gesetz (BSIG) veröffentlicht.
Claude Mythos: Auswirkungen auf modernes Penetration Testing
Claude Mythos automatisiert das Finden und Ausnutzen von Schwachstellen. Welche Folgen hat das für Pentests, Angriffsgeschwindigkeit und Security-Prozesse?
EU-Maschinenverordnung: Mit Managementsystemen effizient zur Compliance
Die neue EU-Maschinenverordnung verschärft ab 2027 die Anforderungen an Sicherheit und Cybersecurity. Gleichzeitig gewinnen strukturierte Managementsysteme wie ISO 9001 und ISO 27001 an Bedeutung, um Compliance effizient und nachvollziehbar umzusetzen.
Die GUTcert war bei der Zertifizierung unseres ISMS nach ISO 27001 ein jederzeit kompetenter, fairer und zuverlässiger Partner und begleitete uns mit wertvollen Tipps und Empfehlungen auf dem Weg vom Voraudit über Stufe 1 bis zum erfolgreichen Zertifizierungsaudit.
Mario Konietzny, Stadtwerke Lutherstadt Eisleben GmbH
The audit process with GUTcerts was very smooth, and the professionality of the auditor was outstanding. Our Auditor was very helpful with his insights and comments on our ISMS and I would like to forward to you our management’s appreciation for his excellent work.
Peter Mansour, IDEALworks GmbH
Informationssicherheitsbeauftragter/-auditor (gn) nach ISO/IEC 27001 (GUTcert) mehr Infos
ISO/IEC 27001 – Auditorenschulung gemäß IT-Sicherheitskatalog der Bundesnetzagentur mehr Infos
Fortbildungsveranstaltung & Erfahrungsaustausch für ITSK-Auditoren mehr Infos
Systematisch Informationssicherheitsrisiken und Gegenmaßnahmen erfassen – für Compliance und Existenz von Betreiber Kritischer Infrastrukturen ein Muss
