Navigation und Service

Springe direkt zu:

IT-Si­cher­heits­ka­ta­log für Di­gi­ta­le Ener­gie­diens­te

Betreiber digitaler Energiedienste unterliegen seit dem 6. Dezember 2025 im Bereich der Informationssicherheit der Regulierung der Bundesnetzagentur. Ein entsprechender IT-Sicherheitskatalog für Digitale Energiedienste wird aktuell von der Bundesnetzagentur im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt.

Bundesnetzagentur und BSI streben eine Konsultation der Branche im August 2026 an.

Der Katalog dient dem Schutz gegen Bedrohungen der für einen sicheren Betrieb von digitalen Energiediensten notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme.

Aufgrund des Inkrafttretens des Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (pdf / 1 MB) am 6. Dezember 2025 ist es zu gesetzlichen Anpassungen des Energiewirtschaftsgesetzes gekommen. Aktuell befindet sich unsere Website im Bereich IT-Sicherheit in der Überarbeitung, um die neuen Inhalte und Verweise aufzunehmen bzw. bestehende Seiten anzupassen.

Bis zur Veröffentlichung eines neuen IT-Sicherheitskatalogs gelten die IT-Sicherheitskataloge nach § 11 Abs. 1a und 1b EnWG (alte Fassung) weiterhin für die bestehenden Adressaten (Netz- und Anlagenbetreiber). Bestehende Systeme zur Angriffserkennung (SzA) sind entsprechend der Vorgaben aus § 11 Abs. 1e EnWG (alte Fassung) weiter zu betreiben. Für die Umsetzung der SzA können sich die Betreiber an der im „B3S Aggregatoren“ referenzierten Orientierungshilfe SzA des BSI orientieren, um eine Umsetzung der gesetzlichen Standards sicherzustellen. Es steht den Betreibern frei, individuell gleichwertige Alternativen zu nutzen, um mindestens das gesetzlich geforderte Sicherheitsniveau zu erreichen.

Für Aggregatoren, die bisher der Regulierung des BSI nach § 8a BSIG (alte Fassung) unterfielen, gilt der „B3S Aggregatoren“ des BDEW inklusive der Vorgaben zu Systemen zur Angriffserkennung (SzA) weiterhin.

Festlegung kritischer Komponenten
Für die Festlegung kritischer Komponenten ist das Bundesministerium des Inneren (BMI) zuständig. Bis zur Veröffentlichung einer entsprechenden Allgemeinverfügung gilt weiterhin die Festlegung kritischer Funktionen der Bundesnetzagentur: Tenor der Festlegung kritischer Funktionen (pdf / 101 KB)

mehr dazu

Bei Rückfragen können Sie sich gerne an unser Postfach: it-sicherheitskatalog@bnetza.de wenden.

[ENDE]

Adressaten des IT-Sicherheitskatalogs sind Betreiber von Digitalen Energiediensten, die

  • durch die BSI-Kritisverordnung anhand von Schwellenwerten als Kritische Infrastrukturen bestimmt wurden
    und deren digitale Dienstleistung sich auf eine Energieanlage auswirkt, die an ein Energieversorgungsnetz angeschlossen ist,

oder

  • wichtige oder besonders wichtige Einrichtungen in der Kategorie 1.1.6 der Anlage 1 BSIG sind.

Ziele des IT-Sicherheitskatalogs

  • Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten
  • Sicherstellung der Integrität und Authentizität der verarbeiteten Informationen und Systeme
  • Gewährleistung der Vertraulichkeit der verarbeiteten Informationen

Der IT-Sicherheitskatalog wird Betreiber eines digitalen Energiedienstes zur Umsetzung IT-sicherheitstechnischer Mindeststandards auf Basis des nationalen NIS-2-Umsetzungsgesetzes verpflichten. Kernforderung wird die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN EN ISO/IEC 27001 und dessen Zertifizierung sein. Der IT-Sicherheitskatalog wird darüber hinaus spezifische Vorgaben enthalten, die die Einhaltung der Vorgaben des § 5c Abs. 4 EnWG auf Basis von Artikel 21 der NIS-2-Richtlinie für die Gruppe der digitalen Energiedienste sicherstellen.

Darüber hinaus müssen die betroffenen Betreiber eines digitalen Energiedienstes der Bundesnetzagentur eine Ansprechperson für IT-Sicherheit mit Kontaktdaten benennen.

Übergangsregelungen

Der IT-Sicherheitskatalog für digitale Energiedienste wird entsprechend der Vorgaben von § 5c Abs. 3 EnWG auf „einschlägigen europäischen oder internationalen Normen“ basieren. Daher sind alle Betreiber eines digitalen Energiedienstes im Sinne des § 3 EnWG in Verbindung mit § 5c Abs. 1 Nr. 3 dringend dazu angehalten, schnellstmöglich mit der Implementierung eines Informationssicherheitsmanagementsystems nach ISO27001 (z.B. nativ oder entlang des IT-Grundschutzes des BSI) zu beginnen, und Vorbereitungen für entsprechende Zertifizierungsaudits zu treffen. Damit wird das Sicherheitsniveau zügig gesteigert und die Zertifizierungsreife für den noch festzulegenden IT-Sicherheitskatalog der Bundesnetzagentur für digitale Energiedienste vorbereitet.

Sofern ein Betreiber eines digitalen Energiedienstes bereits als Aggregator den „B3S Aggregatoren“ des BDEW umzusetzen und dem BSI gegenüber nachzuweisen hatte, ist er im Sinne der Kontinuität der Regulierung verpflichtet, mindestens den Vorgaben des „B3S Aggregatoren“ weiterhin zu entsprechen. Dies gilt bis der IT-Sicherheitskatalog für digitale Energiedienste gemäß § 5c Abs. 2 festgelegt ist. Soweit die Umsetzung der ISO27001 Vorgaben aus dem „B3S Aggregatoren“ ersetzt, wird dies als im Sinne der Kontinuität angemessene Fortsetzung angesehen. Regelmäßige Audits der Systeme zur Angriffserkennung (SzA) sind ebenfalls fortzusetzen.

Für die Umsetzung der SzA können sich die Betreiber an der im „B3S Aggregatoren“ referenzierten Orientierungshilfe SzA des BSI orientieren, um eine Umsetzung der gesetzlichen Standards sicherzustellen, oder gleichwertige, individuelle Alternativen nutzen, um das notwendige Sicherheitsniveau zu erreichen.

FAQ

Müssen sich die Betreiber bei der Bundesnetzagentur registrieren?

In § 5d EnWG werden die Dokumentations-, Melde, und Registrierungspflichten geregelt. In § 5d Abs. 4 EnWG wird bezüglich der Registrierungspflicht auf § 33 BSIG verwiesen.

Folglich mussten sich die Betreiber bis zum 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Das BSI leitet die Informationen gesammelt an die Bundesnetzagentur weiter. Eine gesonderte Registrierung einer IT-Ansprechperson gegenüber der Bundesnetzagentur ist nicht gesetzlich vorgeschrieben, wird aber zu einem späteren Zeitpunkt durch Vorgaben im IT-Sicherheitskatalog eventuell notwendig werden.

Außerdem besteht weiterhin gemäß § 5d Abs. 3 EnWG die Meldepflicht von Sicherheitsvorfällen gegenüber der Meldestelle des BSI nach § 32 BSIG.

Wann wird es den IT-Sicherheitskatalog für Betreiber von digitalen Energiediensten geben?

Die Bundesnetzagentur startete Anfang 2026 den Überarbeitungsprozess der IT-Sicherheitskataloge gemeinsam mit dem BSI. Die Bundesnetzagentur und das BSI streben eine Konsultation im August 2026 an.

Aktuelle Informationen zu dem Überarbeitungsprozess werden auf der Internetseite der Bundesnetzagentur veröffentlicht.

Welche Nachweise müssen gegenüber der Bundesnetzagentur eingereicht werden und welche Fristen gelten?

Geplant ist, dass die Betreiber von digitalen Energiediensten gleichermaßen wie die Betreiber von Energieversorgungsnetzen und die Betreiber von kritischen Energieanlagen ein Zertifikat nach IT-Sicherheitskatalog und ggf. weitere Nachweise auf Basis von § 5c Abs. 5 Nr. 1 EnWG gegenüber der Bundesnetzagentur einreichen.

Der IT-Sicherheitskatalog soll gem. § 5c Abs. 3 EnWG unter Berücksichtigung der einschlägigen europäischen Normen oder internationalen Normen, der Einhaltung des Standes der Technik sowie der Umsetzungskosten erstellt werden. Das Zertifikat nach IT-Sicherheitskatalog verlangt unter anderem ein Informationssicherheitsmanagementsystem und wird von einer durch die Deutsche Akkreditierungsstelle (DAkkS) für den IT-Sicherheitskatalog akkreditierten Zertifizierungsstelle ausgestellt. In die Zertifizierung sollen auch die Nachweise für Systeme zur Angriffserkennung integriert werden, die in der Vergangenheit separat gegenüber dem BSI eingereicht werden mussten.

Bereits in Ihrem Unternehmen etablierte IT-Sicherheitsmaßnahmen können den Aufwand für eine zukünftig notwendige Zertifizierung in Ihrem Unternehmen verringern. Sie müssen beibehalten werden, um das aktuelle Sicherheitsniveau bis zur Veröffentlichung des IT-Sicherheitskatalogs aufrechtzuerhalten. Die Umsetzungsfrist zur erstmaligen Einreichung der Nachweise ergibt sich aus dem noch zu veröffentlichenden IT-Sicherheitskatalog für Betreiber von digitalen Energiediensten.

Gegenüber welcher Behörde müssen die Betreiber einen Mängelreport einreichen?

In § 5d Abs. 1 EnWG wird u.a. geregelt, dass die Betreiber nach § 5c Abs. 1 Satz 1 Nr. 1 bis 3 EnWG auf Verlangen der Bundesnetzagentur einen Mängelbeseitigungsplan vorzulegen haben.

Ergeben sich aus dem Mängelbeseitigungsplan Sicherheitsmängel, kann die Bundesnetzagentur von dem Betreiber die Beseitigung dieser Mängel innerhalb einer gesetzten Frist verlangen. Folglich müssen die Betreiber nur nach Aufforderung durch die Bundesnetzagentur einen Mängelbeseitigungsplan bzw. Mängelreport einreichen.

Kontakt

Referat 627
Bundesnetzagentur, Tulpenfeld 4, 53113 Bonn

E-Mail: it-sicherheitskatalog@bnetza.de

Gesetzliche Grundlagen

§ 5c EnWG - IT-Sicherheit im Anlagen- und im Netzbetrieb, Festlegungskompetenz

§ 5d EnWG - Dokumentations-, Melde-, Registrierungspflicht

§ 5e EnWG - Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen

Mastodon