Navigation und Service

Springe direkt zu:

IT-Si­cher­heits­ka­ta­log für Ener­gie­an­la­gen

Der IT-Sicherheitskatalog für Energieanlagen wurde im Benehmen mit dem Bundes-
amt für Sicherheit in der Informationstechnik (BSI) erstellt und im Dezember 2018
veröffentlicht. Der Katalog dient dem Schutz gegen Bedrohungen der für einen
sicheren Betrieb von Energieanlagen notwendigen Telekommunikations- und elek-
tronischen Datenverarbeitungssysteme.

infozeichen_blau

12. Januar 2023
Die Übergangsregelung in Kapitel 7 des Konformitätsbewertungsprogramms zur Akkreditierung von Zertifizierungsstellen wurde angepasst.
Mehr dazu

Adressaten des IT-Sicherheitskatalogs sind Betreiber von Energieanlagen, die

  • durch die BSI-Kritisverordnung anhand von Schwellenwerten als Kritische Infrastrukturen bestimmt wurden

    und

  • an ein Energieversorgungsnetz angeschlossen sind.

Ziele des IT-Sicherheitskatalogs

  • Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten
  • Sicherstellung der Integrität der verarbeiteten Informationen und Systeme
  • Gewährleistung der Vertraulichkeit der verarbeiteten Informationen

Der IT-Sicherheitskatalog verpflichtet Energieanlagenbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN EN ISO/IEC 27001 und dessen Zertifizierung.

Darüber hinaus müssen die betroffenen Energieanlagenbetreiber der Bundesnetzagentur einen Ansprechpartner / eine Ansprechpartnerin für IT-Sicherheit mit Kontaktdaten benennen.

Allgemeinverfügung IT-Sicherheitskatalog für Betreiber von Energieanlagen (pdf / 195 KB)
IT-Sicherheitskatalog für Betreiber von Energieanlagen (Stand Dezember 2018) (pdf / 503 KB)

Information zur evaluierten BSI-Kritis-Verordnung

Seit dem 1. Januar 2022 gilt die überarbeitete BSI-Kritis-Verordnung (BSI-KritisV). Hier finden Sie alle Details:

Information zur evaluierten BSI-Kritis-Verordnung (pdf / 147 KB)

Formulare für Energieanlagenbetreiber

Formular Meldung IT-Sicherheitsansprechpartner/in (xls / 39 KB)

Konformitätsbewertungsprogramm

Das Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gem. § 11 Abs. 1b EnWG beschreibt die Anforderungen an Auditoren und Zertifizierungsstellen, die Voraussetzung für eine DAkkS-Akkreditierung als Zertifizierungsstelle für den IT-Sicherheitskatalog sind.

U.a. wird vorgeschrieben, dass Auditoren an einer durch die Bundesnetzagentur anerkannten Schulung zu den Grundlagen der Erzeugung und leitungsgebundenen Versorgung mit Strom und Gas teilnehmen müssen. Erstmalig wurde das Konformitätsbewertungsprogramm im August 2020 veröffentlicht und zuletzt im April 2022 überarbeitet.

Bei der Überarbeitung wurde das Konformitätsbewertungsprogramm unter anderem an den folgenden Stellen geändert:

  1. Die aktualisierten Normen ISO/IEC 27001 und ISO/IEC 27002 machen eine neue Übergangsregelung zu deren Anwendung im Rahmen der anstehenden Zertifizierungsprozesse notwendig (siehe neues Kapitel 7).
  2. Die gemäß Kapitel 5 vorgesehene Beratung des Auditteams durch den Fachexperten wurde konkretisiert.
  3. Ein neues Muster mit den Anforderungen an Inhalt und Format der auszustellenden Zertifizierungsurkunde wurde als Anlage zum Konformitätsbewertungsprogramm aufgenommen.
Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen (Stand: 12. Januar 2023) (pdf / 463 KB)
Anbieter von anerkannten Schulungen (pdf / 112 KB)

Kontakt

Referat 627
Bundesnetzagentur, Tulpenfeld 4, 53113 Bonn

E-Mail: it-sicherheitskatalog@bnetza.de

Gesetzliche Grundlagen

§ 11 Abs. 1a EnWG (Strom- und Gasnetze)

§ 11 Abs. 1b EnWG (Energieanlagen nach der BSI-Kritisverordnung)

Zusatzinformationen

Änderung der BSI-Kritis-
Verordnung (BSI-KritisV)

Was Sie ab sofort beachten müssen, erfahren Sie in diesem Schreiben: Information zur evaluierten BSI-Kritis-Verordnung (pdf / 147 KB) .

Mastodon