Navigation und Service

Springe direkt zu:

IT-Si­cher­heits­ka­ta­log für Strom- und Gas­net­ze

Der IT-Sicherheitskatalog für Strom- und Gasnetze wurde im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und im August 2015 veröffentlicht. Der Katalog dient dem Schutz gegen Bedrohungen der für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme.

Aufgrund des Inkrafttretens des Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (pdf / 1 MB) am 6.12.2025 ist es zu gesetzlichen Anpassungen des Energiewirtschaftsgesetzes gekommen. Aktuell befindet sich unsere Website im Bereich IT-Sicherheit in der Überarbeitung, um die neuen Inhalte und Verweise aufzunehmen bzw. bestehende Seiten anzupassen.

Bis zur Veröffentlichung eines neuen IT-Sicherheitskatalogs gelten die IT-Sicherheitskataloge nach § 11 Abs. 1a und 1b EnWG (alte Fassung) weiterhin für die bestehenden Adressaten (Netz- und Anlagenbetreiber).

Festlegung kritischer Komponenten
Für die Festlegung kritischer Komponenten ist das Bundesministerium des Inneren (BMI) zuständig. Bis zur Veröffentlichung einer entsprechenden Allgemeinverfügung gilt weiterhin die Festlegung kritischer Funktionen der Bundesnetzagentur: Tenor der Festlegung kritischer Infrastrukturen (pdf / 101 KB)
mehr dazu

Bei Rückfragen Sie sich gerne an unser Postfach: it-sicherheitskatalog@bnetza.de wenden.

[ENDE]

IT-Sicherheitskatalog für Strom- und Gasnetze (Stand August 2015) (pdf / 319 KB)
Verbindliche Erklärung zur Nicht-Anwendbarkeit des IT-Sicherheitskatalogs (pdf / 854 KB)

Ziele des IT-Sicherheitskatalogs

  • Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten
  • Sicherstellung der Integrität der verarbeiteten Informationen und Systeme
  • Gewährleistung der Vertraulichkeit der verarbeiteten Informationen

Der IT-Sicherheitskatalog verpflichtet Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN EN ISO/IEC 27001 und dessen Zertifizierung.

Ansprechpartner IT-Sicherheit

Darüber hinaus müssen Strom- und Gasnetzbetreiber der Bundesnetzagentur einen Ansprechpartner IT-Sicherheit und dessen Kontaktdaten benennen. Da die etablierte Möglichkeit zur Meldung des IT-Ansprechpartners aktualisiert wurde und zukünftig vollständig durch den neuen Stammdatenerhebungsbogen ersetzt werden soll, bieten wir Ihnen aktuell folgende zwei Möglichkeiten, um der Bundesnetzagentur einen Ansprechpartner IT-Sicherheit und dessen Kontaktdaten zu benennen:

Formular für Kommunikationsbevollmächtigte und Ansprechpartner IT-Sicherheit (pdf / 1 MB)

Konformitätsbewertungsprogramm

Das Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen beschreibt die Anforderungen an Auditoren und Zertifizierungsstellen, die Voraussetzung für eine DAkkS-Akkreditierung als Zertifizierungsstelle für den IT-Sicherheitskatalog sind. U.a. wird vorgeschrieben, dass Auditoren an einer durch die Bundesnetzagentur anerkannten Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas teilnehmen müssen. Erstmalig wurde das Konformitätsbewertungsprogramm im April 2016 veröffentlicht und zuletzt im Januar 2023 überarbeitet.

Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen (Stand: 12. Januar 2023) (pdf / 379 KB)
Anbieter von anerkannten Schulungen zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas (pdf / 134 KB) (aktualisiert am 12.02.2021)

Akkreditierte Zertifizierungsstellen

Akkreditierte Zertifizierungsstellen für die Zertifizierung der Umsetzung des IT-Sicherheitskatalogs finden Sie in der Datenbank der Deutschen Akkreditierungsstelle (DAkkS), indem Sie im Suchfeld das Stichwort „IT-Sicherheitskatalog“ eingeben.

FAQ

Verantwortlichkeit für die Umsetzung des IT-Sicherheitskatalogs

Wer ist für die Umsetzung des IT-Sicherheitskatalogs verantwortlich?

Die Verantwortung für die Umsetzung der Vorgaben des IT-Sicherheitskatalogs obliegt ausschließlich den (bei der Bundesnetzagentur unter einer entsprechenden Betriebsnummer gelisteten) Betreibern eines Strom- oder Gasnetzes. Dies gilt unabhängig davon, ob ein Netzbetreiber ein Strom- oder Gasnetz als Eigentümer oder im Rahmen eines Pachtmodells betreibt. Ausnahmen von der Umsetzungspflicht, etwa in Abhängigkeit von der Größe eines Netzbetreibers, bestehen nicht.

Ansprechpartner IT-Sicherheit

Was bedeutet die Aussage „Bei der Bestimmung des Ansprechpartners sind – soweit einschlägig – die Vorschriften des Sicherheitsüberprüfungsgesetzes (SÜG) und der Sicherheitsüberprüfungsfeststellungsverordnung (SÜFV) zu beachten“?

Das SÜG sieht im Bereich des vorbeugenden personellen Sabotageschutzes für Personen, die an einer sicherheitsempfindlichen Stelle innerhalb einer lebenswichtigen Einrichtung beschäftigt sind, nach § 1 Absätze 1 und 4 eine Sicherheitsüberprüfung vor. Zu den lebenswichtigen Einrichtungen gehören im Zuständigkeitsbereich des BMWE u.a. „die Teile von Unternehmen, die Leitstellen für das Elektrizitätsübertragungsnetz betreiben, deren Ausfall die überregionale Elektrizitätsversorgung erheblich beeinträchtigen kann“, § 10 Absatz 1 Nr. 4 SÜFV. Einer Sicherheitsüberprüfung müssen sich daher nur die an einer sicherheitsempfindlichen Stelle der Elektrizitätsübertragungsnetzbetreiber tätigen Personen unterziehen. Zuständig für die Durchführung der Sicherheitsüberprüfung ist nach § 12 SÜFV das BMWE.

Zertifizierung

Ist für die Sparten Strom und Gas eine gesonderte Zertifizierung durchzuführen?

Soweit die Tätigkeiten der Elektrizitätsübertragung, Elektrizitätsverteilung, Gasfernleitung oder Gasverteilung durch ein Mehrspartenunternehmen wahrgenommen werden, ist keine gesonderte Zertifizierung für die Sparten Strom und Gas erforderlich. Es ist jedoch in jedem Fall sicherzustellen, dass alle Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Strom- und Gasnetzbetrieb notwendig sind, vom Anwendungsbereich (Scope) des Zertifikats erfasst sind. Systeme, die ausschließlich für den Betrieb sonstiger Sparten eines EVU (z. B. Fernwärme) benötigt werden und keine Relevanz für den sicheren Betrieb des Strom- oder Gasnetzes entfalten, sind nicht vom Anwendungsbereich des IT-Sicherheitskataloges erfasst.

Ich bin bereits zertifiziert nach DIN ISO 27001, BSI Grundschutz oder TSM. Wird dieses Zertifikat anerkannt?

Zum Nachweis, dass die Anforderungen des IT-Sicherheitskatalogs erfüllt werden, erarbeitet die Bundesnetzagentur gemeinsam mit der Deutschen Akkreditierungsstelle (DAkkS) ein eigenes Zertifikat. Das Zertifikat wird dabei im Wesentlichen auf dem bereits existierenden Zertifikat bzw. Zertifizierungsschema zur ISO/IEC 27001 basieren und dieses um die zusätzlichen Anforderungen des IT-Sicherheitskatalogs ergänzen. Des Weiteren soll der Anwendungsbereich (Scope) spezifiziert werden, um sicherzustellen, dass zumindest die für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme von der Zertifizierung erfasst sind.

Bereits bestehende Zertifizierungen nach ISO/IEC 27001, BSI Grundschutz usw. sind daher nicht ausreichend, um die Erfüllung der Anforderungen des IT-Sicherheitskatalogs nachzuweisen.

Ich betreibe nur Anlagen ohne Gefährdungspotential, ohne Anschluss an das Internet oder habe kein Leitsystem. Benötige ich dennoch eine Zertifizierung?

Betreibt ein Strom- oder Gasnetzbetreiber keine vom IT-Sicherheitskatalog erfassten Systeme in seinem Netz und lässt diese auch nicht von einem externen Dienstleister betreiben bzw. handelt es sich nur um Systeme ohne Gefährdungspotential, besteht auch keine Umsetzungspflicht für die diesbezüglichen Sicherheitsanforderungen des IT-Sicherheitskatalogs. Es bedarf dann auch keiner Zertifizierung. Dies ist jedoch zu begründen und durch geeignete Nachweise zu belegen. Die Telekommunikations- und elektronischen Datenverarbeitungssysteme eines Netzbetreibers, die für einen sicheren Netzbetrieb notwendig sind, sind im Rahmen der geforderten Risikoeinschätzung zu ermitteln. Insofern kann ein geeigneter Nachweis durch Vorlage der Dokumentation zur dieser Risikoanalyse oder durch sonstige Pläne zur Struktur des Netzes erfolgen.

Kontakt

Referat 627
Bundesnetzagentur, Tulpenfeld 4, 53113 Bonn

E-Mail: it-sicherheitskatalog@bnetza.de

Gesetzliche Grundlagen

§ 5c EnWG - IT-Sicherheit im Anlagen- und im Netzbetrieb, Festlegungskompetenz

§ 5d EnWG - Dokumentations-, Melde-, Registrierungspflicht

§ 5e EnWG - Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen

Mastodon