Festlegung - Erstellung eines IT-Sicherheitskatalogs nach § 11 Abs. 1a und 1b EnWG
Mit der zunehmenden Digitalisierung von Energieversorgungsnetzen und Energieerzeugungsanlagen sowie den Veränderungen der geopolitischen Bedrohungslagen, steigen auch die Sicherheitsanforderungen im Strom- und Gasbereich.
Die Bundesnetzagentur legt nach § 29 Abs. 1 EnWG i.V.m. § 11 Abs. 1a S. 2 und Abs. 1b S. 2 EnWG durch Allgemeinverfügung IT-Sicherheitskataloge nach § 11 Abs. 1a und 1b EnWG fest. Deren Anforderungen sind von Betreibern und Betriebsführern von Energieversorgungsnetzen und solchen Energieanlagen umzusetzen, die als Kritische Infrastruktur bestimmt wurden (gem. § 10 Abs. 1 S. 1 BSIG).
Der IT-Sicherheitskatalogs für Betreiber von Strom- und Gasnetzen wurde im August 2015 veröffentlicht.
Der Sicherheitskatalogs für Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, wurde im Dezember 2018 veröffentlich.
Die geplante Festlegung stellt eine Überarbeitung dieser beiden IT-Sicherheitskataloge dar.
Dabei werden die Inhalte konsolidiert und in einer gemeinsamen Festlegung neu veröffentlicht. Ziel ist es, die Kataloge einander anzunähern und sie noch enger an den prozessorientierten Ansatz der ISO/IEC 27001 anzulehnen. Im verlinkten Eckpunktepapier werden der Gesamtaufbau der Festlegung, das Zusammenspiel ihrer Anlagen und die konkreten Ideen zur Überarbeitung der IT-Sicherheitskataloge für die bestehenden Zielgruppen skizziert.
Die Festlegung verfolgt für den Energiebereich das generelle Ziel,
den angemessenen Schutz der Verfügbarkeit, Integrität und Vertraulichkeit der Systeme kritischer Infrastrukturen im Strom- und Gassektor zu gewährleisten
und
- eine Gefährdung der öffentlichen Sicherheit zu verhindern.
Verfahrenseinleitung
Die Bundesnetzagentur hat von Amts wegen ein Verfahren zur Erstellung eines IT-Sicherheitskatalogs eingeleitet.
(nach § 11 Abs. 1a und 1b EnWG („Festlegung IT-Sicherheitskatalog“) nach § 29 Abs. 1 EnWG i.V.m. § 11 Abs. 1a S. 2 und Abs. 1b S. 2 EnWG)
Konsultationen
Das Verfahren umfasst zwei Konsultationen der Branche:
Zunächst werden die Eckpunkte vom 7. Mai bis zum 11. Juni 2025 konsultiert. Die Bundesnetzagentur wertet die Konsultationsrückläufer aus und veröffentlicht darauf basierend im Sommer eine vollständige Konsultationsfassung der Festlegung.
Am 26. Mai 2025 findet von 15:30 bis 17:00 Uhr eine digitale Fragerunde statt.
Fragen zum Eckpunktepapier können bis zum 18. Mai 2025 per E-Mail mit dem Betreff "Konsultationsfrage" an it-sicherheitskatalog@bnetza.de eingereicht werden.
Konsultation der Eckpunkte
Die Adressaten der Festlegung sowie die betroffenen Wirtschaftskreise erhalten Gelegenheit zur Stellungnahme zu den Eckpunkten bis zum 11. Juni 2025 (Eingang bei Bundesnetzagentur).
Alternativ können Sie Ihre Stellungnahme unter Angabe des Betreffs "Festlegung IT-SiKat" per E-Mail an it-sicherheitskatalog@bnetza.de senden. Bei Versand per E-Mail ist ausschließlich das Formblatt Stellungnahme (xlsx / 18 KB) zu verwenden.
Die Bundesnetzagentur behält sich vor, die eingegangenen Stellungnahmen – bereinigt um etwaige Betriebs- und Geschäftsgeheimnisse – zu veröffentlichen. Etwaige Betriebs- und Geschäftsgeheimnisse sind in den Stellungnahmen entsprechend zu kennzeichnen. Es wird eine weitere Konsultation der vollständigen Festlegung stattfinden.
Die Mitteilung über die Einleitung eines Verfahrens und Konsultation zur Festlegung „Erstellung eines IT-Sicherheitskatalogs nach § 11 Abs. 1a und 1b EnWG“ („Festlegung IT-SiKat“) ist auch im Amtsblatt Nr. 9/2025 veröffentlicht.
Stand: 07.05.2025