IT-Si­cher­heit im Ener­gie­sek­tor

• Festlegung kritischer Komponenten
• IT-Sicherheitskataloge
• Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog im Fall einer Betriebsführung durch Dritte
• Mapping zwischen ISO/IEC 27019:2020 und ISO/IEC 27002:2022

Die Unterstützung durch IKT-Systeme bringt viele Vorteile. Mit der wachsenden Abhängigkeit von diesen Systemen gehen jedoch auch Risiken für die Versorgungssicherheit einher. Die Bundesnetzagentur hat daher den Auftrag, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Mindeststandards für die IT-Sicherheit im Energiesektor zu erstellen und zu veröffentlichen.

[ENDE]

Festlegung kritischer Komponenten

Für die Festlegung kritischer Komponenten ist das Bundesministerium des Inneren (BMI) zuständig. Bis zur Veröffentlichung einer entsprechenden Allgemeinverfügung gilt weiterhin die Festlegung kritischer Funktionen der Bundesnetzagentur: Tenor der Festlegung kritischer Infrastrukturen (pdf / 101 KB)

Bei Rückfragen Sie sich gerne an unser Postfach: it-sicherheitskatalog@bnetza.de wenden.

IT-Sicherheitskataloge

Zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, sind diese Mindeststandards in den sogenannten „IT-Sicherheitskatalogen“ enthalten.

IT-Sicherheitskatalog für Strom- und Gasnetze

IT-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen (veröffentlicht im August 2015)

IT-Sicherheitskatalog für Energieanlagen

IT-Sicherheitskatalog für Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind (veröffentlicht im Dezember 2018)

Festlegung - Erstellung eines IT-Sicherheitskatalogs (nach § 5c Abs. 1–3 EnWG)

Die geplante Festlegung stellt eine Überarbeitung der beiden o.g. IT-Sicherheitskataloge dar und soll diese um Vorgaben für die im Rahmen der NIS-2-Umsetzung neu durch die Bundesnetzagentur regulierten Adressatengruppen ergänzen.

Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog im Fall einer Betriebsführung durch Dritte

Die vorliegende Mitteilung passt die am 19. Januar 2021 im Rahmen der „Mitteilung bezüglich der Zertifizierung nach dem IT-Sicherheitskatalog § 11 Abs. 1a EnWG im Falle der Betriebsführung durch Dritte“ aufgezeigten Lösungsoptionen an. Die Mitteilung vom 19. Januar 2021 ist damit obsolet. Mit der aktuellen Mitteilung werden bestehende Widersprüche im Zertifizierungsverfahren aufgelöst.

Das wesentliche Resultat der Anpassung ist, dass sich die Netzbetreiber und die Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen in der Konstellation „Betriebsführung durch Dritte“ selbst zu zertifizieren haben. Hierüber ist ein Nachweis zu erbringen. Für die Nachweiserbringung wird eine angemessene Frist bis zum 31. März 2024 gewährt.

Mapping zwischen ISO/IEC 27019:2020 und ISO/IEC 27002:2022

Basis der IT-Sicherheitskataloge bilden die ISO Normen 27001, 27002 und 27019, die inhaltlich aufeinander aufbauen und untereinander referenzieren. Die internationale Norm ISO/IEC 27001 stellt die Grundlage für ein Informationssicherheitsmanagementsystem (ISMS) dar und definiert deren Anforderungen. Die Norm ISO/IEC 27002 ist eine dazu korrespondierende Orientierungshilfe, die Hinweise gibt, wie diese Maßnahmenziele erreicht bzw. Kontrollen umgesetzt werden können.

Seit Herbst 2024 liegt die aktualisierte Fassung der ISO/IEC 27019 vor, sodass die Verweise zur ISO/IEC 27001 wieder konsistent sind. Die Mappingtabelle der Bundesnetzagentur wird mit dem Umstieg auf die neue Fassung obsolet. Bis zur verpflichtenden Nutzung im Rahmen des IT-Sicherheitskataloge im Oktober 2026 stellt die Bundesnetzagentur die folgende Mappingtabelle zwischen ISO/IEC27002:2022 ISO/IEC 27019:2020 weiterhin zur Verfügung.