IT-Sicherheitskatalog § 11 Absatz 1a/b EnWG – Schutz der Öffentlichkeit
Um die Stabilität und Sicherheit des Netzbetriebs und der Energieerzeugung zu gewährleisten, wurden verbindliche Mindeststandards in den sogenannten „IT-Sicherheitskatalogen“ definiert.
Der IT-Sicherheitskatalog (ITSK) richtet sich an Betreiber und Betriebsführer, betriebsgeführte Betreiber von Energieversorgungsnetzen sowie Energieanlagen, die als Kritische Infrastruktur gelten und deren Anlagen mit dem öffentlichen Versorgungsnetz verbunden sind (Strom und/oder Gas).
Sein Fokus richtet sich auf die Systeme, Anwendungen und Komponenten, die für einen sicheren Netz- und Anlagenbetrieb erforderlich sind.
Prüfung der Systeme zur Angriffserkennung (SzA) und Ausstellung des Nachweisdokument P*
Die Nachweispflicht bestand für Strom- und Gasnetzbetreiber sowie alle Anlagenbetreiber, die unter die KRITIS-VO fallen, erstmalig zum 1. Mai 2023, sowie darauffolgend alle 2 Jahre.
Die GUTcert bietet ihren Kunden eine Checkliste über alle Forderungen entsprechend der Orientierungshilfe des BSI. Unsere Auditoren gehen alle Anforderungen mit den Kunden durch und bewerten den Umsetzungsgrad. Im Anschluss werden die Nachweisdokumente ausgestellt, die beim BSI eingereicht werden können.
Fakten und Hinweise
Neben dem ITSK dienen die Normen ISO 27001 und ISO 27019 als zentrale Grundlage für die Zertifizierung. Die ISO 27019 wurde speziell für Betreiber kritischer Infrastruktur entwickelt und baut auf den bewährten Sicherheitsrichtlinien der ISO 27002 auf. Sie ergänzt diesen durch sektorspezifische Anforderungen und verbindliche Erweiterungen, die gezielt auf die Risikoreduktion in der Energieversorgung ausgerichtet sind.
Im Rahmen des unternehmensweiten Risikomanagements müssen die in den Normen beschriebenen Maßnahmen nicht vollständig umgesetzt werden. Sie sind jedoch individuell auf ihre Relevanz zu prüfen und ggf. in das ISMS zu integrieren.
Alle Strom- und Gasnetzbetreiber sowie Anlagenbetreiber, die KRITIS-relevante Schwellenwerte überschreiten und mit dem Versorgungsnetz verbunden sind. Auch bei Auslagerung des Betriebs auf Dritte besteht Zertifizierungspflicht.
Schwellenwerte nach BSI-KritisV (Anhang 1, Teil 3):
104 MW elektrischer Anschlussleistung (Stromerzeugung) und
5.190 GWh/ Jahr entnommene Arbeit (Verteilung Gas)
3.700 GWh/Jahr entnommene Arbeit (Verteilung Strom)
Nach dem 31.10.2026 müssen alle Audits nach ISO/IEC 27019:2024 erfolgen
Durchführung per Rezertifizierungs-, Überprüfungs- oder Sonderaudit
GAP-Analyse der Organisation mit den daraus abgeleiteten Maßnahmenplan für die Umstellung (Notwendigkeit von Änderungen am bestehenden ISMS),
Aktualisierung der Anwendbarkeitserklärung (SoA) und des Risikobehandlungsplans,
Umsetzung und Wirksamkeit der neuen oder geänderten Maßnahmen
NIS-2: Bisher nur 11.500 registrierte Unternehmen – jetzt handeln und Risiken vermeiden
Die NIS-2 Registrierungsfrist ist verstrichen, aber viele Unternehmen haben es bisher versäumt, sich zu registrieren. Self Assessment und Schulungen helfen jetzt weiter.
Am 17.03.2026 ist nach langem Hin und Her das KRITIS-Dachgesetz in Kraft getreten. Es soll für mehr Resilienz der kritischen Infrastruktur sorgen – auch wenn noch vieles offen bleibt.
Informationssicherheit im Fokus: Neue Risiken und steigende Anforderungen
Cyberangriffe nehmen zu, gleichzeitig steigen regulatorische Anforderungen. Unternehmen müssen Informationssicherheit strategisch angehen – und dafür die nötigen Kompetenzen aufbauen.
Das KRITIS-Dachgesetz – was Unternehmen jetzt wissen müssen
In unserem kostenlosen Webinar zeigen wir Ihnen, welche Anforderungen das neue KRITIS-Dachgesetzt mit sich bringt und wie diese im Unternehmen umgesetzt werden können.
Die kritischsten Sicherheitsrisiken für Webanwendungen – Die OWASP Top 10:2025
Nach vier Jahren erscheint die neue Liste der zehn häufigsten Sicherheitsrisiken für Webanwendungen. Die OWASP Top Ten zeigen erneut, wie dynamisch sich die Sicherheitslage verändert.
Neu in unserer Exzellenzreihe: Netzwerk Informationssicherheit
Ab diesem Jahr nimmt die GUTcert in ihre etablierte Reihe der Exzellenznetzwerke das Thema ISMS auf. Wir freuen uns auf den Austausch mit Ihnen am 17.06.2026 rund um die Themen ISMS und IT-Sicherheit und auf das Get-Together am Vorabend.
Die GUTcert war bei der Zertifizierung unseres ISMS nach ISO 27001 ein jederzeit kompetenter, fairer und zuverlässiger Partner und begleitete uns mit wertvollen Tipps und Empfehlungen auf dem Weg vom Voraudit über Stufe 1 bis zum erfolgreichen Zertifizierungsaudit.
Mario Konietzny, Stadtwerke Lutherstadt Eisleben GmbH
The audit process with GUTcerts was very smooth, and the professionality of the auditor was outstanding. Our Auditor was very helpful with his insights and comments on our ISMS and I would like to forward to you our management’s appreciation for his excellent work.
Peter Mansour, IDEALworks GmbH
Die GUTcert hat uns zügig und fokussiert durch den Zertifizierungsprozess begleitet. Auf Anfragen wurde immer schnell und professionell reagiert. So konnte auch unsere Erstzertifizierung routiniert ablaufen.
Jan Hotzel, Vision2B GmbH
Informationssicherheitsbeauftragter/-auditor (gn) nach ISO/IEC 27001 (GUTcert) mehr Infos
ISO/IEC 27001 – Auditorenschulung gemäß IT-Sicherheitskatalog der Bundesnetzagentur mehr Infos
Fortbildungsveranstaltung & Erfahrungsaustausch für ITSK-Auditoren mehr Infos
Systematisch Informationssicherheitsrisiken und Gegenmaßnahmen erfassen – für Compliance und Existenz von Betreiber Kritischer Infrastrukturen ein Muss
