Der neue IT-Sicherheitskatalog der Bundesnetzagentur für Energieversorger kommt – Stand, Pflichten und Ausblick

Am 7. Mai 2025 hat die Bundesnetzagentur ein Konsultationsverfahren zur Überarbeitung ihrer IT-Sicherheitskataloge für Energieversorger eingeleitet. Dieses Verfahren wurde am 11. Juni 2025 abgeschlossen. Die Veröffentlichung des finalen Katalogs wird für Ende 2025 oder Anfang 2026 erwartet. Ziel ist eine Anpassung an aktuelle Bedrohungslagen, die Vorgaben der NIS2-Richtlinie sowie das neue KRITIS-Dachgesetz.

Rechtsgrundlage für die Sicherheitsanforderungen bildet § 11 Abs. 1a und 1b des Energiewirtschaftsgesetzes (EnWG), ergänzt durch das BSIG und die BSI-Kritisverordnung. Energieversorger sind verpflichtet, ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 zu betreiben und regelmäßig zertifizieren zu lassen.

Der neue Katalog wird voraussichtlich zusätzliche Anforderungen enthalten, darunter die Einführung von SIEM-Systemen, ein verbindliches Schwachstellenmanagement, erweiterte Meldepflichten und regelmäßige Risikoanalysen. Fachstellen empfehlen Unternehmen, bereits jetzt mit Gap-Analysen, internen Audits und der Anpassung bestehender Prozesse zu beginnen – auch wenn der finale Text noch nicht vorliegt. Die Grundstruktur der Anforderungen ist bereits absehbar, und frühes Handeln kann helfen, Umsetzungsfristen nach dem Inkrafttreten einzuhalten.

Unternehmen, die die Vorgaben nicht fristgerecht umsetzen, müssen mit aufsichtsrechtlichen Maßnahmen, Bußgeldern und Zertifizierungsproblemen rechnen. Der weitere Fahrplan sieht eine Veröffentlichung per Allgemeinverfügung vor, mit anschließender Übergangsfrist und enger Verzahnung mit EU-Vorgaben. Energieversorger sollten sich daher frühzeitig auf die neuen Anforderungen einstellen, um Compliance-Risiken zu vermeiden und ihre IT-Sicherheit zukunftsfest aufzustellen.