Im August 2015 hat die Bundesnetzagentur in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik einen IT-Sicherheitskatalog gemäß §11 Absatz 1a des Energiewirtschaftsgesetzes aufgestellt: zum “Betrieb eines sicheren Energieversorgungsnetzes“. Eine intakte Informations- und Kommunikationstechnik sei vor allem im Netzbetrieb die Voraussetzung für die Funktionsfähigkeit unserer Energieversorgung.

Als Kernforderung des Sicherheitskatalogs gilt die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC 27001 sowie die Etablierung unabhängiger Zertifizierungsstellen. Die Netzbetreiber müssen bis zum 30.11.2015 einen offiziellen Ansprechpartner für IT-Sicherheit an die Bundesnetzagentur melden (siehe unteres Formular) und unabhängig ihrer Größe und Kundenanzahl die aufgestellten Anforderungen umsetzen.

Unter die beschriebene IT-Sicherheit fallen Aspekte wie technische Anlagensicherheit, allgemeine Versorgungssicherheit und der Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme für den sicheren Netzbetrieb. Es soll eine “Auswahl geeigneter, angemessener und dem allgemein anerkannten Stand der Technik entsprechender Maßnahmen” zu den folgenden Punkten etabliert werden:

“Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten” (diese sind auf Verlangen einer berechtigten Einheit zugänglich und nutzbar)
“Sicherstellung der Integrität der verarbeitenden Informationen und Systeme” (die Richtigkeit und Vollständigkeit der verarbeitenden Daten und korrekte Funktionsweise der Systeme)
“Gewährleistung (Anmerkung: nicht Sicherstellung!?) der Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen” (Schutz vor unberechtigtem Zugriff durch Personen oder Prozesse)

Detailliertere Ausführungen finden sich im Dokument (siehe pdf-Link) unter “E. Sicherheitsanforderungen”. Die Netzbetreiber haben einen Nachweis über den Abschluss des Zertifizierungsverfahrens bis zum 31.01.2018 an die Bundesnetzagentur zu melden.