Energieversorger, Netzbetreiber und Stadtwerke stehen im Zentrum der deutschen Cybersicherheitsstrategie. Als Betreiber kritischer Infrastruktur treffen sie die strengsten Anforderungen der NIS2-Richtlinie – gleichzeitig laufen das KRITIS-Regime und das Energiewirtschaftsgesetz (EnWG) als eigenständige Verpflichtungen parallel weiter. Wer Strom, Gas, Fernwärme oder Wasserstoff liefert, muss diese drei Regelwerke koordinieren, ohne Lücken zu lassen. Der größte operative Engpass liegt dabei im OT-Bereich: SCADA-Systeme, Fernwirktechnik und Leitsysteme wurden für Verfügbarkeit – nicht für Sicherheit – entwickelt. Dieser Leitfaden erklärt, was Energiebetreiber konkret tun müssen und worauf es bei der Umsetzung der zehn Sicherheitsmaßnahmen nach Art. 21 im Energiekontext ankommt.
Welche Energieunternehmen fallen unter NIS2?
Der Energiesektor ist in Anhang I der NIS2-Richtlinie gelistet – das ist die höchste Risikokategorie. Betroffene Unternehmen gelten damit automatisch als wesentliche Einrichtungen und unterliegen den strengsten Aufsichtsmaßnahmen. Unter NIS2 fallen im Energiebereich:
- Übertragungsnetzbetreiber (ÜNB) und Verteilernetzbetreiber (VNB) im Strom- und Gasbereich
- Fernleitungsnetzbetreiber (FNB) für Gashochdruckleitungen
- Betreiber von Erdgasspeicheranlagen und LNG-Terminals
- Stromerzeuger ab bestimmten Kapazitätsschwellen
- Fernwärmeanbieter, soweit sie Teil eines Energieversorgers sind
- Wasserstoffproduzenten, -händler und -netzbetreiber
- Erdölpipeline-Betreiber und Raffinerien
Schwellenwerte für den Geltungsbereich: Ein Unternehmen fällt als wesentliche Einrichtung unter NIS2, wenn es im Energiesektor tätig ist und ≥ 250 Mitarbeitende oder ≥ 50 Mio. € Jahresumsatz hat. Stadtwerke und kleinere VNB mit ≥ 50 Mitarbeitenden und ≥ 10 Mio. € Umsatz gelten als wichtige Einrichtungen – mit nahezu identischen Anforderungen, jedoch geringerer Aufsichtsintensität. Die meisten der über 900 kommunalen Versorgungsunternehmen in Deutschland erfüllen einen dieser Schwellenwerte.
Wichtig: Für NIS2 entscheidet nicht die physische Infrastrukturgröße, sondern das Unternehmensprofil. Ein Stadtwerk mit 80 Mitarbeitenden und 15 Mio. € Umsatz fällt als wichtige Einrichtung – auch ohne millionenschwere Erzeugungskapazitäten.
KRITIS-Betreiber im Energiesektor: Doppelte Pflichten
Das KRITIS-Regime nach IT-Sicherheitsgesetz 2.0 und NIS2 sind keine Alternativen – sie laufen parallel. KRITIS definiert sektorspezifische technische Schwellenwerte in der BSI-KritisV: Beispielsweise gilt ein Kraftwerk ab 420 MW installierter Nennleistung als KRITIS-Betreiber; bei Gasversorgung liegt die Grenze bei 150.000 Abnehmern. Wer diese Schwellen überschreitet, ist gleichzeitig KRITIS-Betreiber und wesentliche NIS2-Einrichtung.
| Aspekt | KRITIS / BSI-KritisV | NIS2 / NIS2UmsuCG |
|---|---|---|
| Schwellenwert | Technisch (z. B. 420 MW, 150.000 Abnehmer) | Unternehmensgröße (250 MA / 50 Mio. €) |
| Aufsichtsbehörde | BSI (Cyber) + BBK (physisch) | BSI |
| Registrierungspflicht | KRITIS-Meldepflicht | Eigenständige NIS2-Registrierung |
| Prüfpflicht | Nachweis alle 2 Jahre (§8a IT-SiG) | Nachweise auf Anforderung, Aufsicht ex-ante |
| Management-Haftung | Indirekt | Direkte persönliche Haftung Geschäftsleitung |
| Bußgelder | Bis 20 Mio. € | Bis 10 Mio. € oder 2 % globaler Umsatz |
Ein häufiger Irrtum: KRITIS-Konformität bedeutet nicht automatisch NIS2-Compliance. NIS2 stellt insbesondere bei Lieferkettensicherheit, Managementpflichten nach Art. 20 und der formalen Dokumentation höhere oder andere Anforderungen als das bisherige KRITIS-Regime.
Hinzu kommt das KRITIS-Dachgesetz 2026, das das IT-Sicherheitsgesetz 2.0 ablösen und BSI-KritisV, BSIG und NIS2UmsuCG stärker harmonisieren soll. Für Betreiber bedeutet das: Wer heute mit der NIS2-Umsetzung beginnt und dabei die Anforderungen an Risikoanalyse, Dokumentation und Lieferkette sauber abbildet, positioniert sich auch für die KRITIS-Dachgesetz-Konformität günstig. Die Grundarchitektur der Anforderungen ist kompatibel.
EnWG und NIS2: Drei parallele Sicherheitsregime
Energiebetreiber unterliegen als einziger Sektor nicht nur NIS2 und KRITIS, sondern auch dem Energiewirtschaftsgesetz (EnWG). Die relevanten Paragraphen:
- §11 Abs. 1a EnWG: Netzbetreiber müssen Maßnahmen nach dem „Stand der Technik“ zum Schutz der Anlagentechnik vor Störungen und Eingriffen Dritter treffen – auf Basis des BSI-IT-Grundschutzes oder gleichwertiger Standards. Diese Anforderung gilt unabhängig von NIS2 und KRITIS.
- §11 Abs. 1b EnWG: Netzbetreiber müssen Störungen ihrer Netz- und Systemsicherheit der Bundesnetzagentur melden – mit eigenen Fristen, die sich von den NIS2-Meldepflichten unterscheiden.
- §11 Abs. 1c EnWG (OT-Sicherheit): Speziell für den Einsatz sicherheitsrelevanter Komponenten aus Drittstaaten bestehen verschärfte Anforderungen – ein wesentlicher Faktor beim Einkauf von Fernwirktechnik und SCADA-Komponenten aus Asien.
Die praktische Herausforderung: EnWG-Meldepflichten laufen über die Bundesnetzagentur, NIS2-Meldepflichten über das BSI. Beide haben eigenständige Fristen und Formulare. Energiebetreiber müssen doppelte Meldeprozesse aufsetzen und sicherstellen, dass ein einziger Sicherheitsvorfall an beide Behörden korrekt und fristgerecht kommuniziert wird.
Empfehlenswert ist eine interne Meldematrix, die für häufige Vorfalltypen (Ransomware, SCADA-Ausfall, unberechtigter Fernzugriff, Datenpanne) vorab festlegt: Wer meldet? An welche Behörde? In welcher Frist? Mit welchen Inhalten? Diese Matrix sollte im Incident-Response-Plan verankert und mindestens jährlich mit Behördenvorgaben abgeglichen werden. Energiebetreiber, die sowohl NIS2- als auch EnWG-Meldepflichten unterliegen, sollten intern klären, ob die gleichen Kontaktpersonen oder getrennte Teams für BSI und BNetzA zuständig sind – Zuständigkeitslücken bei Vorfällen entstehen fast immer in dieser Schnittmenge.
OT- und SCADA-Sicherheit: Die zentrale Herausforderung
Die größte technische Herausforderung für Energiebetreiber unter NIS2 liegt nicht in der IT – sondern in der Operational Technology (OT). Energieinfrastruktur basiert auf spezialisierten Systemen, die vor der Internet-Ära entwickelt wurden und fundamentale Sicherheitslücken aufweisen.
Betroffene OT-Systeme im Energiebereich
- SCADA-Systeme (Supervisory Control and Data Acquisition): Überwachen und steuern Strom- und Gasleitungsnetze, Druckregelstationen, Schaltanlagen und Erzeugungsanlagen. Häufig auf Windows XP oder Windows 7 betrieben, ohne reguläre Patch-Versorgung.
- Remote Terminal Units (RTUs) und Fernwirktechnik: Dezentrale Endpunkte an Umspannwerken, Druckmessstationen und Gasnetzübergaben. Kommunizieren über proprietäre Protokolle (IEC 60870-5, DNP3, MODBUS).
- Distributed Control Systems (DCS): Prozessleitsysteme in Kraftwerken, Erdgasverdichterstationen und Heizwerken. Eng mit physischen Sicherheitssystemen verzahnt.
- Energy Management Systeme (EMS) und Netzleitsysteme: Zentrale Leitstellen, die Lasten und Erzeugung koordinieren. Hochsensibel für Angriffe auf Datenpunkte (manipulierte Messwerte, gefälschte Lastregelung).
- Smart-Meter-Infrastruktur und Kommunikationsnetzwerke für Zählerwesen.
Warum OT-Systeme besonders gefährdet sind
OT-Systeme teilen drei strukturelle Schwachstellen, die in der IT längst behoben sind:
- Keine Patch-Rhythmen: Viele SCADA-Hersteller unterstützen keine regelmäßigen Updates. Betreiber sind auf jahrelang ungepatchte Systeme angewiesen, da Updates Produktionsstillstände erfordern.
- Schwache Authentifizierung: Gemeinsam genutzte Passwörter, Klartext-Protokolle und fehlende MFA sind im OT-Bereich noch immer die Norm – nicht die Ausnahme.
- IT/OT-Konvergenz ohne Sicherheitskonzept: Fernwartungszugänge, Cloud-Anbindungen und IoT-Integrationsprojekte haben die früher isolierten OT-Netzwerke mit dem Internet verbunden – ohne parallele Sicherheitsmaßnahmen.
Einschlägige Standards für OT-Sicherheit im Energiesektor:
- IEC 62443 (Industrial Cybersecurity): Der führende internationale Standard für industrielle Cybersicherheit. Definiert Sicherheitslevel (SL 1–4) für OT-Komponenten, -Systeme und -Prozesse. Vom BSI als Stand der Technik anerkannt.
- BDEW-Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“: Sektorspezifische Anforderungen für Energieversorger. Gilt als Referenzdokument bei BSI-Überprüfungen.
- BSI IT-Grundschutz: Allgemeines Framework, das über §11 EnWG direkt rechtlich relevant ist.
Zonenmodell und Netzwerksegmentierung
Die zentralste Sofortmaßnahme für Energiebetreiber mit OT-Umgebungen ist die konsequente IT/OT-Netzwerktrennung nach dem Zone-and-Conduit-Modell der IEC 62443. Das Prinzip: Das Leitsystem (SCADA, EMS) bildet eine geschützte Zone, die nur über definierte, überwachte Kommunikationskanäle (Conduits) mit der Büro-IT verbunden ist. Jeder Fernwartungszugang – ob Lieferant, internes IT-Team oder Netzbetriebspersonal – läuft über diesen kontrollierten Kanal, nie direkt ins OT-Netz.
In der Praxis bedeutet das: eine dedizierte DMZ (Demilitarisierte Zone) zwischen IT-Netz und OT-Netz, Firewall-Regeln auf „deny all, permit specific“ und eine vollständige Protokollierung aller Übergänge. Bestehende Direktverbindungen zwischen Büro-IT und SCADA – oft historisch gewachsen für Betriebsberichte oder Leittechnikzugriffe – sind zu identifizieren und zu schließen. Dieser Schritt allein eliminiert die häufigste Ransomware-Ausbreitungsroute im Energiesektor.
Die zehn Sicherheitsmaßnahmen nach Art. 21 im Energiekontext
Art. 21 NIS2 schreibt zehn Kategorien von Cybersicherheitsmaßnahmen vor. Die vollständige Erläuterung aller zehn Anforderungen zeigt den allgemeinen Rahmen. Für Energiebetreiber ergeben sich sektorspezifische Umsetzungspflichten:
| Maßnahme (Art. 21) | Energiespezifische Anforderung | OT-Relevanz |
|---|---|---|
| 1. Risikoanalyse | Separates OT-Risikoprofil, ICS-Bedrohungsmodell | Hoch – RTU-Kompromittierung, SCADA-Manipulation |
| 2. Incident Management | OT-Vorfallkategorien, manuelle Übernahme-Prozeduren | Hoch – physische Konsequenzen bei OT-Vorfall |
| 3. Business Continuity | Versorgungspflicht (§84 EnWG) bei Cyberangriff | Hoch – manuelle Betriebsmodi dokumentieren |
| 4. Lieferkettensicherheit | SCADA/RTU-Hersteller, §11c EnWG Drittstaaten-Regel | Hoch – Firmware-Integrität, Hersteller-Audits |
| 5. Sicherheit bei Erwerb | Secure-by-Design-Anforderungen in Ausschreibungen | Mittel – Legacy-Systeme kompensatorisch sichern |
| 6. Wirksamkeitsbewertung | OT-Schwachstellenscan (passive Methoden!) | Hoch – aktiver Scan kann OT-Systeme stören |
| 7. Schulung und Hygiene | Separate OT-Schulung für Leitstellenpersonal | Mittel – Social Engineering an OT-Zugängen |
| 8. Kryptographie | VPN für alle Fernwartungszugänge auf OT | Hoch – kein unverschlüsseltes RDP/Telnet/FTP |
| 9. Zugangskontrolle | Individuelle OT-Zugangsdaten, IT/OT-Netzwerktrennung | Hoch – gemeinsame Passwörter an RTUs eliminieren |
| 10. Multi-Faktor-Authentifizierung | MFA für alle Remote-OT-Zugänge und VPN-Zugänge | Hoch – Leitstelle über WAN nur mit MFA |
Risikoanalyse: Besonderheiten im OT-Bereich
Die Risikoanalyse nach NIS2 muss für Energiebetreiber explizit OT-Szenarien abdecken. Typische Energiesektorbedrohungen mit hoher Eintrittswahrscheinlichkeit:
- Ransomware-Ausbreitung von Büro-IT auf OT-Netzwerke über unzureichend gesicherte DMZ
- Kompromittierung von Fernwartungszugängen (VPN, RDP) zu SCADA-Systemen
- Supply-Chain-Angriffe über Firmware-Updates von SCADA-Herstellern
- Insider-Missbrauch von privilegierten OT-Zugangsdaten
- Manipulation von Messwerten über RTU-Schwachstellen (falsche Lastregelung im Netz)
Empfohlene Methodik: IEC 62443 Zone-and-Conduit-Modell als Grundlage für die OT-Risikoanalyse, kombiniert mit dem BSI ICS-Security-Kompendium. Das Ergebnis muss als dokumentiertes Risikoregister vorliegen und jährlich aktualisiert werden.
Stadtwerke: Besondere Ausgangslage
Stadtwerke stehen vor einer spezifischen Herausforderung: Sie betreiben häufig mehrere Versorgungssparten (Strom, Gas, Wasser, Fernwärme) mit jeweils eigenem OT-Bereich, aber kleinen IT-Teams. Die NIS2-Betroffenheit kann je nach Sparte unterschiedlich sein – ein Stadtwerk mit Gasnetz und Fernwärme fällt mit beiden Sparten unter Anhang I, während ein reines Stromunternehmen gleicher Größe möglicherweise nur mit einer Sparte betroffen ist. Empfehlung: Betroffenheit je Geschäftsfeld prüfen und in der BSI-Registrierung entsprechend alle betroffenen Sektoren angeben.
Stadtwerke mit begrenzten Ressourcen können NIS2-Anforderungen in Kooperation mit kommunalen IT-Dienstleistern oder über Branchenverbände (BDEW, VKU) umsetzen. Gemeinsame Risikoanalyse-Frameworks und geteilte Incident-Response-Teams sind zulässig, sofern die individuelle Dokumentationspflicht pro Unternehmen erfüllt bleibt.
Durchführungsverordnung CIR 2024/2690: Was der Energiesektor beachten muss
Die Durchführungsverordnung (CIR) 2024/2690 konkretisiert die technischen Mindestanforderungen aus Art. 21 NIS2 für wesentliche Einrichtungen in ausgewählten Sektoren – darunter der Energiesektor. Die CIR gilt seit 17. Oktober 2024 unmittelbar in allen EU-Mitgliedstaaten, ohne nationale Umsetzung.
Für Energiebetreiber relevante Vorgaben aus den CIR-Anhängen:
- Anhang I (Risikomanagement): Vorgeschriebenes Mindestniveau für Risikoanalysen, einschließlich konkreter Bewertungsmethoden für OT-Komponenten. Die CIR verlangt, dass OT-Systeme explizit im Asset-Inventar geführt werden.
- Anhang II (Incident Management): Detaillierte Anforderungen an Erkennungs- und Reaktionsfähigkeiten, Meldeprozesse und die Dokumentation von Sicherheitsvorfällen – inklusive OT-Vorfällen.
- Anhang III (Lieferkette): Mindeststandards für die Bewertung der Cybersicherheit von Lieferanten – besonders relevant bei Messtechnik- und SCADA-Komponentenherstellern.
Die CIR macht explizit, dass „Stand der Technik“ für OT-Systeme IEC 62443 und äquivalente Normen einschließt. Unternehmen, die diese Standards nicht nachweisen können, tragen eine erhöhte Beweislast gegenüber dem BSI.
Praktisch wichtig: Die CIR schreibt keine bestimmte Zertifizierung vor, sondern eine nachgewiesene Einhaltung der Mindestanforderungen. Für Energiebetreiber empfiehlt sich ein jährliches Selbstbewertungsverfahren auf Basis der CIR-Anhänge, dokumentiert und vom Leitungsorgan gezeichnet. Dieses Dokument ist das erste, was das BSI bei einer Überprüfung einfordert – und das erste, das Energiebetreiber ohne formale Zertifizierung nicht vorweisen können.
Meldepflichten und BSI-Registrierung
Energiebetreiber unter NIS2 haben drei Meldepflichten gegenüber dem BSI, die strikte Fristen einhalten müssen:
- Frühwarnung (24 Stunden): Sobald ein erheblicher Sicherheitsvorfall bekannt wird – auch wenn noch keine vollständige Analyse vorliegt. Inhalt: kurze Beschreibung des Vorfalls und erste Einschätzung.
- Zwischenbericht (72 Stunden): Aktualisierte Bewertung, Einschätzung des Schweregrads, betroffene Dienste.
- Abschlussbericht (30 Tage nach Erstmeldung): Vollständige Analyse, Ursache, Auswirkungen, ergriffene Maßnahmen.
Parallel laufen die Meldepflichten gegenüber der Bundesnetzagentur nach §11b EnWG für Störungen der Netz- und Systemsicherheit. Energiebetreiber müssen intern klären, welche Ereignisse unter welche Meldepflicht fallen und wie beide Stränge koordiniert werden.
BSI-Registrierung: Wesentliche und wichtige Einrichtungen müssen sich eigenständig beim BSI registrieren – separate Pflicht zur KRITIS-Meldepflicht. Das BSI-Melde- und Informationsportal (MISP) wird für NIS2-Meldungen genutzt. Die Registrierung muss aktuelle Kontaktdaten, Informationen über betriebene Sektoren und eine Ansprechperson für Sicherheitsvorfälle enthalten. Ein häufiger Fehler: Unternehmen, die bereits als KRITIS-Betreiber beim BSI registriert sind, gehen davon aus, dass die NIS2-Registrierung entfällt. Das ist falsch – beide Registrierungen bestehen nebeneinander und müssen getrennt gepflegt werden.
Management-Haftung: Persönliche Verantwortung der Geschäftsleitung
NIS2 führt eine der schärfsten Neuerungen im Vergleich zum bisherigen KRITIS-Regime ein: die direkte persönliche Haftung der Geschäftsleitung. Art. 20 NIS2 verpflichtet das Leitungsorgan (Geschäftsführer, Vorstand), Cybersicherheitsmaßnahmen zu billigen, deren Umsetzung zu überwachen und selbst an Schulungen teilzunehmen. Im Schadensfall haftet die Geschäftsführung persönlich – eine Enthaftung durch Delegation auf IT-Abteilungen oder externe Dienstleister ist nicht möglich.
Für Energiebetreiber bedeutet das konkret: Mindestens einmal jährlich muss das Leitungsorgan eine dokumentierte Cybersicherheits-Review abnehmen. Diese Review umfasst den Status der zehn Art.-21-Maßnahmen, erkannte Sicherheitsvorfälle des vergangenen Jahres und den Fortschritt bei OT-Sicherheitsprojekten. Der BSI kann diesen Nachweis im Rahmen einer Überprüfung einfordern. Unternehmen, die noch kein formales Managementreporting zur Cybersicherheit eingeführt haben, müssen dies als eigenständige Compliance-Anforderung behandeln – unabhängig davon, ob die technischen Maßnahmen bereits umgesetzt sind.
Zeitplan und Umsetzungsprioritäten für Energiebetreiber
Das NIS2UmsuCG ist seit 18. Oktober 2024 anwendbar. Für Energiebetreiber, die noch am Anfang der Umsetzung stehen, empfiehlt sich folgende Priorisierung:
- Sofort: NIS2-Betroffenheit formal klären (wesentlich vs. wichtig), BSI-Registrierung anstoßen, interne NIS2-Verantwortung zuweisen, erste Management-Review einplanen.
- Monat 1–2: IT- und OT-Asset-Inventar erstellen, Lückenanalyse gegenüber Art. 21 durchführen, Lieferantenliste mit kritischen OT-Zulieferern aufsetzen, Netzwerkplan mit IT/OT-Übergängen dokumentieren.
- Monat 2–4: OT-Risikoanalyse nach IEC 62443, IT/OT-Netzwerksegmentierung (DMZ) einführen oder prüfen, MFA für alle Remote-Zugänge aktivieren, Incident-Response-Plan mit OT-Vorfallkategorien und dualer Meldematrix (BSI + BNetzA) dokumentieren.
- Monat 4–12: Alle zehn Sicherheitsrichtlinien dokumentieren, Schulungsprogramm für OT-Personal und Pflichtschulung für Geschäftsleitung aufsetzen, Lieferantenbefragungen starten, BSI-Registrierung abschließen, erste jährliche Wirksamkeitsprüfung durchführen.
Energiebetreiber, die bereits unter KRITIS fallen und eine aktive §8a-Prüfung hinter sich haben, können deren Ergebnisse als Ausgangsbasis für die NIS2-Lückenanalyse nutzen. Achten Sie dabei auf die Bereiche, die KRITIS nicht oder kaum abdeckt: formale Lieferantenbewertung, dokumentiertes Managementreporting und explizite OT-Asset-Inventarisierung.
Häufige Fragen
Wir sind KRITIS-konform. Sind wir damit auch NIS2-konform?
Nicht automatisch. KRITIS-Konformität schafft eine gute Basis, deckt aber nicht alle NIS2-Anforderungen ab. Insbesondere die formale Dokumentation aller zehn Art.-21-Maßnahmen, die Lieferkettensicherheit und die direkten Managementpflichten nach Art. 20 gehen über das KRITIS-Regime hinaus. Eine Gap-Analyse ist erforderlich.
Unsere SCADA-Systeme laufen auf Windows XP und können nicht gepatcht werden. Wie gehen wir vor?
Kompensatorische Maßnahmen sind zulässig und werden vom BSI bei verhältnismäßiger Umsetzung anerkannt: Netzwerksegmentierung (Isolation der veralteten Systeme hinter einer dedizierten DMZ), passives Anomalie-Monitoring, Migrationsplanung mit konkretem Zeitplan. Dokumentieren Sie die Situation und den Migrationsplan ausführlich – das BSI bewertet nicht Null-Risiko, sondern angemessene Risikominimierung.
Brauchen wir für OT-Systeme eine separate BSI-Registrierung?
Nein. Die NIS2-Registrierung erfolgt pro Unternehmen, nicht pro Systemtyp. Sie müssen jedoch im Rahmen der Registrierung die betriebenen Sektoren und Subsektoren angeben, sodass das BSI den Umfang der Verpflichtungen einschätzen kann.
Gilt die CIR auch für unsere Fernwirktechnik und RTUs?
Ja. Die CIR gilt für alle vernetzten Systeme, die zur Erbringung des regulierten Dienstes (Strom- oder Gasversorgung) verwendet werden – unabhängig davon, ob es sich um IT- oder OT-Systeme handelt. OT-Assets müssen explizit im Asset-Inventar geführt und in der Risikoanalyse bewertet werden.
Was gilt bei Fernwärme – ist das NIS2-relevant?
Fernwärme fällt dann unter NIS2, wenn das Fernwärmeunternehmen Teil eines Energieversorgers oder Stadtwerks ist, das die Größenschwellen (250 MA / 50 Mio. €) erfüllt. Ein ausschließliches Fernwärmeunternehmen ohne Gas- oder Stromnetz kann als wichtige Einrichtung eingestuft werden, wenn es die Schwellenwerte für wichtige Einrichtungen (50 MA / 10 Mio. €) überschreitet. Ob Fernwärme als eigenständige Versorgungsinfrastruktur von der BSI-Registrierungspflicht erfasst ist, sollte im Einzelfall mit dem BSI abgestimmt werden.
Müssen wir unsere SCADA-Lieferanten nach IEC 62443 zertifiziert haben?
Eine formal erzwungene IEC-62443-Zertifizierung besteht nicht, aber die CIR und der BSI verlangen eine nachweisbare Sicherheitsbewertung Ihrer Lieferanten. In der Praxis bedeutet das: Lieferantenfragebogen mit Fragen zur OT-Sicherheitspraxis, bevorzugt mit Nachweis über ISO 27001, IEC 62443-4-1 (sichere Entwicklung) oder gleichwertige Zertifizierungen. Ein Lieferant, der keinerlei Nachweise erbringen kann, ist ein dokumentiertes Restrisiko in Ihrer Lieferkette – das BSI erwartet, dass Sie das als solches behandeln.
