NIS2 Policy-Paket Energie

Beschreibung

14 KRITIS-Dual-Compliance-Vorlagen für Energieversorger – das einzige deutschsprachige NIS2-Vorlagenpaket, das NIS2UmsuCG, KRITIS-DachG, IEC 62351 und IEC 61850 gleichzeitig adressiert. Energieversorger, Netzbetreiber und Übertragungsnetzbetreiber stehen vor einer einzigartigen Herausforderung: Sie müssen NIS2UmsuCG und das KRITIS-Dachgesetz gleichzeitig erfüllen, während ihre OT auf IEC-104, IEC-61850-Substation-Automation und SCADA-Leitsystemen läuft. Dieses Paket wurde genau für diesen Kontext entwickelt.

Warum Energieversorger zwei Compliance-Regime gleichzeitig erfüllen müssen – und was passiert, wenn NIS2UmsuCG und KRITIS-DachG kollidieren

Kein anderer Sektor in Deutschland trägt eine höhere regulatorische Last als die Energieversorgung. Als KRITIS-Betreiber fallen Sie gleichzeitig unter das NIS2-Umsetzungsgesetz und das KRITIS-Dachgesetz (KRITIS-DachG). Beide Regelwerke haben Überlappungen, aber auch wichtige Unterschiede bei Meldepflichten, Prüfbehörden und technischen Anforderungen. Sechs spezifische Herausforderungen, die nur den Energiesektor betreffen:

1. Duale Aufsicht: BSI und Bundesnetzagentur: Der Energiesektor wird gleichzeitig vom BSI (Cybersicherheit nach NIS2UmsuCG) und von der Bundesnetzagentur (Netzverlässlichkeit, IT-Sicherheitskatalog gemäß §11(1a) EnWG) beaufsichtigt. Beide Behörden können prüfen – mit unterschiedlichen Anforderungen. Dokumentation muss beide befriedigen.
2. IEC-104 und IEC-61850 als Standardprotokolle ohne native Sicherheit: IEC-104 (Fernwirkprotokoll) und IEC-61850 (Schutztechnik in Umspannwerken) wurden in einer Ära entwickelt, bevor Cybersicherheit im Stromnetz relevant war. Verschlüsselung und Authentifizierung sind Nachrüstungen – IEC 62351 liefert den Sicherheitsstandard. Ihre Richtlinien müssen das abbilden.
3. Black-Start-Prozedur als NIS2-Anforderung: Art. 21(2)(c) fordert Betriebskontinuität. Für Energieversorger bedeutet das: dokumentierte Black-Start-Prozedur, Grid-Islanding-Protokoll und Koordination mit dem Übertragungsnetzbetreiber. Eine generische BCM-Richtlinie aus der IT-Welt adressiert das nicht.
4. ACER-Berichtspflichten und EU-Netzwerkkodizes: Neben NIS2-Vorfallmeldungen nach §32 NIS2UmsuCG können besonders schwerwiegende Vorfälle im Energiesektor ACER-Meldepflichten auslösen. Ihre Vorfallreaktion muss beide Meldestränge berücksichtigen.
5. Physische Sicherheit von Umspannwerken und Erzeugungsanlagen: KRITIS-DachG stellt spezifische Anforderungen an die physische Sicherheit kritischer Komponenten – Zutrittskontrolle zu Umspannwerken, Perimeterschutz, Überwachung. Diese müssen mit Art. 21(2)(i) NIS2 abgeglichen werden.
6. Lieferkettensicherheit bei Netzbetriebsmitteln: Transformatoren, Schutzrelais, SCADA-Komponenten von Anbietern mit geopolitischen Risiken: Das BSI und die BNetzA haben für bestimmte Hochrisiko-Hersteller spezifische Einschränkungen erlassen. Art. 21(2)(d) in Verbindung mit KRITIS-DachG erfordert eine dokumentierte Herstellerbewertung.

14 KRITIS-Dual-Compliance-Vorlagen für die Energie-OT – IEC 62351, IEC 61850 und NIS2UmsuCG §30 in einem deutschen Vorlagenpaket

Das Policy-Paket Energie enthält 14 sektorspezifische DOCX-Vorlagen plus Masterplan, Rollenmatrix und ein Energie-Swimlane-Diagramm für die OT-Vorfallreaktion – 17 Dokumente gesamt. Alle Richtlinien wurden für Energieversorger mit IEC-104/IEC-61850-Netzwerken und KRITIS-Dual-Scope entwickelt. Zwei zusätzliche Dokumente adressieren spezifisch die KRITIS-Compliance-Ergänzung und die regulatorische Landkarte Energie.

System Layer (3 Dokumente): Masterplan Energie (Dual-Compliance-Implementierungsplan), Rollenmatrix Energie (CISO, NIS2-Beauftragter, Netzleitstands-Operator, KRITIS-Schutzbeauftragter, Wartungstechniker), Energie-Swimlane (OT-Vorfallreaktion + Grid-Islanding-Entscheidungsbaum).

Alle 17 Dokumente anzeigen

1. 00 — Willkommen & Übersicht Energie
2. 01 — Implementierungsleitfaden Energie
3. 02 — Informationssicherheitsrichtlinie Energie
4. 03 — Risikobeurteilungsmethodik Energie
5. 04 — Vorfallbehandlungsrichtlinie Energie
6. 05 — Business-Continuity & Backup Energie
7. 06 — Lieferkettensicherheit Energie
8. 07 — Patch- & Schwachstellenmanagement Energie
9. 08 — Schulung & Sensibilisierung Energie
10. 09 — Kryptografie & Verschlüsselung Energie
11. 10 — Zugangssteuerung & Identität Energie
12. 11 — MFA Energie
13. E1 — KRITIS-Compliance-Ergänzung
14. E2 — Regulatorische Karte Energie
15. Masterplan Energie
16. Rollenmatrix Energie
17. Energie-Swimlane Vorfallreaktion

Wie jede Art.-21-Maßnahme abgedeckt ist

Welches Paket zu Ihrem Ausgangspunkt passt

Wer das Policy-Paket Energie nutzt

CISO / NIS2-Beauftragter bei Verteilnetzbetreibern (VNB) — Sie betreiben Mittel- und Niederspannungsnetze und fallen unter NIS2UmsuCG als „besonders wichtige Einrichtung“. Gleichzeitig müssen Sie gegenüber der BNetzA den IT-Sicherheitskatalog nachweisen. Das Policy-Paket Energie gibt Ihnen Vorlagen, die explizit beide Anforderungsquellen adressieren – und das in der Sprache Ihrer OT-Ingenieure.

Informationssicherheitsbeauftragter bei Stadtwerken — Stadtwerke sind oft gleichzeitig VNB, Wärmelieferant und Gasnetzbetreiber – mit drei überlappenden Regulierungsrahmen. Das Dokument E2 (Regulatorische Karte Energie) liefert die Übersicht, die Ihre Geschäftsführung versteht, und zeigt auf einem Blick, welche Anforderung aus welchem Regime stammt.

IT-OT-Sicherheitsberater für den Energiesektor — Sie betreuen Stadtwerke, Regionale Netzbetreiber oder Énergieerzeuger und stehen vor dem Problem, dass jedes Mandat eine andere Mischung aus NIS2, KRITIS, EnWG und BNetzA-IT-Sicherheitskatalog hat. Das Policy-Paket Energie ist Ihre Ausgangsvorlage für alle Energiemandate – anpassbar und mit vollständiger Normenreferenzierung.

Technischer Geschäftsführer bei einem Energieversorger — §38 NIS2UmsuCG macht auch Sie persönlich haftbar. Gleichzeitig sieht das KRITIS-DachG Nachweispflichten gegenüber dem BSI vor. Das Policy-Paket Energie enthält die Rollenmatrix, die klar definiert, welche Entscheidungen zur Geschäftsführung gehören – und welche Ihr OT-Sicherheitsteam trägt.

Häufige Fragen zum Policy-Paket Energie

Was ist der Unterschied zwischen NIS2UmsuCG und KRITIS-DachG für Energieversorger?

NIS2UmsuCG setzt die EU-NIS2-Richtlinie um und gilt für alle Sektoren (Energie, Verkehr, Gesundheit etc.) mit Schwerpunkt auf Cybersicherheitsmaßnahmen und BSI-Meldepflichten. Das KRITIS-Dachgesetz (KRITIS-DachG) ergänzt dies um ph&ysische Sicherheitsanforderungen und besondere Resilienzmaßnahmen für kritische Infrastrukturbetreiber. Beide gelten für Energieversorger ab bestimmten Schwellenwerten – und beide können zu Prüfungen führen. Das Dokument E1 (KRITIS-Compliance-Ergänzung) zeigt die Unterschiede und Überlappungen im Detail.

Was bedeutet IEC 62351 und warum ist es für Energieversorger relevant?

IEC 62351 ist die internationale Normenreihe für Cybersicherheit in der Energieautomatisierung und dem Energiemanagement. Sie definiert Sicherheitsmechanismen für SCADA-Kommunikationsprotokolle wie IEC-104, IEC-61850 und DNP3 – Protokolle, die in deutschen Netzen weit verbreitet sind. Das BSI betrachtet IEC 62351 als Stand der Technik für OT-Sicherheitsmaßnahmen im Energiesektor. Die Vorlagen in diesem Paket referenzieren die relevanten Teile (62351-3, 62351-8) direkt.

Gilt das Policy-Paket Energie auch für Gasnetzbetreiber?

Ja. Gasnetzbetreiber fallen ebenfalls in den Energiesektor des NIS2UmsuCG und des KRITIS-DachG. Die OT-Anforderungen sind vergleichbar – SCADA-Leitsysteme, ferngesteuerte Absperrventile, Verdichtersteuerungen. Die Vorlagen lassen sich für Gasnetze anpassen; die OT-Protokollreferenzen (IEC 60870, Modbus) können übernommen werden. Der Implementierungsleitfaden enthält Hinweise zur sektorspezifischen Anpassung.

Wann muss ich mich beim BSI registrieren und wie hilft das Paket?

Wichtige und besonders wichtige Einrichtungen im Energiesektor müssen sich gemäß §33 NIS2UmsuCG beim BSI registrieren. Der Implementierungsleitfaden (Dok. 01) beschreibt die Registrierungssequenzierung für Energieversorger – inklusive der benötigten Informationen (KRITIS-Schutzbedarfsfeststellung, OT-Asset-Liste, Ansprechpartner) und der Koordination mit laufenden BNetzA-Registrierungen.

Was ist eine „Black-Start-Prozedur“ und warum ist sie NIS2-relevant?

Eine Black-Start-Prozedur beschreibt den Prozess, ein Stromnetz nach einem vollständigen Ausfall wiederherzustellen, ohne externe Netzeinspeisung zu benötigen. Art. 21(2)(c) NIS2 fordert dokumentierte Betriebskontinuitätsmaßnahmen – für Energieversorger gehört die Black-Start-Prozedur zum absoluten Minimum. Dok. 05 (BCM & Backup Energie) enthält eine anpassbare Vorlage für diesen Prozess.

Werden die Vorlagen bei neuen regulatorischen Anforderungen aktualisiert?

Ja. Ihr Kauf beinhaltet 12 Monate kostenlose Updates. Bei wesentlichen Änderungen im NIS2UmsuCG, KRITIS-DachG oder den IEC-Normen werden die relevanten Dokumente aktualisiert und Ihnen als neuer Download zur Verfügung gestellt. Sie erhalten eine E-Mail-Benachrichtigung über Ihre Kaufadresse.

Kann ich das Energie-Paket mit dem Komplettpaket kombinieren?

Ja, und für größere Energieversorger ist das die optimale Lösung: Das Komplettpaket (76 Dok.) deckt Ihre IT-Infrastruktur ab – Bürosysteme, Cloud, HR, Lieferanten-IT, Vorstandshaftung, BSI-Registrierung. Das Policy-Paket Energie (17 Dok.) ergänzt es um die spezifischen OT-Anforderungen für Ihr Netz. Kontaktieren Sie uns für ein kombiniertes Paketangebot.

Schützen Sie das Netz – bevor BSI und BNetzA gleichzeitig prüfen

Energieversorger sind die einzige Unternehmensgruppe in Deutschland, die gleichzeitig von BSI (NIS2UmsuCG), BNetzA (EnWG §11(1a) IT-Sicherheitskatalog) und dem KRITIS-Dachgesetz beaufsichtigt wird. Drei Behörden, drei Regelwerke, eine Dokumentation – wenn Sie diese Konvergenz nicht aktiv managen, werden es die Prüfer für Sie tun. Das Policy-Paket Energie kostet €349 und liefert die einzige deutschsprachige KRITIS-Dual-Compliance-Dokumentation, die alle drei Dimensionen in einem Paket zusammenführt. Laden Sie jetzt herunter.