Ein IT-Sicherheitsverantwortlicher eines Energieversorgers prüft an einem geöffneten Netzwerkschrank die Patchpanels zwischen zwei Reihen dunkler Serverschränke.
ENERGIEWIRTSCHAFT & NACHHALTIGKEIT

IT-Sicherheitskatalog nach §5c EnWG: Was Netz- und Anlagenbetreiber 2026 umsetzen müssen

Mit dem NIS2-Umsetzungsgesetz sind die IT-Sicherheitsregeln der Energiewirtschaft aus §11 EnWG in die neuen §§5c-5e EnWG gewandert. Mehr Betroffene, klarere Nachweispflichten und persönliche Verantwortung im Vorstand. Die Bundesnetzagentur fasst den Katalog gerade neu.

Dieser Artikel ordnet die neue Rechtslage ein: was §5c, §5d und §5e konkret verlangen, wer jetzt betroffen ist, wie der Neufassungsfahrplan mit Konsultation im August 2026 aussieht, welche Zertifizierung Pflicht bleibt, wo die Kritik ansetzt und was Netz- und Anlagenbetreiber jetzt tun sollten.

Zusammenfassung

Der IT-Sicherheitskatalog nach §5c EnWG legt die verbindlichen IT-Sicherheitsanforderungen für den Betrieb von Energieversorgungsnetzen und Energieanlagen fest. Mit dem NIS2-Umsetzungsgesetz wurden die früheren Regeln aus §11 Abs. 1a bis 1g EnWG in die neuen Paragrafen §5c, §5d und §5e EnWG überführt. §5c verlangt angemessenen Schutz gegen Bedrohungen über ein zertifiziertes Informationssicherheits-Managementsystem nach DIN EN ISO/IEC 27001 und 27019, §5d regelt Nachweis und Meldung mit einer Erstmeldung binnen 24 Stunden und einem Bericht binnen 72 Stunden, §5e macht die Geschäftsführung persönlich verantwortlich und haftbar. Der Kreis der Betroffenen wächst deutlich: erfasst sind jetzt alle Strom- und Gasnetzbetreiber unabhängig von der Größe, Energieanlagenbetreiber als besonders wichtige oder wichtige Einrichtung nach §28 BSIG sowie erstmals Betreiber digitaler Energiedienste wie Aggregatoren virtueller Kraftwerke. Bundesweit steigt die Zahl der regulierten Einrichtungen von rund 2.100 auf etwa 29.000, von denen zur Frist am 6. März 2026 erst rund 11.500 beim BSI registriert waren. Die BNetzA und das BSI überarbeiten die Kataloge seit Anfang 2026, streben eine Branchenkonsultation im August 2026 an, der konsolidierte neue Katalog soll zum 1. Januar 2027 gelten. Bis dahin gelten die alten §11-Kataloge weiter. Der Verband kommunaler Unternehmen kritisiert den Entwurf als halbgar und warnt vor Doppelregulierung. Für Netz- und Anlagenbetreiber heißt das, die eigene Einstufung zu klären, Zertifizierungskapazität früh zu reservieren und die Geschäftsführung einzubinden.

ca. 29.000
regulierte Einrichtungen bundesweit
vorher rund 2.100, nach NIS2-Umsetzung
ca. 11.500
beim BSI registriert zur Frist
Stichtag 6. März 2026
1. Jan. 2027
geplante Geltung des neuen Katalogs
Konsultation für August 2026 geplant
24 h
Erstmeldung eines Sicherheitsvorfalls
formeller Bericht nach 72 Stunden, §5d
3 Jahre
Gültigkeit des ISO-27001-Zertifikats
mit jährlichen Überwachungsaudits
§§5c-5e
neue Fundstelle statt §11 EnWG
Schutz, Nachweis und Verantwortung

Warum §5c EnWG die IT-Sicherheit neu ordnet

Mit dem NIS2-Umsetzungsgesetz hat der Gesetzgeber die IT-Sicherheitsvorgaben der Energiewirtschaft neu sortiert. Die bekannten Regeln aus §11 Abs. 1a bis 1g EnWG stehen jetzt in den neuen Paragrafen §5c, §5d und §5e EnWG. Für dich als Netz- oder Anlagenbetreiber ändert sich damit nicht nur die Fundstelle, sondern der Anspruch: mehr Betroffene, klarere Nachweispflichten und persönliche Verantwortung im Vorstand.

Rechtsgrundlage ist die deutsche Umsetzung der EU-Richtlinie NIS2, verankert im EnWG und flankiert vom BSIG. Der branchenspezifische IT-Sicherheitskatalog der Bundesnetzagentur bleibt das zentrale Instrument, wird aber neu gefasst.

  • Die alten Absätze §11 Abs. 1a bis 1g EnWG wurden aufgehoben und inhaltlich in die §§5c-5e EnWG überführt.
  • Kernpflicht nach §5c Abs. 1 EnWG ist der angemessene Schutz gegen Bedrohungen für die Systeme, die einen sicheren Netzbetrieb sichern.
  • Der Katalog wird künftig alle zwei Jahre geprüft und bei Bedarf aktualisiert, bleibt also ein bewegliches Ziel statt einer einmaligen Pflicht.

Was §5c, §5d und §5e konkret verlangen

Die drei Paragrafen teilen die Pflichten in Schutz, Nachweis und Verantwortung. §5c legt die Schutzmaßnahmen fest, §5d die Dokumentations- und Meldepflichten, §5e adressiert die Geschäftsführung. Der Kern bleibt das zertifizierte Informationssicherheits-Managementsystem.

Ein Informationssicherheits-Managementsystem (ISMS) ist ein dokumentiertes Regelwerk aus Prozessen, Rollen und Kontrollen, mit dem eine Organisation Risiken für ihre Informationen systematisch erkennt, steuert und überwacht. Im Energiesektor wird es nach DIN EN ISO/IEC 27001 zertifiziert und um die branchenspezifische ISO/IEC 27019 ergänzt.
Diagramm der Pflichtenkette nach den Paragrafen 5c bis 5e EnWG in vier Schritten: Betroffenheit, Schutzpflicht nach §5c, Nachweis und Meldung nach §5d, Verantwortung der Geschäftsführung nach §5e.
Die Pflichtenkette nach den §§5c-5e EnWG. Aus der Betroffenheit folgt die Schutzpflicht, daraus der Nachweis gegenüber der BNetzA und die persönliche Verantwortung der Geschäftsführung.
  • §5c, Schutz: Risikoanalyse, Vorfallmanagement mit Backup und Wiederherstellung, Lieferkettensicherheit, Security-by-Design, regelmäßige Audits, Cyberhygiene und Schulungen. Künftig gehört auch der Einsatz von IKT-Produkten mit Cybersicherheitszertifizierung nach EU-Verordnung 2019/881 dazu.
  • §5d, Nachweis und Meldung: Dokumentation der Katalogumsetzung, Übermittlung an die BNetzA sowie ein gestuftes Meldeverfahren mit Erstmeldung binnen 24 Stunden, Bericht binnen 72 Stunden und einer Abschlussmeldung.
  • §5e, Verantwortung: persönliche Verantwortung der Geschäftsführung für Strategie, Ressourcen und Wirksamkeitskontrolle, verpflichtende Schulungen sowie Haftung bei fahrlässiger Verletzung nach §93 AktG und §43 GmbHG.

Wer jetzt betroffen ist: drei Gruppen statt einer

Der Kreis der Verpflichteten ist deutlich größer als früher. Neben allen Netzbetreibern erfassen die Regeln jetzt auch größere Energieanlagen und erstmals digitale Energiedienste. Maßgeblich für die beiden letzten Gruppen ist die Einstufung nach §28 BSIG als besonders wichtige oder wichtige Einrichtung.

Bundesweit steigt die Zahl der regulierten Einrichtungen von rund 2.100 auf etwa 29.000. Zur Registrierungsfrist am 6. März 2026 waren davon erst rund 11.500 beim BSI erfasst. Die Lücke zeigt, wie viele Betreiber noch am Anfang stehen.

  • Netzbetreiber: alle Betreiber von Strom- und Gasversorgungsnetzen, unabhängig von Größe und Spannungsebene, von der Höchstspannung bis zur Niederspannung.
  • Energieanlagenbetreiber: Anlagen, die als besonders wichtige Einrichtung ab 250 Beschäftigten oder 50 Millionen Euro Umsatz und 43 Millionen Euro Bilanzsumme gelten, oder als wichtige Einrichtung ab 50 Beschäftigten oder je 10 Millionen Euro Umsatz und Bilanzsumme.
  • Digitale Energiedienste: erstmals erfasst, etwa Aggregatoren, die virtuelle Kraftwerke, Lastmanagement oder Energiemanagementsysteme betreiben. Wie solche Aggregatoren arbeiten, zeigt der Beitrag zum Smart-Meter-Rollout , der die Datenbasis dafür liefert.

Der Fahrplan: Konsultation und Geltung 2027

Die neue Festlegung ist noch nicht final. Bis der neue Katalog gilt, bleiben die bestehenden §11-Kataloge in Kraft, bestehende Zertifikate behalten ihre Gültigkeit. Der Zeitplan ist eng, weil die gesetzliche Grundlage und der Katalog parallel entstehen.

seit 2015 und 2018

Die bestehenden Kataloge nach §11 Abs. 1a (Netzbetreiber, seit 2015) und §11 Abs. 1b (Energieanlagen, seit 2018) gelten übergangsweise weiter.

Anfang 2026

Die BNetzA startet gemeinsam mit dem BSI die Überarbeitung. Die alten Kataloge werden konsolidiert und stärker an den prozessorientierten Ansatz der ISO/IEC 27001 angelehnt.

August 2026

BNetzA und BSI streben eine Branchenkonsultation an. Betreiber und Verbände können ihre Punkte einbringen, bevor die Festlegung final wird.

1. Januar 2027

Der konsolidierte neue IT-Sicherheitskatalog soll gelten. Ab dann läuft der Nachweis über den neuen Katalog statt über die §11-Fassung.

Die rechtliche Verankerung im EnWG läuft über mehrere Novellen. Den Rahmen der jüngsten Änderung beschreibt der Beitrag zur EnWG-Novelle 2026 .

Zertifizierung: ISMS nach ISO 27001 als Pflichtnachweis

Der Nachweis der Umsetzung läuft weiter über ein zertifiziertes ISMS. Die Zertifizierung erfolgt durch eine DAkkS-akkreditierte Stelle auf Basis von DIN EN ISO/IEC 27001, ergänzt um die branchenspezifische ISO/IEC 27019. Wer sein Managementsystem jetzt sauber aufstellt, muss später nur nachjustieren.

Zwei Hände schließen und verriegeln die perforierte Stahltür eines grauen Netzwerkschranks in einem Betriebsraum, dahinter gebündelte Kabel.
IT-Sicherheit im Netzbetrieb ist auch physisch: Zutrittsschutz für Schränke und Anlagen gehört zu den Kontrollen, die ein zertifiziertes ISMS nachweisen muss.
  • Das Zertifikat ist drei Jahre gültig, jährliche Überwachungsaudits sind Pflicht.
  • Jeder Betreiber muss der BNetzA einen Ansprechpartner IT-Sicherheit benennen, Anlagenbetreiber zusätzlich eine Kontaktstelle beim BSI registrieren.
  • Die Zahl verfügbarer Auditoren ist begrenzt. Eine frühe Reservierung von Zertifizierungskapazität ist ratsam, sonst droht ein Engpass kurz vor der Frist.

Herausforderungen und Risiken

Die Umstellung bindet Ressourcen und trifft besonders kleinere Stadtwerke. Der Verband kommunaler Unternehmen warnt vor Doppelregulierung und Rechtsunsicherheit. Auch fachlich gibt es offene Punkte.

  • Doppelte Anpassung: Der VKU nennt den Entwurf halbgar und fordert eine Verschiebung, weil Betreiber ihre IT-Sicherheit in kurzer Zeit zweimal an neue Anforderungen anpassen müssten.
  • Utopischer Anspruch: VKU-Hauptgeschäftsführer Ingbert Liebing kritisiert die Forderung nach hundertprozentiger Sicherheit. Ein Restrisiko bleibe immer, ein Nullrisiko sei nicht erreichbar.
  • Auslegungsspielraum: Der Wechsel von deutschen zu stärker englischsprachigen Standards schafft Spielraum bei der Auslegung durch Auditoren.
  • Überlappende Zuständigkeit: Zwischen BNetzA nach EnWG und BSI nach BSIG kann es bei Unternehmen mit mehreren Tätigkeitsfeldern zu Abgrenzungsfragen kommen. Den größeren Rahmen beschreibt der Beitrag zum NIS2- und KRITIS-Dachgesetz .

Was Unternehmen jetzt tun sollten

Auch ohne finalen Katalog lässt sich vorarbeiten. Wer sein ISMS jetzt sauber aufstellt und die Governance früh klärt, muss später nur nachjustieren statt neu zu beginnen. Vier Schritte sind vordringlich.

Eine IT-Sicherheitsverantwortliche und ein externer Auditor sitzen an einem hellen Holztisch und gehen gemeinsam eine gedruckte Prüf-Checkliste durch.
Die Katalogumsetzung ist Teamarbeit zwischen IT-Sicherheit, Fachbereichen und externem Auditor. Ein früher Abgleich gegen den Referenzrahmen spart spätere Nacharbeit.

Vier vorrangige Schritte

  1. Einstufung und Registrierung klären

    Prüfen, ob das Unternehmen als besonders wichtige oder wichtige Einrichtung nach §28 BSIG gilt, und die Registrierung beim BSI dokumentieren. So steht fest, welche Pflichten überhaupt greifen.

  2. Zertifizierungskapazität reservieren

    Früh mit einer DAkkS-akkreditierten Zertifizierungsstelle sprechen und einen Audittermin sichern. Weil die Zahl der Auditoren begrenzt ist, wird der Markt zum Stichtag eng.

  3. Melde- und Kontaktprozesse einrichten

    Den Ansprechpartner IT-Sicherheit benennen und die Meldeprozesse für die 24- und 72-Stunden-Fristen aus §5d praktisch aufsetzen, samt Zuständigkeiten und Eskalation außerhalb der Bürozeiten.

  4. Geschäftsführung einbinden

    Weil §5e persönliche Verantwortung und Haftung vorsieht, gehört das Thema früh auf die Leitungsebene. Strategie, Ressourcen und Schulungen der Geschäftsführung sind Teil der Pflicht, nicht ein späterer Zusatz.

Die IT-Sicherheit steht nicht allein. Sie greift in dieselbe Digitalisierung wie der wachsende Einsatz von KI in der Cyberabwehr, den der Beitrag zu KI-gestützter Cybersicherheit einordnet. Netzbetrieb, Marktprozesse und Sicherheitsorganisation ergeben erst zusammen ein vollständiges Bild.

Weiterführende Informationen

Häufig gestellte Fragen

Was ist der IT-Sicherheitskatalog nach §5c EnWG? +

Der IT-Sicherheitskatalog nach §5c EnWG ist die von der Bundesnetzagentur im Einvernehmen mit dem BSI festgelegte Sammlung verbindlicher IT-Sicherheitsanforderungen für den Betrieb von Energieversorgungsnetzen und Energieanlagen. Kern ist ein zertifiziertes Informationssicherheits-Managementsystem nach DIN EN ISO/IEC 27001 und 27019. Der Katalog löst die früheren Kataloge nach §11 Abs. 1a und 1b EnWG ab.

Wer ist von §5c EnWG betroffen? +

Betroffen sind drei Gruppen: alle Betreiber von Strom- und Gasversorgungsnetzen unabhängig von der Größe, Energieanlagenbetreiber, die als besonders wichtige oder wichtige Einrichtung nach §28 BSIG gelten, sowie erstmals Betreiber digitaler Energiedienste wie Aggregatoren virtueller Kraftwerke. Bundesweit steigt die Zahl der regulierten Einrichtungen von rund 2.100 auf etwa 29.000.

Ab wann gilt der neue IT-Sicherheitskatalog? +

Die BNetzA und das BSI überarbeiten die Kataloge seit Anfang 2026 und streben eine Branchenkonsultation im August 2026 an. Der konsolidierte neue Katalog soll zum 1. Januar 2027 gelten. Bis dahin bleiben die bestehenden Kataloge nach §11 Abs. 1a und 1b EnWG in Kraft, bestehende Zertifikate behalten ihre Gültigkeit.

Welche Zertifizierung verlangt §5c EnWG? +

Der Nachweis läuft über ein Informationssicherheits-Managementsystem, das von einer DAkkS-akkreditierten Stelle auf Basis von DIN EN ISO/IEC 27001 zertifiziert wird, ergänzt um die branchenspezifische ISO/IEC 27019. Das Zertifikat ist drei Jahre gültig, jährliche Überwachungsaudits sind Pflicht. Jeder Betreiber muss der BNetzA einen Ansprechpartner IT-Sicherheit benennen.

Was müssen Netzbetreiber jetzt tun? +

Netzbetreiber sollten ihre Registrierung beim BSI und ihre Einstufung nach §28 BSIG prüfen, früh Zertifizierungskapazität reservieren, einen Ansprechpartner IT-Sicherheit benennen und die Meldeprozesse für die 24- und 72-Stunden-Fristen einrichten. Weil §5e die Geschäftsführung persönlich verantwortlich und haftbar macht, gehört das Thema früh auf die Leitungsebene.