Zertifizierungen in der Energiewirtschaft
Wege zu mehr Klarheit und Vertrauen
Die “Branchenplattform Cybersicherheit in der Stromwirtschaft” hat eine neue Studie zu Sicherheits-Zertifizierungen bei vernetzter Informations- und Betriebstechnologie vorgelegt. Jasmin Wagner und Marius Dechand, dena-Expertin und -Experte für Dateninfrastruktur und Cybersicherheit, stellen die zentralen Ergebnisse vor.
Zur Autorin, zum Autor
Jasmin Wagner ist Teamleiterin bei der Deutschen Energie-Agentur (dena) im Arbeitsgebiet Digitale Technologien mit den Schwerpunkten Dateninfrastruktur und Cybersicherheit. Nach ihrem Studium der nachhaltigen Energieversorgung an der RWTH Aachen verantwortete sie bei der EnergieAgentur.NRW als Fachexpertin den Themenbereich Stromverteilnetze. Heute verbindet sie bei der dena die Leitung mehrerer Projekte im Bereich Dateninfrastruktur, schwerpunktmäßig zu intelligenten Messsystemen sowie zur Cybersicherheit, mit der Erstellung von Studien und Pilotprojekten, um Digitalisierung und Sicherheit im Energiesystem voranzubringen.
Marius Dechand studierte Sustainable Energy System Management mit Schwerpunkt IT. Bei der dena ist er Ansprechpartner für Cybersicherheit und verantwortet mehrere Projekte zu diesem Themenfeld. Darüber hinaus bringt er sich in Vorhaben rund um den Einsatz Künstlicher Intelligenz in der Energiewirtschaft ein.
Digitalisierung ermöglicht das Integrieren von erneuerbaren Energien und hebt Effizienzpotenziale. Doch die digitale Vernetzung schafft auch neue Angriffsflächen. Cybersicherheit wird daher immer bedeutender für Unternehmen aus der Energiewirtschaft. Zertifizierungen spielen dabei eine zentrale Rolle: Sie dokumentieren das Einhalten von Sicherheitsstandards, geben Unternehmen Orientierung bei aktuellen Maßnahmen und schaffen Vertrauen innerhalb der Lieferkette. Gleichzeitig prägen unterschiedliche Vorgaben und Zuständigkeiten sowie fragmentierte, teils inkompatible Prüfverfahren die Zertifizierungslandschaft in Deutschland.
Die dena-Studie „Cybersicherheits-Zertifizierungen vernetzter Systeme in der Energiewirtschaft“ schafft aus diesem Grund eine Übersicht zum aktuellen Zertifizierungsrahmen. Dabei geht sie auch auf bestehende Herausforderungen sowie mögliche Ansätze zur Harmonisierung ein. Die dena führte die Studie in Zusammenarbeit mit c.con Management Consulting GmbH und dem Forschungsinstitut OFFIS in enger Abstimmung mit dem Expertenkreis der Branchenplattform Cybersicherheit in der Stromwirtschaft durch. Die Branchenplattform wird vom Bundesministerium für Wirtschaft und Energie gefördert.
Handlungsempfehlungen für die Branche
Im Austausch mit den Partnern der Branchenplattform wurde deutlich, dass die Branche die aktuelle Zertifizierungslandschaft als komplex, fragmentiert redundant und teils widersprüchlich wahrnimmt. Eine Analyse zentraler Prüfverfahren wie der KRITIS-Prüfung nach § 8 BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), des ISMS-Zertifizierungsnachweises nach § 11 EnWG (Energiewirtschaftgesetz), von Anforderungen des MsbG Messstellenbetriebsgesetzes für intelligente Messsysteme iMSys sowie etablierter Normen wie etwa der ISO 27000-Reihe oder der Branchenspezifischen Sicherheitsstandards B3S bestätigt diese Wahrnehmung. Gründe hierfür sind unterschiedliche Zielrichtungen und Nachweislogiken, die insbesondere bei Organisationen mit mehreren Rollen zu Abgrenzungsproblemen und Doppelverantwortlichkeiten führen.
Daher formuliert die Studie konkrete Handlungsempfehlungen zum Überwinden bestehender Hürden und zum Aufbau eines modularen und anschlussfähigen Prüfökosystems:
Entwickeln modularer, anschlussfähiger Prüfverfahren
Gegenseitige Anerkennung von Zertifikaten für Information Security Management Systeme (ISMS)
Einführen hybrider Prüfmodelle mit dialogischer Aufsicht
Standardisierung von Vorlagen für Prüfelemente und Auditberichte
Offizielle Mappings und Anrechnungstabellen zwischen Bausteinen nach § 8a BSIG, ISO-Normen, European Cybersecurity Certification Scheme (EUCC), Cyber Resilience Act (CRA) und weiteren Normen
Verbindliche Berücksichtigung sektoraler Normen wie etwa ISO/IEC 27019
Harmonisierung technischer Prüfkataloge (z. B. BSI-TR, IEC 62443)
Anerkennen EU-weiter Zertifikate bei gleichwertiger Schutzwirkung
Einführen verbindlicher Qualifikationsstandards, zum Beispiel nach Vorbild des Konformitätsbewertungsprogramms mit Schulung und Referenzprüfung
Aufbau europäischer Zertifikatsdatenbanken
Auditplattformen für vertraulichen Austausch
Fallstudie zu kommunalen Versorgungsunternehmen
Anhand der Fallstudie eines fiktiven Stadtwerks beleuchtet die Studie systemische Spannungsfelder, die häufig im Aufbau kommunaler Versorgungsunternehmen strukturell verankert sind.
Besonders deutlich wird dabei, dass die Lebenszyklen alter, langlebiger Betriebstechnologie (OT-Systeme) und innovativer Informationstechnologien (IT-Systeme) mit laufenden Updates oft inkompatibel sind. OT-Systeme steuern die physischen Energieanlagen, während IT-Systeme Daten verarbeiten und ausgeben. Ihre unterschiedlichen Lebenszyklen und Funktionen sollten für eine effektive Prüfung gemeinsam betrachtet werden. In der Praxis zeigt sich oft, dass dies nicht der Fall ist.
Hinzu kommen organisatorische Herausforderungen durch funktional verteilte Zuständigkeiten in überlappenden Marktrollen sowie die komplexe regulatorische Landschaft. Die Analyse zeigt, dass Wechselwirkungen zwischen einzelnen Unternehmensbereichen in den Prüfsystemen ganzheitlich erfasst werden sollten.
Die Fallstudie liefert sowohl auf operativer als auch auf strategischer Ebene konkrete Lösungsansätze. Operativ stehen praxisnahe Maßnahmen im Fokus, die an bestehende Strukturen von Stadtwerken anknüpfen. Strategisch lassen sich viele Herausforderungen durch eine bereichsübergreifende Unternehmenssteuerung gezielt adressieren. Besonders kleine und mittlere Stadtwerke benötigen dabei gut anwendbare Umsetzungshilfen.
Weitere Informationen zur Branchenplattform Cybersicherheit in der Stromwirtschaft
