Sektor
Energie / KRITIS
NIS2 · IT-Sicherheitsgesetz 2.0 · KRITIS-Verordnung · BNetzA-Anforderungen.
Sektorale Risiken
SCADA / ICS-Cloud-Anbindung
Steuerungssysteme im Netz- und Anlagenbetrieb werden zunehmend an Cloud-Backends gekoppelt — mit weitreichenden Verfügbarkeitsfolgen.
OT/IT-Konvergenz
Die Verschmelzung von Betriebs- und Bürotechnik öffnet neue Souveränitätsrisiken, weil OT-Schnittstellen oft auf Standard-Cloud-Services aufsetzen.
Geopolitische Lieferkettenstörungen
Hardware-Komponenten für Smart Meter, RTUs und SCADA stammen aus globalisierten Lieferketten mit Konzentrationsrisiko.
Smart-Grid-Datenfluss
Verbrauchs- und Einspeisedaten erlauben Rückschlüsse auf kritische Infrastruktur und müssen jurisdiktionssouverän verarbeitet werden.
NIS2-Lieferketten
NIS2 verlangt Lieferketten-Risikobewertungen. EDSO liefert die strukturelle Messlatte.
Regulatorischer Anker
| Regelwerk | Status | Wesentliche Anforderung | Anschluss an EDSO |
|---|---|---|---|
| NIS2-Richtlinie | EU-Umsetzung | Cybersicherheit kritischer Sektoren | Direkter Anschluss D1, D2, D4 |
| IT-SiG 2.0 | in Kraft | Kritis-Pflichten in Deutschland | Anker für D2 |
| KRITIS-Verordnung | Verordnung | Sektorzuordnung und Schwellen | Definiert Anwendungsbereich |
| BNetzA-Anforderungen | behördlich | IT-Sicherheitskatalog Energie | Anker für D3 |
Empfohlene Mindestlevel pro Anwendungsfall
| Anwendungsfall | Gesamt | D1 | D2 | D3 | D4 | Begründung |
|---|---|---|---|---|---|---|
| Netzleitsystem (Übertragungsnetz) | L3 | L3 | L3 | L3 | L3 | Versorgungssicherheit, Schwarzfallrelevanz. |
| Verteilnetz-SCADA | L2 | L2 | L2 | L2 | L2 | Kritische Betriebssteuerung, regional. |
| Smart-Meter-Gateway-Backend | L2 | L2 | L2 | L2 | L2 | Personenbeziehbare Verbrauchsdaten. |
| Geschäfts-IT KRITIS-Betreiber | L2 | L2 | L2 | L1 | L2 | Betreiberorganisation, Verwaltungsdaten. |
| Kundenportal Energieversorger | L1 | L1 | L1 | L1 | L1 | Geringes Schadenspotenzial. |
Typische Anwendungsfälle
Cloud-Migration eines Verteilnetzbetreibers
- Szenario
- Ein Verteilnetzbetreiber will Datenanalyse-Workloads in eine Cloud verlagern.
- Risiken
- Vermischung von Geschäfts- und Betriebsdaten, Verlust der OT-Trennung.
- EDSO-Anwendung
- L2 für Geschäfts-IT; OT-Daten bleiben im L3-Kernperimeter.
- Vorgehen
- Domänen-getrennte Bewertung im Level-Rechner.
Smart-Meter-Gateway-Plattform
- Szenario
- Ein Messstellenbetreiber bündelt SMGW-Verwaltung über eine SaaS-Plattform.
- Risiken
- Schlüsselverwaltung, Verfügbarkeit, NIS2-Lieferketten.
- EDSO-Anwendung
- L2 gesamt mit D2 = L2 zwingend, D4 = L2 wegen NIS2-Lieferkettenpflicht.
- Vorgehen
- Pilotzertifizierung, Veröffentlichung im Register.
OT-Sicherheitskatalog-Erfüllung
- Szenario
- Ein Übertragungsnetzbetreiber dokumentiert die Erfüllung des BNetzA-Katalogs.
- Risiken
- Dokumentationsaufwand, Auditfähigkeit, Drittparteinachweise.
- EDSO-Anwendung
- EDSO-Domänenprofil als ergänzender Nachweis im IT-Sicherheitskatalog.
- Vorgehen
- Mapping über die EDSO-Spezifikation, Audit-gemeinsam mit BSI-akkreditierter Stelle.
Vorlagen und Sofort-Einstiege
Ausschreibungs-Generator
Mit voreingestellten Sektor-Parametern
Register
Anbieter und Dienste mit Sektor-Filter
Self-Assessment
Sektor voreingestellt, in ca. 20 Minuten
Sektor-spezifische Leitfäden
- EDSO und NIS2 — Lieferketten-Anschluss — Wie EDSO-Domänen-Profile in die NIS2-Lieferantenbewertung eingehen.
- KRITIS-Lastenheft EDSO L2/L3 — Vorlage für Vergaben von Betreibern kritischer Infrastrukturen.
Sektor-Konsultationen
Derzeit keine sektor-spezifischen Konsultationen.
Ansprechpartner
Anwendungsrat — Quadrant Anwender / Sektor KRITIS — Sektor-Sprecher
Kontaktformular (Sektor voreingestellt)