CompliantDesk

ISO 27001 nach Branche

ISO 27001 für Stadtwerke & Energieversorger

ISO 27001Branchenleitfaden

Stadtwerke und Energieversorger zählen zu den am stärksten regulierten Bereichen der Informationssicherheit. ISO 27001 bildet die Grundlage für NIS2, KRITIS und den IT-Sicherheitskatalog nach EnWG.

Warum ISO 27001 für Energieversorger zählt

Strom-, Gas-, Wärme- und Wasserversorger betreiben kritische Infrastrukturen, deren Ausfall weitreichende Folgen für die Bevölkerung hat. Ihre Leit- und Steuerungstechnik (OT) ist ein bevorzugtes Ziel staatlich unterstützter Angreifer. Über NIS2 gelten größere Versorger als wesentliche Einrichtungen, und der IT-Sicherheitskatalog nach EnWG fordert für Netzbetreiber ohnehin ein ISMS auf Basis von ISO 27001.

Typische Schwachstellen der Branche

Angriffe auf Leit- und Steuerungstechnik (OT/ICS)
Versorgungsausfälle mit Dominoeffekten für andere Sektoren
Verschmelzung von Büro-IT und Netzleittechnik
Langlebige Steuerungssysteme ohne herstellerseitige Sicherheitsupdates
Hohe Bedrohung durch staatlich unterstützte Angreifer

Besonders relevante Annex-A-Controls

Diese Maßnahmen aus Anhang A der ISO/IEC 27001:2022 verdienen in dieser Branche besondere Aufmerksamkeit.

A.8.16Überwachungsaktivitäten

Angriffe auf Leittechnik und Netze müssen frühzeitig erkannt werden.

A.5.30IKT-Bereitschaft für Business Continuity

Die Versorgung muss auch bei IT- oder OT-Störungen aufrechterhalten werden.

A.8.9Konfigurationsmanagement

Leit- und Steuerungssysteme benötigen einen kontrollierten, gehärteten Soll-Zustand.

A.5.15Zugangssteuerung

Zugriffe auf die Netzleittechnik müssen streng begrenzt und überwacht werden.

A.8.7Schutz gegen Schadsoftware

Schadsoftware in OT-Umgebungen kann unmittelbar die Versorgung gefährden.

Alle 93 Annex-A-Controls im Katalog

NIS2-Überschneidung

Energie ist ein NIS2-Anhang-I-Sektor mit hoher Kritikalität, sodass Stadtwerke und Versorger ab den Größenschwellen als wesentliche oder wichtige Einrichtung gelten. NIS2 ergänzt die bestehenden KRITIS-Pflichten und den IT-Sicherheitskatalog nach EnWG, der für Netzbetreiber bereits ein ISMS nach ISO 27001 verlangt. Ein zertifiziertes ISMS deckt alle drei Anforderungen gemeinsam ab.

NIS2-Betroffenheit dieser Branche prüfen

So läuft die Umsetzung mit CompliantDesk

  • Geltungsbereich über Netzleittechnik und Versorgungsprozesse definieren
  • OT-Systeme und Netzkomponenten im Asset-Register mit Schutzbedarf erfassen
  • Versorgungs- und OT-Risiken im Risiko-Register bewerten
  • Notfall- und Wiederanlaufpläne im BCM-Modul testen
  • Nachweise für NIS2, KRITIS und EnWG-Katalog als Evidenzen bündeln

Häufig gestellte Fragen

Sind Stadtwerke von NIS2 betroffen?

In der Regel ja. Energieversorgung ist ein Anhang-I-Sektor mit hoher Kritikalität; ab den Größenschwellen gelten Stadtwerke als wesentliche oder wichtige Einrichtung.

Verlangt der EnWG-Katalog ISO 27001?

Der IT-Sicherheitskatalog nach EnWG fordert von Netzbetreibern ein ISMS auf Basis von ISO/IEC 27001 mit branchenspezifischer Erweiterung. ISO 27001 ist damit die Pflichtgrundlage.

ISO 27001 für Energieversorger strukturiert angehen

CompliantDesk führt Sie vom Gap-Assessment über die Maßnahmen bis zur Statement of Applicability - mit einem gemeinsamen Kernmodell für ISO 27001, NIS2 und DSGVO.

Demo buchen ISO-27001-Katalog