Im September 2025 wurde die Studie „Cybersicherheits-Zertifizierungen vernetzter Systeme in der Energiewirtschaft“ veröffentlicht. Die Deutsche Energie-Agentur (dena) hat sie gemeinsam mit Partnern erstellt – mit unserer Unterstützung bei Analyse, Methodik und der Erarbeitung von Handlungsempfehlungen.

Die Studie zeigt: Betreiber, Hersteller und Dienstleister müssen Cybersicherheitsmaßnahmen nachweisen – doch bestehende Verfahren wie ISO/IEC 27001, § 8a BSIG oder BSI-Technische Richtlinien greifen bislang nicht systematisch ineinander. Ergebnis: Doppelprüfungen, Lücken an Schnittstellen und Unsicherheiten für Unternehmen.

Ein Fallbeispiel macht dies deutlich: Ein Stadtwerk, das alte OT-Systeme mit neuen cloudbasierten IT-Strukturen kombiniert, stößt in heutigen Verfahren schnell an Grenzen. Nicht die Technik selbst, sondern fragmentierte Nachweiswege sind die größte Schwachstelle.

Wichtige Befunde:

• Drei parallele Zertifizierungssysteme ohne Verzahnung (§ 11 EnWG, § 8a BSIG, BSI-TR).
• Hybride Infrastrukturen (OT/IT) werden nur unzureichend berücksichtigt.
• Besonders kleine Versorger unterhalb der KRITIS-Schwellen sind überfordert.
• Fehlende Integration verhindert eine systemische Sicherheitsbewertung.

Zentrale Empfehlungen:

1. Aufbau einer modularen Prüfarchitektur, in dem Bausteine mehrfach nutzbar sind.
2. Prüfungen müssen Schnittstellen zwischen IT und OT explizit abdecken.
3. NIS2, CRA und KRITIS-Dachgesetz frühzeitig einbinden.
4. Sektorübergreifende Standards und Pilotprojekte fördern.

Mit dieser Veröffentlichung liegt erstmals eine wissenschaftlich fundierte Grundlage vor, die Fragmentierung sichtbar zu machen – und konkrete Wege aufzuzeigen. Unsere Unterstützung bei der Studie war ein wichtiger Beitrag, um gemeinsam mit der dena die Energiebranche bei einer der zentralen Zukunftsfragen zu stärken: Wie können Nachweisverfahren harmonisiert und Resilienz aufgebaut werden?

In den kommenden Monaten werden wir die zentralen Themen der Studie weiter vertiefen – von regulatorischen Rahmenbedingungen über hybride Infrastrukturen bis hin zu neuen Prüfansätzen.