[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"norm-gii-enwg-5c":3},{"law":4,"norm_id":13,"norm_key":14,"slug":15,"title":16,"chapter":17,"content":18,"enriched_content":19,"hierarchy":20,"neighbors_before":22,"neighbors_after":35,"citing_decisions":48,"is_thin":49},{"abbreviation":5,"title":6,"source_type":7,"jurisdiction":8,"document_kind":9,"language":8,"attribution":10,"version_date":11,"source_url":12},"enwg","Gesetz über die Elektrizitäts- und Gasversorgung","gii","de","statute","Quelle: Gesetze im Internet (www.gesetze-im-internet.de), gemeinfrei gem. § 5 UrhG","2005-07-07","https:\u002F\u002Fwww.gesetze-im-internet.de\u002Fenwg_2005\u002Fxml.zip",1221782,"§ 5c","5c","IT-Sicherheit im Anlagen- und im Netzbetrieb, Festlegungskompetenz","Allgemeine Vorschriften","(1) Die folgenden Betreiber haben für die genannten Systeme einen angemessenen Schutz gegen Bedrohungen zu gewährleisten: 1.der Betreiber eines Energieversorgungsnetzes für Telekommunikationssysteme und für elektronische Datenverarbeitungssysteme, die für den sicheren Betrieb des Energieversorgungsnetzes notwendig sind,\n2.der Betreiber einer Energieanlage, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 des BSI-Gesetzes ist und dessen Energieanlage an ein Energieversorgungsnetz angeschlossen ist, für Telekommunikationssysteme sowie für elektronische Datenverarbeitungssysteme, die für einen sicheren Betrieb der Energieanlage notwendig sind,\n3.der Betreiber eines digitalen Energiedienstes, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 des BSI-Gesetzes ist und der den digitalen Energiedienst an einer Energieanlage ausübt, die an ein Energieversorgungsnetz angeschlossen ist, für Telekommunikationssysteme sowie für elektronische Datenverarbeitungssysteme, die für einen sicheren Betrieb der Anlage notwendig sind.\nDer angemessene Schutz nach Satz 1 ist bereits bei der Beschaffung von Anlagengütern und Dienstleistungen sicherzustellen.\n(2) Die Anforderungen an den angemessenen Schutz werden von der Bundesnetzagentur im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik in einem Katalog von Sicherheitsanforderungen (IT-Sicherheitskatalog) durch Festlegung nach § 29 Absatz 1 bestimmt.\nDie Bundesnetzagentur kann die Anforderungen an einen angemessenen Schutz eines Energieversorgungsnetzes, einer Energieanlage oder eines Energiedienstes auch jeweils in einem gesonderten IT-Sicherheitskatalog durch Festlegung nach § 29 Absatz 1 bestimmen.\nDie Bundesnetzagentur beteiligt jeweils die Betreiber nach Absatz 1 Satz 1 Nummer 1 bis 3 und deren Branchenverbände entsprechend ihrer Betroffenheit.\nFür Telekommunikationssysteme sowie für elektronische Datenverarbeitungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes sind ergänzend für die Erarbeitung des IT-Sicherheitskatalogs die für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder zu beteiligen.\nVorgaben auf Grund des Atomgesetzes haben Vorrang vor den Anforderungen des IT-Sicherheitskatalogs.\nDie Bundesnetzagentur überprüft den IT-Sicherheitskatalog alle zwei Jahre und aktualisiert ihn bei Bedarf.\nMit der Einhaltung des IT-Sicherheitskatalogs durch den Betreiber nach Absatz 1 Satz 1 Nummer 1 bis 3 gilt der angemessene Schutz als eingehalten.\n(3) Der IT-Sicherheitskatalog soll ein Sicherheitsniveau der informationstechnischen Systeme, Komponenten und Prozesse gewährleisten, das dem bestehenden Risiko angemessen ist.\nDer IT-Sicherheitskatalog soll unter Berücksichtigung der einschlägigen europäischen Normen oder internationalen Normen, der Einhaltung des Standes der Technik sowie der Umsetzungskosten erstellt werden.\nZur Wahrung der Angemessenheit der Anforderungen des jeweiligen IT-Sicherheitskatalogs sind bei der Erstellung folgende Faktoren zu berücksichtigen: 1.das Ausmaß der Risikoexposition,\n2.die Größe des Betreibers,\n3.die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie\n4.die gesellschaftlichen und wirtschaftlichen Auswirkungen.\n(4) Der IT-Sicherheitskatalog hat mindestens Vorgaben zu enthalten für: 1.Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationstechnik,\n2.die Bewältigung von Sicherheitsvorfällen,\n3.die Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und das Krisenmanagement,\n4.die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,\n5.Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,\n6.Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit der Informationstechnik,\n7.grundlegende Verfahren im Bereich der Cyberhygiene und für Schulungen im Bereich der Sicherheit der Informationstechnik,\n8.Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,\n9.die Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen,\n10.die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung,\n11.den Einsatz von Systemen zur Angriffserkennung nach § 2 Nummer 41 des BSI-Gesetzes,\n12.den Einsatz eines Elements oder einer Gruppe von Elementen eines Netz- oder Informationssystems (IKT-Produkt), eines Dienstes, der vollständig oder überwiegend aus der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht (IKT-Dienst), und jeglicher Tätigkeiten, mit denen ein IKT-Produkt oder ein IKT-Dienst konzipiert, entwickelt, bereitgestellt oder gepflegt werden soll (IKT-Prozess), mit Cybersicherheitszertifizierung gemäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019\u002F881.\n(5) Die Bundesnetzagentur kann in dem IT-Sicherheitskatalog 1.nähere Bestimmungen treffen zu Format, Inhalt und Gestaltung der nach § 5d Absatz 1 Satz 1 erforderlichen Dokumentation über die Einhaltung der Anforderungen des IT-Sicherheitskatalogs,\n2.nähere Bestimmungen zur Behebung von Sicherheitsmängeln sowie\n3.Regelungen festlegen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen.\n(6) Die Bundesnetzagentur legt bis zum Ablauf des 6.\nJanuar 2026 im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Festlegung nach § 29 Absatz 1 in einem Katalog für den Betrieb von Energieversorgungsnetzen und Energieanlagen fest, 1.welche Komponenten kritische Komponenten nach § 2 Nummer 23 Buchstabe c Doppelbuchstabe aa des BSI-Gesetzes sind oder\n2.welche Funktionen kritisch bestimmte Funktionen nach § 2 Nummer 23 Buchstabe c Doppelbuchstabe bb des BSI-Gesetzes sind.\nDer Betreiber nach Absatz 1 Satz 1 Nummer 1 und 2, der zugleich eine kritische Anlage nach § 2 Nummer 22 des BSI-Gesetzes betreibt, hat die Vorgaben des Katalogs spätestens sechs Monate nach dessen in der Festlegung nach § 29 Absatz 1 bestimmten Inkrafttretens zu erfüllen, es sei denn, in dem Katalog ist eine davon abweichende Umsetzungsfrist festgelegt worden.\nDie Befugnis der Bundesnetzagentur nach Satz 1 besteht bis zum Erlass einer Rechtsverordnung nach § 56 Absatz 7 des BSI-Gesetzes für den Sektor Energie fort.\nEine von der Bundesnetzagentur auf der Grundlage von Satz 1 oder auf der Grundlage von § 11 Absatz 1a Satz 2 des Energiewirtschaftsgesetzes in der am 5.\nDezember 2025 geltenden Fassung erlassene Allgemeinverfügung ist mit dem Inkrafttreten einer Rechtsverordnung nach § 56 Absatz 7 des BSI-Gesetzes für Energieversorgungsnetze und Energieanlagen aufzuheben.","ENWG - Allgemeine Vorschriften - § 5c IT-Sicherheit im Anlagen- und im Netzbetrieb, Festlegungskompetenz [1\u002F2]\n\n(1) Die folgenden Betreiber haben für die genannten Systeme einen angemessenen Schutz gegen Bedrohungen zu gewährleisten: 1.der Betreiber eines Energieversorgungsnetzes für Telekommunikationssysteme und für elektronische Datenverarbeitungssysteme, die für den sicheren Betrieb des Energieversorgungsnetzes notwendig sind,\n2.der Betreiber einer Energieanlage, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 des BSI-Gesetzes ist und dessen Energieanlage an ein Energieversorgungsnetz angeschlossen ist, für Telekommunikationssysteme sowie für elektronische Datenverarbeitungssysteme, die für einen sicheren Betrieb der Energieanlage notwendig sind,\n3.der Betreiber eines digitalen Energiedienstes, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 des BSI-Gesetzes ist und der den digitalen Energiedienst an einer Energieanlage ausübt, die an ein Energieversorgungsnetz angeschlossen ist, für Telekommunikationssysteme sowie für elektronische Datenverarbeitungssysteme, die für einen sicheren Betrieb der Anlage notwendig sind.\nDer angemessene Schutz nach Satz 1 ist bereits bei der Beschaffung von Anlagengütern und Dienstleistungen sicherzustellen.\n(2) Die Anforderungen an den angemessenen Schutz werden von der Bundesnetzagentur im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik in einem Katalog von Sicherheitsanforderungen (IT-Sicherheitskatalog) durch Festlegung nach § 29 Absatz 1 bestimmt.\nDie Bundesnetzagentur kann die Anforderungen an einen angemessenen Schutz eines Energieversorgungsnetzes, einer Energieanlage oder eines Energiedienstes auch jeweils in einem gesonderten IT-Sicherheitskatalog durch Festlegung nach § 29 Absatz 1 bestimmen.\nDie Bundesnetzagentur beteiligt jeweils die Betreiber nach Absatz 1 Satz 1 Nummer 1 bis 3 und deren Branchenverbände entsprechend ihrer Betroffenheit.\nFür Telekommunikationssysteme sowie für elektronische Datenverarbeitungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes sind ergänzend für die Erarbeitung des IT-Sicherheitskatalogs die für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder zu beteiligen.\nVorgaben auf Grund des Atomgesetzes haben Vorrang vor den Anforderungen des IT-Sicherheitskatalogs.\nDie Bundesnetzagentur überprüft den IT-Sicherheitskatalog alle zwei Jahre und aktualisiert ihn bei Bedarf.\nMit der Einhaltung des IT-Sicherheitskatalogs durch den Betreiber nach Absatz 1 Satz 1 Nummer 1 bis 3 gilt der angemessene Schutz als eingehalten.\n(3) Der IT-Sicherheitskatalog soll ein Sicherheitsniveau der informationstechnischen Systeme, Komponenten und Prozesse gewährleisten, das dem bestehenden Risiko angemessen ist.\nDer IT-Sicherheitskatalog soll unter Berücksichtigung der einschlägigen europäischen Normen oder internationalen Normen, der Einhaltung des Standes der Technik sowie der Umsetzungskosten erstellt werden.\nZur Wahrung der Angemessenheit der Anforderungen des jeweiligen IT-Sicherheitskatalogs sind bei der Erstellung folgende Faktoren zu berücksichtigen: 1.das Ausmaß der Risikoexposition,\n2.die Größe des Betreibers,\n3.die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie\n4.die gesellschaftlichen und wirtschaftlichen Auswirkungen.\n(4) Der IT-Sicherheitskatalog hat mindestens Vorgaben zu enthalten für: 1.Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationstechnik,\n2.die Bewältigung von Sicherheitsvorfällen,\n3.die Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und das Krisenmanagement,\n4.die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,\n5.Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,\n6.Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit der Informationstechnik,\n7.grundlegende Verfahren im Bereich der Cyberhygiene und für Schulungen im Bereich der Sicherheit der Informationstechnik,\n8.Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,\n9.die Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen,\n10.die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung,\n11.den Einsatz von Systemen zur Angriffserkennung nach § 2 Nummer 41 des BSI-Gesetzes,",{"teil":21},"Teil 1",[23,27,31],{"norm_key":24,"title":25,"slug":26},"§ 5b","Anzeige von Verdachtsfällen, Verschwiegenheitspflichten","5b",{"norm_key":28,"title":29,"slug":30},"§ 5a","Speicherungspflichten, Veröffentlichung von Daten","5a",{"norm_key":32,"title":33,"slug":34},"§ 5","Anzeige der Energiebelieferung von Haushaltskunden; Sicherstellung der wirtschaftlichen Leistungsfähigkeit","5",[36,40,44],{"norm_key":37,"title":38,"slug":39},"§ 5d","Dokumentations-, Melde-, Registrierungspflicht","5d",{"norm_key":41,"title":42,"slug":43},"§ 5e","Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen","5e",{"norm_key":45,"title":46,"slug":47},"§ 6","Anwendungsbereich und Ziel der Entflechtung","6",[],false]