Live · DACH ops
03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents
← Alle Beiträge
KRITIS · Dachgesetz · NIS-2

KRITIS Bundesnetzagentur: Aufsicht und Nachweispflichten

KRITIS Bundesnetzagentur: Sektoraufsicht für Energie und TK, Nachweis nach §11 EnWG, §165 TKG und Dachgesetz. Operative Anleitung für Sicherheitsleiter.

Dr. Raphael Nagel (LL.M.) & Marcus Köhnlein
Investor & Autor · Founding Partner
Auf LinkedIn folgen

Die Bundesnetzagentur (BNetzA) ist für Sicherheitsleiter in Energie und Telekommunikation die wichtigste Aufsichtsbehörde neben dem BSI. Mit dem KRITIS-Dachgesetz wächst ihr Prüfumfang erheblich. Dieser Text trennt die Mandate, listet die Pflichten und beschreibt einen 14-Wochen-Plan zur Konformität.

KRITIS Bundesnetzagentur: Zuständigkeit und Aufsichtsmandat

Die BNetzA ist sektorale Aufsichtsbehörde für Energie, Telekommunikation, Post und Eisenbahn. Die Schwellenwerte ergeben sich aus der BSI-Kritisverordnung, die operative Pflicht aus EnWG, TKG und Postgesetz. Geprüft werden Nachweise nach §11 EnWG für Energie und §165 TKG für Telekommunikation. Diese Prüfung läuft parallel zur Meldepflicht beim BSI nach §8b BSIG, sie ersetzt sie nicht.

Mit dem KRITIS-Dachgesetz übernimmt die BNetzA zusätzlich die Prüfung der physischen Resilienz für Strom- und Gasbetreiber. Sanktionen: Bußgelder bis 10 Mio. EUR oder 2 Prozent des Konzernumsatzes, abhängig vom Sektor und vom Tatbestand (§14 KRITIS-Dachgesetz-Entwurf, BT-Drs. 20/9262). Die Berichtslinie ist zweigeteilt. BNetzA prüft sektorale Vorgaben nach EnWG und TKG, das BBK prüft den physischen Schutz nach Dachgesetz. Sicherheitsleiter, die diese Trennung nicht sauber aufsetzen, doppeln Berichte oder verlieren Fristen.

Wer den Gesamtrahmen sucht, beginnt mit der Übersicht KRITIS-Pflichten.

Welche Sektoren die BNetzA direkt reguliert

Im Energiesektor sind dies Übertragungsnetzbetreiber ohne Schwellenwert, Verteilnetze ab 100.000 angeschlossenen Kunden (Anlage 1 BSI-KritisV), Gasfernleitungen und Speicheranlagen oberhalb der KritisV-Schwellen. Im TK-Sektor fallen öffentliche TK-Netze ab dem Schwellenwert nach §109 TKG darunter sowie Rechenzentren mit Carrier-Funktion. Post und Eisenbahn umfassen Sortierzentren, Stellwerke und sicherheitsrelevante Schaltanlagen.

Die Schwellenwerte werden alle zwei Jahre überprüft. Der Trend ist eindeutig: sie sinken. Betreiber, die heute knapp unter der Grenze liegen, planen 2026 mit dem Kritis-Status. Ab 2026 müssen zudem Betreiber unterhalb des KritisV-Schwellenwerts nach Dachgesetz einen Grundschutz nachweisen, sobald sie als "besonders wichtige Einrichtungen" eingestuft werden.

Details pro Sektor: Sektoraufschlüsselung KRITIS.

Nachweispflichten nach §11 EnWG und §165 TKG

Der Nachweis ist alle zwei Jahre fällig. Er wird durch eine akkreditierte Prüfstelle erstellt und bei der BNetzA eingereicht. Inhalt: Stand der Technik bei physischer Sicherung, Zutrittskontrolle, Perimeterüberwachung, Detektion und dokumentierte Reaktionsketten.

Der Sicherheitskatalog der BNetzA verlangt explizit detektierende Maßnahmen. Ein Zaun ist abschreckend, kein Nachweis. Eine fest installierte Kamera deckt eine Sichtachse, keine 360-Grad-Lage. Die BNetzA verlangt nachweisbare Detektion über die gesamte Perimeterfläche, mit Zeitstempel, Sensorlog und Eskalationspfad.

Mängel führen zu einer Auflage mit 6-Monats-Frist. Wird die Frist gerissen, folgen Bußgeld und Veröffentlichung. Die Veröffentlichung trifft börsennotierte Energieversorger härter als das Bußgeld. Die BNetzA akzeptiert robotische Patrouillen als Stand-der-Technik-Nachweis, sofern die 24/7-Abdeckung vollständig dokumentiert ist und in die Leitstelle integriert wurde.

Physische Resilienz: was die BNetzA seit dem Dachgesetz prüft

Fünf Punkte stehen seit Inkrafttreten des Dachgesetzes im Fokus der Vor-Ort-Prüfungen:

  1. Perimeterintegrität. Lückenlose Detektion entlang der gesamten Umzäunung. Reine Kamera-Sichtachsen reichen nicht, da tote Winkel entstehen.
  2. Reaktionszeit. Dokumentierte Interventionskette unter 15 Minuten ab Erstalarm bis Eintreffen einer reagierenden Streife oder Polizei (BNetzA-Sicherheitskatalog Strom/Gas, Stand 2023).
  3. Drohnenabwehr. Erkennung im Luftraum bis 500 m Radius für Umspannwerke, Gasdruckregelanlagen und KRITIS-Rechenzentren (BNetzA-Sicherheitskatalog Strom/Gas, Stand 2023).
  4. Redundanz. Zwei unabhängige Detektionsschichten an kritischen Anlagenteilen, etwa Trafohalle, Schaltfeld, Kühlung.
  5. Übungsnachweis. Jährlicher Stresstest mit dokumentierter Auswertung und Korrekturschleife.

Diese Anforderungen sind operativ. Eine Powerpoint-Sicherheitsstrategie hält der Prüfung nicht stand. Die Prüfer wollen Sensorlogs, Alarmketten und Übungsprotokolle sehen.

Robotische Patrouille als Nachweisbaustein

Robotik ist kein Universalmittel. Sie ist der detektierende Baustein, den §11 EnWG fordert, und sie liefert das Logmaterial, das die akkreditierte Prüfstelle verlangt.

QR-2 leistet 24/7-Thermalpatrouille mit Personenerkennung bis 80 m bei Nacht (Quarero Robotics Technisches Datenblatt QR-2, 2025). Jede Patrouille erzeugt eine revisionsfeste Logdatei mit Zeitstempel, GPS-Track, Thermalauffälligkeiten und Eskalationsereignissen. QR-3 ergänzt LiDAR-Volumetrie und Drohnendetektion und erfüllt die Anforderungen für Umspannwerke und KRITIS-Rechenzentren nach Dachgesetz. Details unter QR-3 für Energie und Rechenzentren.

Die Robotik ersetzt nicht die Leitstelle. Sie liefert das detektierende Element. Alarme laufen in die bestehende Leitstelle, die Reaktion kommt von der Streife oder der Polizei. Pilotphase 4 Wochen, Vollintegration in eine bestehende Leitstelle innerhalb 48 Stunden Lieferzeit.

Wer die Logdateien einmal gesehen hat, versteht den Unterschied: ein Prüfer hakt nicht Folien ab, er liest Sensordaten.

Wirtschaftlichkeit: BNetzA-Compliance ohne CapEx

Ein klassischer 24/7-Wachposten kostet 15.000 bis 25.000 EUR pro Monat pro Position (BDSW Branchenbericht 2024). Drei Schichten, Urlaub, Krankheit, Tarifsteigerungen nach Manteltarifvertrag inklusive.

QR-2 im RaaS-Modell liegt bei 3.500 EUR pro Monat (Quarero Robotics Preisliste RaaS, Stand Q1 2026). Keine Investition, keine Personalbindung, kein §34a-Engpass. Die Mindestlaufzeit von 24 Monaten deckt exakt einen Nachweiszyklus der BNetzA ab. Zusätzliche Einheiten lassen sich innerhalb 48 Stunden für Audit-Vorbereitung oder Krisenlagen stationieren.

Im regulierten Energiemarkt ist das OpEx-Modell direkt in die Netzentgelte einrechenbar. Eine CapEx-Investition erfordert dagegen mehrjährige Abschreibung. Vergleichszahlen: Wachschutz-Kosten im Vergleich. Modellbeschreibung: Robotics-as-a-Service Modell.

Was nicht funktioniert: Robotik allein ohne Leitstelle. Was funktioniert: Robotik als Detektionsschicht, integriert in eine bestehende Leitstelle mit klarer Eskalationskette zur Polizei oder zum Werkschutz.

Schnittstelle BNetzA, BSI, BBK koordinieren

Die drei Behörden haben getrennte Mandate, die in einem Vorfall zusammenlaufen.

  • BSI verantwortet die Cyber-Meldung nach §8b BSIG. Frist: unverzüglich bei erheblichen Störungen.
  • BNetzA prüft die sektoralen Vorgaben nach EnWG und TKG, inklusive physischer Sicherung gemäß Sicherheitskatalog.
  • BBK koordiniert die physische Resilienz nach Dachgesetz und führt das KRITIS-Betreiberregister.

Ein Einbruch in ein Umspannwerk mit Manipulation der Steuerungstechnik löst drei parallele Meldungen aus. Ohne einheitliche Vorfalldokumentation entstehen Widersprüche, die in der Aufsichtsprüfung negativ auffallen.

Die NIS-2-Richtlinie verpflichtet Mitgliedstaaten zu sektoraler Aufsicht mit Bußgeldern bis 10 Mio. EUR oder 2 Prozent Konzernumsatz (Art. 34 NIS-2-Richtlinie 2022/2555). Die NIS-2-Umsetzung verschiebt Schwellenwerte und erweitert den Adressatenkreis erheblich. Der Vorstand haftet persönlich für unterlassene Meldungen (§13 NIS2UmsuCG-Referentenentwurf, BMI, Stand März 2025). Mehr dazu unter NIS-2 und Vorstandshaftung.

Praxisempfehlung: ein integriertes Incident-Schema, das alle drei Behörden bedient. Eine Vorfallklasse, drei Berichtsvorlagen, eine Kontaktmatrix. Die Registrierung beim BBK ist die organisatorische Grundlage. Schritt-für-Schritt-Anleitung: BBK-Registrierung Schritt für Schritt.

14-Wochen-Plan zur BNetzA-Konformität

Der folgende Plan ist auf einen vollen Nachweiszyklus ausgelegt und in Energiebetrieben mehrfach validiert.

Woche 1 bis 2: Gap-Analyse. Abgleich des Ist-Zustands gegen den aktuellen Sicherheitskatalog der BNetzA. Dokumentation aller Detektionslücken, fehlender Sensorlogs und nicht dokumentierter Reaktionsketten. Ergebnis: Mängelliste mit Priorität A, B, C.

Woche 3 bis 4: Maßnahmenauswahl. Auswahl detektierender Maßnahmen für die A-Mängel. Pilotvereinbarung Robotik mit definierten Akzeptanzkriterien: Patrouillenfrequenz, Personenerkennung bei Nacht, Loggingformat, Schnittstelle zur Leitstelle.

Woche 5 bis 8: Stationierung. Lieferung QR-2 oder QR-3, Anbindung an die Leitstelle, Schulung der Disponenten, Test der Eskalationskette mit Polizei und Werkschutz. Dokumentation jeder Patrouille von Tag eins, da diese Logs Teil des Nachweises werden.

Woche 9 bis 12: Stresstest. Interne Auditierung gegen den Sicherheitskatalog, simulierter Eindringversuch, simulierter Drohnenüberflug, dokumentierte Reaktionszeit. Korrekturschleife für gefundene Schwächen, etwa Sichtachsenlücken oder Verzögerungen in der Alarmkette.

Woche 13 bis 14: Prüfberichtsabnahme. Begehung durch die akkreditierte Prüfstelle, Abnahme der Detektionsschicht, Erstellung des Prüfberichts, fristgerechte Einreichung bei der BNetzA.

Wer diesen Plan beginnt, beginnt mit der Gap-Analyse. Die Hardware löst nur die Probleme, die dort präzise beschrieben wurden. Für ein Erstgespräch zur Gap-Analyse: direkte Terminanfrage.

Übersetzungen

Mehr aus diesem Cluster

Call now+49 711 656 267 63Free quote · 24 hCalculate price →