Branche · Energieversorger
DecisionOS für Energieversorger
Energieversorger operieren unter KRITIS (BSIG §8a), IT-SiG 2.0 mit Systemen zur Angriffserkennung (SzA), NIS2 und dem branchenspezifischen Sicherheitsstandard (z. B. § 11 Abs. 1a EnWG). Jede IT-Entscheidung — vom EDR über die Cloud-Auslagerung bis zur ICS/OT-Modernisierung — muss vor BSI-Nachweisen, BNetzA-Prüfungen und interner Revision bestehen. DecisionOS strukturiert genau diese Entscheidungen.
TL;DR
Energieversorger: KRITIS + IT-SiG 2.0 + NIS2 + branchenspezifische Sicherheit. Memo muss vor BSI und BNetzA bestehen.
Regulatorik im Überblick
Regulatorischer Kontext
§11 Abs. 1a EnWG plus BSIG §8a formen den Kernrahmen. Das IT-Sicherheitsgesetz 2.0 hat die Pflicht zum Einsatz von Systemen zur Angriffserkennung etabliert; die konkrete Ausgestaltung entscheidet jede Entscheidung über ein SzA oder eine ICS-Sicherheitslösung.
Mit der NIS2-Umsetzung über die BSIG-Novelle vergrößert sich der betroffene Kreis (insb. bei Wärme, Gas-Verteilern, Wasserversorgung) und die Sanktionen werden schärfer.
Der branchenspezifische Sicherheitsstandard (B3S / UP KRITIS) ist der Referenzrahmen, gegen den Sicherheitskonzepte und Entscheidungen geprüft werden.
Typische Entscheidungen
Dealbreaker (nicht verhandelbar)
SzA-tauglich für IT und OT
IT-SiG 2.0 verlangt Angriffserkennungssysteme über die kritische Dienstleistung. Reines Endpoint-Tooling ohne OT-Sicht reicht nicht.
Klare Trennung IT / OT
Vermischung hebelt die gesamte Sicherheitsarchitektur aus. Dealbreaker für jede Auslagerung.
Nachweisbarer Schutz gegen OT-spezifische Angriffe
ICS-Protokolle (Modbus, DNP3, IEC 60870) und entsprechende Threat-Modelle gehören ins Memo.
BSI-Nachweisfähigkeit nach §8a BSIG
Prüfzyklus alle zwei Jahre. Was nicht dokumentiert ist, gilt als nicht getan.
Typische Entscheidungen
Auswahl oder Wechsel eines SzA / MDR-Partners mit OT-Coverage.
Cloud-Strategie-Entscheidung für administrative IT, wobei OT bewusst ausgeschlossen bleibt.
Modernisierung zentraler Leitsystem-Infrastrukturen mit Sicherheits-Overlay.
Rahmenverträge für IT-Security-Dienstleistungen im Mehrjahreshorizont.
Wie DecisionOS fit ist
Dealbreaker-Logik bildet die harte IT/OT-Trennung und SzA-Pflichten sauber ab — ohne, dass einzelne Gewichtungen sie aufweichen könnten.
Die Stakeholder-Logik bindet Betriebsführung, IT-Sicherheit und Unternehmensführung ein — mit expliziter Signatur auf dem Memo.
Institutionelle Decision Memory hilft, die zwei-Jahres-KRITIS-Prüfzyklen mit nachvollziehbaren Entwicklungspfaden zu bedienen.
Hosting und Datenhoheit
DecisionOS läuft ausschließlich in der EU (Hetzner, Nürnberg). Für KRITIS-Betreiber ist das die Default-Erwartung. Ein dediziertes Deployment mit engerer operationaler Kontrolle ist möglich, falls der interne Sicherheitsstandard das verlangt.
FAQ
Deckt DecisionOS auch OT-Entscheidungen ab?
Ja, auf Entscheidungsebene. DecisionOS ist kein OT-Sicherheitstool, strukturiert aber OT-relevante Auslagerungs- und Modernisierungsentscheidungen genauso wie IT-Entscheidungen, mit expliziter IT/OT-Trennung im Memo.
Ist DecisionOS mit branchenspezifischen Sicherheitsstandards kompatibel?
Das Memo-Format ist so geformt, dass es gegen B3S-/UP-KRITIS-Anforderungen mappbar ist. Die konkrete Zuordnung zu Standards erfolgt beim Setup pro Kunde.
Wie passt DecisionOS zu bestehenden ISMS-Tools?
DecisionOS ersetzt kein ISMS-Tool. Es ergänzt sie: ISMS bildet kontinuierliche Risiken und Kontrollen ab, DecisionOS liefert das Memo pro materieller IT-Einzelentscheidung.