Mit der Veröffentlichung des IT-Sicherheitskatalogs ist unmittelbar nach dem Inkrafttreten des IT-Sicherheitsgesetzes im Sommer zu rechnen. Dabei ist zu beachten, dass für Netzbetreiber keine sogenannte De-Minimis-Regelung existiert und somit alle Netzbetreiber unabhängig von ihrer Größe die Anforderungen des IT-Sicherheitskatalogs einhalten müssen.


Lediglich Kleinunternehmen, die weniger als zehn Mitarbeiter haben und deren Bilanzsumme zwei Millionen Euro nicht überschreitet, sollen von der Regelung ausgenommen sein.


ISMS wird gefordert unabhängig von der Größe des ENB

(Auszug aus Rechtsreferenten Dialog, Dez. 2014)
Energieversorger (hier: Netzbetreiber Strom und Gas) unabhängig ihrer Größe, ob privat oder kommunal, werden – entgegen einer häufig vorgefundenen Ansicht – mit den Änderungen im 3. RE-IT-SiG nicht aus der Pflicht zur Umsetzung von technischen und organisatorischen IT-Sicherheitsmaßnahmen genommen. Die Ausnahme aus dem zukünftigen IT-Sicherheitsgesetz dient der Klarstellung und der Vermeidung von Verunsicherung im Hinblick auf den konkreten gesetzlichen Anwendungsbereich. Aufgrund der Tatsache, dass es bereits mit dem IT-Sicherheitskatalog einen branchenspezifischen Sicherheitsstandard gibt (Freigabe erfolgt), war dieser Schritt nur logisch. Durch die Stärkung des BSI, ist mit dem neuen Gesetzesentwurf eher von einer Verschärfung der Regelungen auszugehen.