Die Schweizer Energiebranche befindet sich mitten in der digitalen Transformation: Stromnetze und Gasinfrastruktur werden immer stärker vernetzt und digitalisiert. Moderne Smart Grids, Fernwartungssysteme und die Verknüpfung von IT- und OT-Systemen – die sogenannte IT-OT-Konvergenz – schaffen zwar Effizienzgewinne, erhöhen aber gleichzeitig die Anfälligkeit gegenüber Cyberangriffen.
Die Anzahl an gemeldeten Cyberangriffen steigt stetig, das Risiko für die Schweizer Energiewirtschaft nimmt also zu. Diese Entwicklungen wurden bereits frühzeitig erkannt und es sind Massnahmen auf Bundesebene, darunter die Entwicklung von Minimalstandards und Meldepflichten, umgesetzt worden.
Bestimmung von Minimalstandards
Ursprünglich war der IKT-Minimalstandard eine Empfehlung und konnte freiwillig angewendet werden. Inzwischen ist die Regelung verschärft worden: Für Betreiber kritischer Energieinfrastrukturen ist die Umsetzung verbindlich vorgeschrieben. Die gesetzlichen Grundlagen dafür sind in den letzten Jahren geschaffen worden:
- Für die Stromversorgung ist seit dem 1. Juli 2024 der IKT-Minimalstandard für Stromnetzbetreiber obligatorisch. Grundlage ist eine Revision der Stromversorgungsverordnung (StromVV), die den Standard und zugehörige Schutzstufen verbindlich vorschreibt.
- Für die Gasversorgung gilt die Verpflichtung seit dem 1. Juli 2025, basierend auf dem revidierten Gasversorgungsgesetz (GasVG). Seitens des Bundesrates wird der IKT-Minimalstandard explizit als Mindestanforderung definiert, um die Gasnetze vor Cyberrisiken zu schützen.
Diese Entwicklung – von freiwilligen Empfehlungen hin zu verbindlichen Massnahmen – unterstreicht die kritische Bedeutung der Energieversorgung. Die Regulierung schafft Klarheit, dass grundlegende Cybersecurity-Massnahmen nicht mehr fakultativ sind, sondern ins Pflichtenheft jedes Versorgers gehören.
Meldepflicht beim Bundesamt für Cybersicherheit
Das 2024 aus dem Nationalen Zentrum für Cybersicherheit (NCSC) entstandene Bundesamt für Cybersicherheit (BACS) ist heute die zentrale Bundesstelle für sämtliche Belange der Cyberabwehr und -resilienz. Es ist im Eidgenössischen Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) beheimatet.
Das BACS übernimmt dabei zentrale Aufgaben als nationale Meldestelle für Cybersicherheitsvorfälle, als Analyse- und Frühwarnstelle sowie als die Behörde, die für Regulatorik und Prävention – einschliesslich der Minimalstandards für Informations- und Kommunikationstechnologien (IKT) – zuständig ist.
Eine entscheidende Neuerung ist die am 1. April 2025 durch den Bundesrat in Kraft gesetzte Meldepflicht für Cybersicherheitsvorfälle für kritische Infrastrukturen. Seither sind Betreiber kritischer Infrastrukturen – also neben Energie z.B. auch Finanzwesen, Gesundheit, Telekom, Transport, etc. – verpflichtet, erhebliche Cyberangriffe binnen 24 Stunden nach der Feststellung an das BACS zu melden.
Die ab Einführung geltende Übergangsphase ist zum 1. Oktober 2025 beendet worden und Verstösse können nun Sanktionen nach sich ziehen. Betreiber kritischer Infrastrukturen, die ihrer Meldepflicht nicht nachkommen, riskieren eine Strafe von bis zu CHF 100'000.
Cybersicherheit als Herausforderung für Energieunternehmen
Die neuen Sicherheitsstandards und Anforderungen stellen Energieunternehmen vor erhebliche Herausforderungen. Die Implementierung eines umfassenden Cybersicherheitsprogramms greift in den organisatorischen Aufbau sowie in Prozesse ein, benötigt Ressourcen und erfordert Fachwissen. Mehrheitlich fehlt es in den Unternehmen an der entsprechenden Fachkompetenz, wodurch sie an ihre Grenzen stossen. Nur wenige Personen in neu besetzten Sicherheitsfunktionen verfügen über die erforderlichen Fähigkeiten oder Erfahrungen, um die notwendigen technischen und organisatorischen Massnahmen zur Erfüllung der regulatorischen Anforderungen zu konzipieren und umzusetzen.
Kompetenz Informationssicherheitsmanagement und Self-Assessments
Die stetig steigenden Anforderungen an die Cybersicherheit erfordern nicht nur Technologie und Prozesse, sondern vor allem kompetente Fachleute, die diese Aufgaben managen können. Insbesondere IT-Führungspersonen, Informationssicherheitsbeauftrage und Sicherheitsverantwortliche stehen vor der Aufgabe, ihr Wissen ständig auf dem neuesten Stand zu halten und eine breite Expertise von technischen Details bis hin zu Konformitätsthemen abzudecken.
International anerkannte Zertifizierungen dienen als Qualitätssiegel und belegen sowohl fachliche Kompetenz als auch die Fähigkeit, wirksame Managementsysteme für Informationssicherheit zu konzipieren und umzusetzen.
Jedes Unternehmen sollte mindestens eine Person in der Informationssicherheit beschäftigen, die auf das Thema geschult wurde und entsprechend zertifiziert ist.
Kompetenzentwicklung und Zertifizierungen für Sicherheitsverantwortliche
In der Schweizer Energiebranche bedeutet der Aufbau von Cybersecurity-Kompetenz oft, Mitarbeitende aus der klassischen IT oder OT in erweiterte Rollen zu bringen. Dabei bieten solche Zertifizierungen einen strukturierten Lernpfad. Vorbereitungskurse vermitteln Best Practices, schaffen ein gemeinsames Vokabular der Fachleute und sind branchenübergreifend anwendbar. Zertifizierungen belegen das Vorhandensein von qualifiziertem Cybersecurity-Fachpersonal im Unternehmen gegenüber Aufsichtsbehörden und Geschäftspartnern.
Der Verband Schweizerischer Elektrizitätsunternehmen (VSE) bietet in enger Zusammenarbeit mit der Zühlke Engineering Academy Kurse zum Thema Informationssicherheitsmanagement und Informationssicherheitsaudits an.
