Tools:
Update via:
§ 5c - Energiewirtschaftsgesetz (EnWG)
Artikel 1 G. v. 07.07.2005 BGBl. I S. 1970, 3621; zuletzt geändert durch Artikel 5 G. v. 29.03.2026 BGBl. 2026 I Nr. 84
Geltung ab 13.07.2005; FNA: 752-6 Elektrizität und Gas
| |
Geltung ab 13.07.2005; FNA: 752-6 Elektrizität und Gas
| |
§ 5c IT-Sicherheit im Anlagen- und im Netzbetrieb, Festlegungskompetenz
(1) 1Die folgenden Betreiber haben für die genannten Systeme einen angemessenen Schutz gegen Bedrohungen zu gewährleisten:
- 1.
- der Betreiber eines Energieversorgungsnetzes für Telekommunikationssysteme und für elektronische Datenverarbeitungssysteme, die für den sicheren Betrieb des Energieversorgungsnetzes notwendig sind,
- 2.
- der Betreiber einer Energieanlage, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 des BSI-Gesetzes ist und dessen Energieanlage an ein Energieversorgungsnetz angeschlossen ist, für Telekommunikationssysteme sowie für elektronische Datenverarbeitungssysteme, die für einen sicheren Betrieb der Energieanlage notwendig sind,
- 3.
- der Betreiber eines digitalen Energiedienstes, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 des BSI-Gesetzes ist und der den digitalen Energiedienst an einer Energieanlage ausübt, die an ein Energieversorgungsnetz angeschlossen ist, für Telekommunikationssysteme sowie für elektronische Datenverarbeitungssysteme, die für einen sicheren Betrieb der Anlage notwendig sind.
(2) 1Die Anforderungen an den angemessenen Schutz werden von der Bundesnetzagentur im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik in einem Katalog von Sicherheitsanforderungen (IT-Sicherheitskatalog) durch Festlegung nach § 29 Absatz 1 bestimmt. 2Die Bundesnetzagentur kann die Anforderungen an einen angemessenen Schutz eines Energieversorgungsnetzes, einer Energieanlage oder eines Energiedienstes auch jeweils in einem gesonderten IT-Sicherheitskatalog durch Festlegung nach § 29 Absatz 1 bestimmen. 3Die Bundesnetzagentur beteiligt jeweils die Betreiber nach Absatz 1 Satz 1 Nummer 1 bis 3 und deren Branchenverbände entsprechend ihrer Betroffenheit. 4Für Telekommunikationssysteme sowie für elektronische Datenverarbeitungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes sind ergänzend für die Erarbeitung des IT-Sicherheitskatalogs die für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder zu beteiligen. 5Vorgaben auf Grund des Atomgesetzes haben Vorrang vor den Anforderungen des IT-Sicherheitskatalogs. 6Die Bundesnetzagentur überprüft den IT-Sicherheitskatalog alle zwei Jahre und aktualisiert ihn bei Bedarf. 7Mit der Einhaltung des IT-Sicherheitskatalogs durch den Betreiber nach Absatz 1 Satz 1 Nummer 1 bis 3 gilt der angemessene Schutz als eingehalten.
(3) 1Der IT-Sicherheitskatalog soll ein Sicherheitsniveau der informationstechnischen Systeme, Komponenten und Prozesse gewährleisten, das dem bestehenden Risiko angemessen ist. 2Der IT-Sicherheitskatalog soll unter Berücksichtigung der einschlägigen europäischen Normen oder internationalen Normen, der Einhaltung des Standes der Technik sowie der Umsetzungskosten erstellt werden. 3Zur Wahrung der Angemessenheit der Anforderungen des jeweiligen IT-Sicherheitskatalogs sind bei der Erstellung folgende Faktoren zu berücksichtigen:
- 1.
- das Ausmaß der Risikoexposition,
- 2.
- die Größe des Betreibers,
- 3.
- die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie
- 4.
- die gesellschaftlichen und wirtschaftlichen Auswirkungen.
(4) Der IT-Sicherheitskatalog hat mindestens Vorgaben zu enthalten für:
- 1.
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationstechnik,
- 2.
- die Bewältigung von Sicherheitsvorfällen,
- 3.
- die Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und das Krisenmanagement,
- 4.
- die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
- 5.
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,
- 6.
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit der Informationstechnik,
- 7.
- grundlegende Verfahren im Bereich der Cyberhygiene und für Schulungen im Bereich der Sicherheit der Informationstechnik,
- 8.
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- 9.
- die Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen,
- 10.
- die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung,
- 11.
- den Einsatz von Systemen zur Angriffserkennung nach § 2 Nummer 41 des BSI-Gesetzes,
- 12.
- den Einsatz eines Elements oder einer Gruppe von Elementen eines Netz- oder Informationssystems (IKT-Produkt), eines Dienstes, der vollständig oder überwiegend aus der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht (IKT-Dienst), und jeglicher Tätigkeiten, mit denen ein IKT-Produkt oder ein IKT-Dienst konzipiert, entwickelt, bereitgestellt oder gepflegt werden soll (IKT-Prozess), mit Cybersicherheitszertifizierung gemäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881.
(5) Die Bundesnetzagentur kann in dem IT-Sicherheitskatalog
- 1.
- nähere Bestimmungen treffen zu Format, Inhalt und Gestaltung der nach § 5d Absatz 1 Satz 1 erforderlichen Dokumentation über die Einhaltung der Anforderungen des IT-Sicherheitskatalogs,
- 2.
- nähere Bestimmungen zur Behebung von Sicherheitsmängeln sowie
- 3.
- Regelungen festlegen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen.
(6) 1Die Bundesnetzagentur legt bis zum Ablauf des 6. Januar 2026 im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Festlegung nach § 29 Absatz 1 in einem Katalog für den Betrieb von Energieversorgungsnetzen und Energieanlagen fest,
- 1.
- welche Komponenten kritische Komponenten nach § 2 Nummer 23 Buchstabe c Doppelbuchstabe aa des BSI-Gesetzes sind oder
- 2.
- welche Funktionen kritisch bestimmte Funktionen nach § 2 Nummer 23 Buchstabe c Doppelbuchstabe bb des BSI-Gesetzes sind.
Text in der Fassung des Artikels 17 Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung G. v. 2. Dezember 2025 BGBl. 2025 I Nr. 301 m.W.v. 6. Dezember 2025
Frühere Fassungen von § 5c EnWG
Die nachfolgende Aufstellung zeigt alle Änderungen dieser Vorschrift. Über die Links aktuell und vorher können Sie jeweils alte Fassung (a.F.) und neue Fassung (n.F.) vergleichen. Beim Änderungsgesetz finden Sie dessen Volltext sowie die Begründung des Gesetzgebers.
| vergleichen mit | mWv (verkündet) | neue Fassung durch |
|---|---|---|
| aktuell vorher | 06.12.2025 | Artikel 17 Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung vom 02.12.2025 BGBl. 2025 I Nr. 301 |
Bitte beachten Sie, dass rückwirkende Änderungen - soweit vorhanden - nach dem Verkündungsdatum des Änderungstitels (Datum in Klammern) und nicht nach dem Datum des Inkrafttretens in diese Liste einsortiert sind.
Zitierungen von § 5c EnWG
Sie sehen die Vorschriften, die auf § 5c EnWG verweisen. Die Liste ist unterteilt nach Zitaten in
EnWG selbst,
Ermächtigungsgrundlagen,
anderen geltenden Titeln,
Änderungsvorschriften und in
aufgehobenen Titeln.
interne Verweise
§ 5d EnWG Dokumentations-, Melde-, Registrierungspflicht (vom 06.12.2025)
... Der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 hat die Einhaltung der Anforderungen des IT-Sicherheitskatalogs zu dokumentieren. Der ... der Anforderungen des IT-Sicherheitskatalogs zu dokumentieren. Der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 und der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 2 und 3, der jeweils eine besonders ... Der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 und der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 2 und 3 , der jeweils eine besonders wichtige Einrichtung nach § 28 Absatz 1 des BSI-Gesetzes ist, hat ... zu übermitteln. Auf Verlangen der Bundesnetzagentur hat der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 einen Mängelbeseitigungsplan vorzulegen. Ergeben sich aus dem ... die Bundesnetzagentur Kenntnis über Hinweise oder Informationen, wonach ein Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 die Anforderungen des IT-Sicherheitskatalogs nicht oder nicht richtig umsetzt, so kann sie von dem ... 1 Satz 3 bis 7 ist entsprechend anzuwenden. (3) Der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 ist verpflichtet, der Meldestelle nach § 32 des BSI-Gesetzes folgende Informationen zu ... in der Informationstechnik übermittelt die durch die Registrierung der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 erhaltenen Daten sowie jede Änderung der Registrierungen unverzüglich an die ... in der Informationstechnik sowie zu den Akten der Bundesnetzagentur in Angelegenheiten nach § 5c Absatz 1 bis 5 und den Absätzen 1 bis 4 sowie dieses Absatzes wird nicht gewährt. § 29 ...
§ 5e EnWG Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen (vom 06.12.2025)
... Die Geschäftsleitung eines Betreibers nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 ist verpflichtet, die Anforderungen des IT-Sicherheitskatalogs umzusetzen und die Umsetzung zu ... zu überwachen. (2) Eine Geschäftsleitung eines Betreibers nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 , die ihre Pflichten nach Absatz 1 verletzt, haftet ihrer Einrichtung für einen schuldhaft ... nach Satz 1 enthalten. (3) Die Geschäftsleitung eines Betreibers nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 muss regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und ...
§ 59 EnWG Organisation (vom 17.03.2026)
... einem Energielieferanten zu treffenden Entscheidungen, 1a. die Festlegungen nach § 5c Absatz 2 und 6 , 1b. die Erstellung und Überprüfung des Sicherheitskatalogs für die ...
§ 91 EnWG Gebührenpflichtige Handlungen; Verordnungsermächtigung (vom 17.03.2026)
... von § 33 Absatz 1 und § 36 Absatz 2 Satz 3; 4. Amtshandlungen auf Grund des § 5c Absatz 3 bis 5 , des § 5f Absatz 2, der §§ 7c, 11a, 11b, 12a, 12c, 12d, 12h Absatz 6 Satz 2, der ...
§ 95 EnWG Bußgeldvorschriften (vom 17.03.2026)
... richtig, nicht vollständig oder nicht rechtzeitig übermittelt, 3b. entgegen § 5c Absatz 1 Satz 1 einen dort genannten Schutz nicht gewährleistet, 3c. entgegen § 5d Absatz 1 ...
Zitat in folgenden Normen
BSI-Gesetz (BSIG)
Artikel 1 G. v. 02.12.2025 BGBl. 2025 I Nr. 301, S. 2; zuletzt geändert durch Artikel 4 G. v. 11.03.2026 BGBl. 2026 I Nr. 66
§ 28 BSIG Besonders wichtige Einrichtungen und wichtige Einrichtungen (vom 17.03.2026)
... oder digitale Energiedienste nach dem Energiewirtschaftsgesetz betreiben und den Regelungen der §§ 5c bis 5e des Energiewirtschaftsgesetzes unterliegen. Satz 1 gilt nicht für ...
Zitate in Änderungsvorschriften
Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
G. v. 02.12.2025 BGBl. 2025 I Nr. 301
Artikel 17 NIS2-RLUG Änderung des Energiewirtschaftsgesetzes
... wird nach der Angabe zu § 5b die folgende Angabe eingefügt: „ § 5c IT-Sicherheit im Anlagen- und Netzbetrieb, Festlegungskompetenz § 5d ... für Geschäftsleitungen". 2. Nach § 5b werden die folgenden §§ 5c bis 5e eingefügt: „§ 5c IT-Sicherheit im Anlagen- und im Netzbetrieb, ... 2. Nach § 5b werden die folgenden §§ 5c bis 5e eingefügt: „ § 5c IT-Sicherheit im Anlagen- und im Netzbetrieb, Festlegungskompetenz (1) Die folgenden ... § 5d Dokumentations-, Melde-, Registrierungspflicht (1) Der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 hat die Einhaltung der Anforderungen des IT-Sicherheitskatalogs zu dokumentieren. Der Betreiber ... die Einhaltung der Anforderungen des IT-Sicherheitskatalogs zu dokumentieren. Der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 und der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 2 und 3, der jeweils eine besonders ... zu dokumentieren. Der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 und der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 2 und 3 , der jeweils eine besonders wichtige Einrichtung nach § 28 Absatz 1 des BSI-Gesetzes ist, hat ... der Erstellung zu übermitteln. Auf Verlangen der Bundesnetzagentur hat der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 einen Mängelbeseitigungsplan vorzulegen. Ergeben sich aus dem Mängelbeseitigungsplan ... die Bundesnetzagentur Kenntnis über Hinweise oder Informationen, wonach ein Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 die Anforderungen des IT-Sicherheitskatalogs nicht oder nicht richtig umsetzt, so kann sie von dem ... Absatz 1 Satz 3 bis 7 ist entsprechend anzuwenden. (3) Der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 ist verpflichtet, der Meldestelle nach § 32 des BSI-Gesetzes folgende Informationen zu ... in der Informationstechnik übermittelt die durch die Registrierung der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 erhaltenen Daten sowie jede Änderung der Registrierungen unverzüglich an die ... in der Informationstechnik sowie zu den Akten der Bundesnetzagentur in Angelegenheiten nach § 5c Absatz 1 bis 5 und den Absätzen 1 bis 4 sowie dieses Absatzes wird nicht gewährt. § 29 des ... für Geschäftsleitungen (1) Die Geschäftsleitung eines Betreibers nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 ist verpflichtet, die Anforderungen des IT-Sicherheitskatalogs umzusetzen und die Umsetzung zu ... die Umsetzung zu überwachen. (2) Eine Geschäftsleitung eines Betreibers nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 , die ihre Pflichten nach Absatz 1 verletzt, haftet ihrer Einrichtung für einen schuldhaft ... nach Satz 1 enthalten. (3) Die Geschäftsleitung eines Betreibers nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 muss regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und ... 1 Nummer 1a wird durch folgende Nummer 1a ersetzt: „1a. die Festlegungen nach § 5c Absatz 2 und 6 ,". 5. In § 91 Absatz 1 Satz 1 Nummer 4 wird nach der Angabe ... Nummer 3a werden die folgenden Nummern 3b bis 3e eingefügt: „3b. entgegen § 5c Absatz 1 Satz 1 einen dort genannten Schutz nicht gewährleistet, 3c. entgegen § 5d Absatz ...
Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen
G. v. 11.03.2026 BGBl. 2026 I Nr. 66
Artikel 2 KRITISDachGEG Änderung des Energiewirtschaftsgesetzes
... 1 wird wie folgt geändert: a) In Nummer 4 wird die Angabe „auf Grund der §§ 5c Absatz 3 bis 5 , der §§ 7c," durch die Angabe „auf Grund des § 5c Absatz 3 bis 5, des ... §§ 5c Absatz 3 bis 5, der §§ 7c," durch die Angabe „auf Grund des § 5c Absatz 3 bis 5 , des § 5f Absatz 2, der §§ 7c," ersetzt. b) In Nummer 6 wird die ...
Link zu dieser Seite: https://www.buzer.de/5c_EnWG.htm