Energie
Im Sektor Energie versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit vier kritischen Dienstleistungen – der Versorgung mit Strom, Gas, Kraftstoff und Heizöl und Fernwärme. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS und teilweise auch EnWG geschützt werden.
KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2025 um viele neue Einrichtungen, die als Unternehmen reguliert werden, wenn sie Umsatz und Mitarbeiterzahlen überschreiten.
Nr. | Unternehmen | Scope |
---|---|---|
Betreiber kritischer Anlagen | Anlage über Schwellenwert (KRITIS) | |
KRITIS-Sektordefinition Energie:
|
||
Besonders wichtige Einrichtung | Unternehmen (NIS2)
|
|
Wichtige Einrichtung | Unternehmen (NIS2)
|
|
NIS2-Sektordefinition Energie:
|
Energie-Betreiber unterliegen teilweise weiterer Regulierung durch EnWG und BNetzA IT-Sicherheitskatalog, wenn sie Energieanlagen und Energieversorgungsnetze betreiben.
Regulierte Pflichten
NIS2 und KRITIS
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung. Die Gesetze sind in Arbeit und sollen Oktober 2024 (vermutlich Früjahr 2025) in Kraft treten. Für Betreiber kritischer Anlagen (KRITIS) und neue Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.
Für bestimmte Betreiber* im Energiesektor gelten stattdessen das EnWG und der Sicherheitskatalog der BNetzA, die die Vorgaben der NIS2-Umsetzung äquivalent abbilden sollen. Es entsteht potenziell Mehrfach-Regulierung mit unterschiedlichen Geltungsbereichen.
Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.
KRITIS
Kritische Anlagen
Die folgenden KRITIS-Anlagen sind im Sektor Energie in der KRITIS-Verordnung definiert. Betreiben Unternehmen diese kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie zu KRITIS-Betreibern mit vielen regulierten Pflichten.
Nr. | Anlage | Beschreibung | Schwellenwert | |
---|---|---|---|---|
1. | Stromversorgung (Dienstleistung) | |||
1.1.1 | Erzeugungsanlage* | im Sinne §3 Nr. 18d EnWG, auch Speicherung und dezentrale Erzeugung im Sinne §3 Nr. 11 EnWG | 104 MW 0 MW 36 MW | Netto-Nennleistung Schwarzstart-Anlage Primärregel |
1.1.2 | Steuerung/Bündelung elektrischer Leistung*† |
im Sinne §3 Nr. 17 EEG | 104 MW 0 MW 36 MW | Netto-Nennleistung Schwarzstart-Anlage Primärregel |
1.2.1 | Übertragungsnetz* | im Sinne §3 Nr. 32 EnWG | 3700 GWh/Jahr | Arbeit |
1.3.1 | Stromverteilernetz* | im Sinne §3 Nr. 37 EnWG | 3700 GWh/Jahr | Arbeit |
1.4.1 | Stromhandel | Anlage/Handelssystem für Spothandel, Terminhandel deutsches Martgebiet | 3700 GWh/Jahr | Handelsvolumen |
2. | Gasversorgung (Dienstleistung) | |||
2.1.1 | Gasförderanlage* | Förderung von Erdgas | 5190 GWh/Jahr | gefördertes Gas |
2.1.2 | Standortübergreifende Steuerung* |
Steuerung/Überwachung standortübergreifend anderer Anlagen | 5190 GWh/Jahr | gefördertes Gas |
2.2.1 | Fernleitungsnetz* | im Sinne §3 Nr. 19 EnWG | 5190 GWh/Jahr | entnommene Arbeit |
2.2.2 | Gasgrenzübergabestelle* | 5190 GWh/Jahr | durchgeleitete Arbeit | |
2.2.3 | Gasspeicher* | im Sinne §3 Nr. 19c EnWG | 5190 GWh/Jahr | durchgeleitete Arbeit |
2.2.4 | LNG-Anlage* | Verflüssigung von Gas oder Einfuhr, Entladung und Wiederverdampfung von verflüssigtem Gas | 5190 GWh/Jahr | Technische Regasifizierungskapazität |
2.3.1 | Gasverteilernetz* | im Sinne §3 Nr. 37 EnWG | 5190 GWh/Jahr | entnommene Arbeit |
2.4.1 | Gas/Kapazitätshandel | Anlage/Handelssystem für Gashandel | 5190 GWh/Jahr | Handelsvolumen Gastransportkapazitäten |
3. | Kraftstoff- und Heizölversorgung (Dienstleistung) | |||
3.1.1 | Ölförderanlage | Förderung von Rohöl | 4.4 Mio t/Jahr | gefördertes Rohöl |
3.1.2 | Raffinerie | Destillation oder Raffination von Rohöl im Sinne 4.3, Anlage 1 UVPG | 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | erzeugter Kraftstoff Flugkraftstoff Heizöl |
3.1.3 | Standortübergreifende Steuerung |
Steuerung/Überwachung standortübergreifend anderer Anlagen | 4.4 Mio t/Jahr 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | gefördertes Rohöl erzeugter Kraftstoff Flugkraftstoff Heizöl |
3.2.1 | Mineralölfernleitung | Rohrfernleitung im Sinne der RohrFLtgV | 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | umgeschlagenes Rohöl Kraftstoff Flugkraftstoff Heizöl |
3.2.2 | Öl- und Produktenlager | Lagerung von Rohöl oder Mineralölprodukten | 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | umgeschlagenes Rohöl Kraftstoff Flugkraftstoff Heizöl |
3.2.3 | Standortübergreifende Steuerung |
Steuerung/Überwachung standortübergreifend anderer Anlagen | 4.4 Mio t/Jahr 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | transportiertes Rohöl umgeschlagenes Rohöl Kraftstoff Flugkraftstoff Heizöl |
3.3.1 | Aggregatoren zum Vertrieb von Kraftstoff und Heizöl | Disposition von Tankkraftwagen, Kesselwagen, Binnenschiffen zum Vertrieb von Kraftstoff und Heizöl | 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | verteilter Kraftstoff Flugkraftstoff Heizöl |
3.3.2 | Tankstellennetz | Verbindung von Tankstellen, Flugfeldbetankungsanlagen zur zentralen Versorgung mit Kraftstoff | 420 Tsd t/Jahr 63,75 Tsd t/J | verteilter Kraftstoff Flugkraftstoff |
3.3.3 | Standortübergreifende Steuerung |
Steuerung/Überwachung standortübergreifend anderer Anlagen | 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | verteilter Kraftstoff Flugkraftstoff Heizöl |
3.4.1 | Zentrale kommerzielle Steuerung | Steuerung/Betriebsplanung mehrere Anlagen, kommerzielle Abwicklung, Clearing/Kollaboration | 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr | Abgewickeltes Rohöl Kraftstoff Flugkraftstoff Heizöl |
4. | Fernwärmeversorgung (Dienstleistung) | |||
4.1.1 | Heizwerk | Erzeugung von Wärme zur Belieferung von Endkunden im Sinne der AVBFernwärmeV | 2300 GWh/Jahr | ausgeleitete Wärmeenergie |
4.1.2 | Heizkraftwerk | Erzeugung von elektrischer Energie und Nutzwärme nach §2 Nr. 14 KWKG | 2300 GWh/Jahr | ausgeleitete Wärmeenergie |
4.2.1 | Fernwärmenetz | Versorgung der Allgemeinheit mit Wärme | 250 Tsd | angeschlossene Haushalte |
4.3.1 | Standortübergreifende Steuerung |
Steuerung/Überwachung standortübergreifend anderer Anlagen | 250 Tsd 2300 GWh/Jahr | angeschlossene Haushalte ausgeleitete Wärmeenergie |
Schwellenwerte
Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.
Strom
Der Schwellenwert für Erzeugung (1.1.1) und Steuerung/Bündelung (1.1.2) berechnet sich aus dem angenommenen Durchschnittsverbrauch von 1815 kWh Strom pro Person für 500.000 versorgte Personen:
- Netto-Nennleistung von 104 MW
- Netto-Nennleistung von 0 MW (Schwarzstartanlage)
- Netto-Nennleistung von 36 MW (Erbringung von Primärregelleistung)
Die 36 MW für Primärregelleistung präqualifizierter Anlagen ergeben sich aus EU-Verordnung 2016/631. Der Wert 3.700 GWh/Jahr für die Übertragung und Verteilung (1.2.1, 1.3.1) wird nicht (mehr) hergeleitet.
Der Schwellenwert für Stromhandel (1.4.1) ergibt sich aus dem angenommenen Gesamthandelsvolumen von 600 TWh und durchschnittlichem Handelsvolumen von 7460 KWh pro Person für 500.000 versorgte Personen:
- Abgewickeltes Handelsvolumen von 3,7 TWh (3700 GWh) pro Jahr
Gas
Der Schwellenwert für die Anlagen 2.1.1 bis 2.4.1 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 10380 kWh Gas pro Person für 500.000 versorgte Personen:
- ≈ 5190 GWh Gas pro Jahr
Kraftstoff und Heizöl
Der Schwellenwert für die Anlagen 3.1.1 bis 3.4.1 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 0,84t Kraftstoff, 1,24t leichten Heizöl und 0,1275t Flugkraftstoff pro Person pro Jahr für 500.000 versorgte Personen, mit der Annahme von einer Tonne Rohöl pro 0,14t Heizöl.
- 420 Tsd Tonnen Kraftstoff pro Jahr
- 63,75 Tsd Tonnen Flugkraftstoff pro Jahr
- 620 Tsd Tonnen Heizöl pro Jahr
- 4400 Tsd Tonnen Rohöl pro Jahr
Fernwärme
Der Schwellenwert für die Anlagen 4.1.1 bis 4.1.2 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 4,528 MWh Energie pro Person für 500.000 versorgte Personen, der Schwellenwert für 4.2.1 direkt über Haushalte.
- 2300 GWh Wärmeenergie pro Jahr
- 250 Tsd angeschlossene Haushalte
Fristen
Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren. Bei angeschlossenen Haushalten muss dies zum 30. Juni des Vorjahres ermittelt werden.
NIS2
Einrichtungen
Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.
Nr. | Teilsektor | Einrichtungsart^ | Besonderheit |
---|---|---|---|
Energie (Sektor, Anlage 1) | |||
1.1 | Stromversorgung (Teilsektor) | ||
1.1.1 | Stromlieferanten §3 Nr. 31a EnWG (§3 Nr. 31d nach n.F.) | ||
1.1.2 | Elektrizitätsverteilernetze §3 Nr. 3 EnWG | ||
1.1.3 | Übertragungsnetze §3 Nr. 10 EnWG | ||
1.1.4 | Erzeugungsanlagen §3 Nr. 18d EnWG | ||
1.1.5 | Strommarktbetreiber Art. 2 Nr. 8 (EU) 2019/943 | ||
1.1.6 | Aggregatoren §3 Nr. 1a EnWG | ||
1.1.7 | Energiespeicheranlagen §3 Nr. 15d EnWG | ||
1.1.8 | Ausgleichsleistungen §3 Nr. 1b EnWG | ||
1.1.9 | Ladepunktbetreiber §2 Nr. 8 LSV | ||
1.2 | Fernwärme und -kälte (Teilsektor) | ||
1.2.1 | Fernwärme/Fernkälte §3 Nr. 19 und 20 GEG | ||
1.3 | Kraftstoff/Heizöl (Teilsektor) | ||
1.3.1 | Erdöl-Fernleitungen | ||
1.3.2 | Produktion, Raffination, Aufbereitung sowie Erdöllager | ||
1.3.3 | Zentrale Bevorratungsstellen im Sinne Art 2 f. 2009/119/EG | ||
1.4 | Gasversorgung (Teilsektor) | ||
1.4.1 | Gasverteilnetze §3 Nr. 8 EnWG | ||
1.4.2 | Fernleitungsnetze §3 Nr. 5 EnWG | ||
1.4.3 | Gasspeicheranlagen §3 Nr. 6 EnWG | ||
1.4.4 | LNG-Anlagen §3 Nr. 9 EnWG | ||
1.4.5 | Gaslieferanten §3 Nr. 19b EnWG | ||
1.4.6 | Gewinnung von Erdgas | ||
1.4.7 | Raffination und Aufbereitung von Erdgas | ||
1.4.8 | Wasserstofferzeugung, -speicherung, -fernleitung |
Regulierung und Standards
Gesetze im Energiesektor
Bestimmte Betreiber im Energiesektor fallen neben KRITIS und NIS2 auch unter EnWG und weitere Energie-Regulierung. Dies hängt von betriebenen Anlagen ab, wie Energieanlagen, Energieversorgungsnetzen und weiteren. Es entsteht Mehrfachregulierung für Betreiber.
Ausnahmeregelungen
Für Energieunternehmen, die Energieversorgungsnetze oder Energieanlagen betreiben, gilt neben der KRITIS und NIS2-Regulierung möglicherweise auch das EnWG. Je nach konkreter Anlage und Situation gelten dann auch die Sicherheitskataloge der BNetzA und es entsteht eine Mehrfach-Regulierung mit unterschiedlichen Vorgaben je Geltungsbereich.
Unternehmen | Regulierung | Ausschluss | Dafür gilt |
---|---|---|---|
|
KRITIS bis 2024 | KRITIS-Maßnahmen §8a |
EnWG §11 plus SiKat |
|
NIS2 ab 2024 | NIS2-Maßnahmen fast alle |
EnWG §5c plus SiKat |
|
DachG ab 2024 | Resilienznachweise §16 (1-6) |
EnWG §5d plus SiKat |
Energiewirtschaftsgesetz (EnWG)
Das Energiewirtschaftsgesetz EnWG regelt die Pflichten der Betreiber von Energieanlagen und Energieversorgungsnetzen. Dies ändert sich ab 2024 weiter mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz.
Die wichtigsten Regelungen und Anforderungen für KRITIS und EnWG bis 2024 sind:
- Betreiber von Energieversorgungsnetzen müssen die IT-Systeme für sicheren Netzbetrieb angemessen schützen und den BNetzA IT-Sicherheitskatalog §11 Abs. 1a umsetzen.
- Betreiber von Energieanlagen, die besonders wichtige oder wichtige Einrichtungen sind, müssen die IT-Systeme für sicheren Anlagenbetrieb angemessen schützen und den BNetzA IT-Sicherheitskatalog §11 Abs. 1b umsetzen. Der Katalog regelt zusätzlich das Vorgehen zur regelmäßigen Überprüfung.
- Sicherheitsvorfälle im Energieversorgungsnetz oder Energieanlage müssen dem BSI gemeldet werden §11 Abs. 1c. Das BSI leitet die Meldung an die BNetzA weiter.
- Betreiber müssen die von ihnen betriebene Anlage beim BSI registrieren und Sicherheitsbeauftragen benennen. §11 Abs. 1d Das BSI leitet die Registrierung an die BNetzA weiter.
- Betreiber müssen Systeme zur Angriffserkennung nach §11 Abs. 1e einsetzen und nach §11 Abs. 1f dem BSI nachweisen. Das BSI leitet Nachweisdokumente an die BNetzA weiter.
Die wichtigsten Regelungen und Anforderungen für NIS2 und EnWG ab 2024 – teilweise abhängig von der genauen Betreiber- und Einrichtungsart im Energiesektor – sind:
- §5c (1) Betreiber von Energieversorgungsnetzen müssen einen angemessenen Schutz der IT für einen sicheren Netzbetrieb sicherstellen, was auch die Beschaffung von Anlagengütern und Dienstleistungen umfasst. Dazu wird es einen neuen BNetzA Sicherheitskatalog geben.
- §5c (2) Betreiber von Energieanlagen, die nach NIS2 als besonders wichtige oder wichtige Einrichtung gelten, müssen einen angemessenen Schutz der IT für einen sicheren Anlagenbetrieb sicherstellen. Dazu wird es einen neuen BNetzA Sicherheitskatalog geben.
- §5c (3) Stand der Technik muss in beiden IT-Sicherheitskatalogen eingehalten werden, mindestens die Maßnahmen aus §30 (2) BSIG-E (NIS2UmsuCG) und Angriffserkennung.
- §5c (4) Dokumentation und Mängelbeseitigung: Betreiber von Energieversorgungsnetzen und Betreiber von Energieanlagen müssen der BNetzA die Dokumentation über die Einhaltung von Sicherheitsanforderungen übermitteln. Die BNetzA kann die Beseitigung von Mängeln innerhalb einer festgelegten Frist verlangen und mit Unterlagen- oder Vor-Ort-Prüfungen verifizieren.
- §5c (5) Überprüfung: Bei Verdacht auf Nichteinhaltung von Maßnahmen kann die BNetzA Maßnahmen nach §5c (4) auch für andere Betreiber von Energieanlagen, die wichtige Einrichtungen sind, durchführen.
- §5c (6) Sicherheitsvorfälle müssen an das BSI gemeldet werden. Der Umfang der Meldung entspricht den Vorgaben aus §32 BSIG-E (NIS2UmsuCG).
- §5c (7) Das BSI tauscht Informationen über Sicherheitsvorfälle mit der BNetzA aus. Die BNetzA kann von Unternehmen die Herausgabe von Informationen verlangen.
- §5c (8) Betreiber müssen sich beim BSI registrieren. Das BSI übermittelt an BNetzA.
- §5c (9) Geschäftsleiter betroffener Einrichtungen sind verpflichtet, die Sicherheitsanforderungen nach §5c (1) oder (2) umzusetzen und die Umsetzung zu überwachen.
- §5c (10) Bei Pflichtverletzung haften Geschäftsleiter ihrer Einrichtung für einen schuldhaft verursachten Schaden.
- §5c (11) Geschäftsleiter müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und zum Risikomanagement zu erlangen und die Auswirkungen von Risiken beurteilen zu können..
- §5c (12) Die BNetzA legt einen weiteren Katalog für kritische Komponenten und kritische Funktionen fest. Die Anforderungen daraus gelten für Betreiber von Energieversorgungsnetzen und Energieanlagen, sofern diese mittels KRITIS-Methodik als kritische Anlagen gelten.
Aus dem KRITIS-Dachgesetz werden ab 2024 äquivalente Pflichten zum Resilienznachweis ins EnWG übertragen:
- §5d (1) Betreiber von KRITIS-Anlagen nach dem KRITIS-DachG müssen die Einhaltung der Pflichten nach § 14 (1) KRITIS-DachG dokumentieren und der Bundesnetzagentur gegenüber nachweisen
- §5d (2) Die BNetzA darf von Betreibern das Betreten der Geschäfts- und Betriebsräume sowie Zugang zu Informationen, Systemen und Anlagen im Zusammenhang mit der Erbringung kritischer Dienstleistung verlangen.
- §5d (3) Die BNetzA kann
in einem Sicherheitskatalog nähere Bestimmungen zu Format, Inhalt und Gestaltung von Nachweisen und zur Behebung von Mängeln bei der Erfüllung der Verpflichtungen nach §14 Absatz 1des KRITIS-Dachgesetzes treffen
.
EU-Verordnungen
Die Europäische Kommission hat im Oktober 2023 einen Entwurf für Cybersecurity in der EU-Stromversorgung zur Kommentierung vorgelegt. Der Entwurf ergänzt EU-Verordnung 2019/943 über den Elektrizitätsbinnenmarkt durch die Festlegung eines Netzkodexes mit Vorschriften für Cybersecurity grenzüberschreitender Stromflüsse.
(Es existieren noch weitere EU-Verordnungen.)
Atomgesetz
Folgt
Branchenstandards
Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.
B3S
- Branchenspezifischer Sicherheitsstandard für Anlagen oder Systeme zur Steuerung / Bündelung elektrischer Leistung (B3S Aggregatoren), BDEW, Version 1.2, 5.6.2023 (gültig bis Juli 2025)
- Branchenspezifischer Sicherheitsstandard für die Verteilung von Fernwärme (Fernwärmenetze), BDEW, Version 1.1, 15.2.2021 (gültig bis April 2023)
- IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG, Bundesnetzagentur (BNetzA), Stand August 2015
- IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG, Bundesnetzagentur (BNetzA), Stand Dezember 2018
Industrienormen
- ISO/IEC 27019:2017 ist eine Empfehlung für Energieversorger, die Controls mit Schwerpunkt Prozesssteuerung, PLCs, Kommunikation, Smart Meters, Energie-Management, Smart Grids und angepasste Risiko-Methodiken enthält.
Weitere Informationen
Quellen
- Vierte Verordnung zur Änderung der BSI-Kritisverordnung vom 29. November 2023, BGBl. 2023 I Nr. 339 vom 06.12.2023
- Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 29. November 2023 (BGBl. 2023 I Nr. 339) geändert worden ist
- Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 9 des Gesetzes vom 22. März 2023 (BGBl. 2023 I Nr. 88) geändert worden ist
- Gesetz für die Erhaltung, die Modernisierung und den Ausbau der Kraft-Wärme-Kopplung (Kraft-Wärme-Kopplungsgesetz - KWKG) vom 21. Dezember 2015 (BGBl. I S. 2498), das zuletzt durch Artikel 7 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818) geändert worden ist
- Gesetz für den Ausbau erneuerbarer Energien (Erneuerbare-Energien-Gesetz - EEG 2017) vom 21. Juli 2014 (BGBl. I S. 1066), das zuletzt durch Artikel 6 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818) geändert worden ist
- Gesetz über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen (Messstellenbetriebsgesetz - MsbG) vom 29. August 2016 (BGBl. I S. 2034), das zuletzt durch Artikel 90 des Gesetzes vom 20. November 2019 (BGBl. I S. 1626) geändert worden ist"
- Gesetz über die Umweltverträglichkeitsprüfung (UVPG) in der Fassung der Bekanntmachung vom 24. Februar 2010 (BGBl. I S. 94), das zuletzt durch Artikel 117 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Verordnung über Rohrfernleitungsanlagen (Rohrfernleitungsverordnung) vom 27. September 2002 (BGBl. I S. 3777, 3809), die zuletzt durch Artikel 224 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Verordnung über Allgemeine Bedingungen für die Versorgung mit Fernwärme (AVBFernwärmeV) vom 20. Juni 1980 (BGBl. I S. 742), die zuletzt durch Artikel 16 des Gesetzes vom 25. Juli 2013 (BGBl. I S. 2722) geändert worden ist
- IT-Sicherheit im Energiesektor, Überblick und Bibliothek der relevanten Dokumente, Bundesnetzagentur (BNetzA)
- EU Electricity Supply, EU electricity supply – sector-specific rules on cybersecurity (network code), European Commission
- Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, Referentenentwurf, Innenministerium, 22.07.2024
- Referentenentwurf KRITIS-Dachgesetz – KRITIS-DachG April 2024, intrapol, August 2024