IKT-Minimalstandards nach StromVV: So vermeiden Sie ein Blackout-Szenario

Baar, 18.09.2025 (PresseBox) - Wenn eine Hacker-Gruppierung Ihnen als Energieversorger das Licht ausknipst, entscheidet Ihre Resilienz über die Versorgungssicherheit Ihrer Abnehmer. Ob das Licht hingegen anbleibt, entscheidet einzig Ihre konsequente Umsetzung der IKT-Minimalstandards. Durch vier gezielte Massnahmen,einer 14-Punkte-Checkliste und sechs Handlungsempfehlungen schliessen Sie Sicherheitslücken und stellen sich als verlässlicher Player der nationalen Wirtschaft auf. Gestalten Sie jetzt Ihre Zukunft mit Cyberresilienz!

Stellen Sie sich vor: Einlauer Sommerabend, die Klimaanlage surrt im Hintergrund. Plötzlich legt ein Hackerangriff zentrale Systeme lahm und binnen Minuten könnte die Versorgung ganzer Regionen ins Wanken geraten.

Was wie ein Film-Plot klingt, ist längst Realität. Cyberangriffe sind für die Energiebranche heute wahrscheinlicher als ein Stromausfall durch ein Gewitter. Die Branche steht an einem Wendepunkt: Mit der Revision derStromversorgungsverordnung (StromVV)sind dieIKT-Minimalstandards ab Juli 2024verbindlich. Für die Gasversorgung ab Juli 2025, ein Signal mit Strahlkraft weit über die Energie hinaus.

Drei Schutzniveaus – passgenau für jede Kritikalität

Sowohl in der Strom- als auch in der Gasversorgung basieren die IKT-Minimalstandards auf einem abgestuften Modell mit drei Schutzstufen (A, B, C). Ziel ist es, einverhältnismässiges, aber vergleichbares Sicherheitsniveauzu schaffen. Von grossen Betreibern mit höchster Kritikalität bis hin zu kleineren Unternehmen mit überschaubarem Risiko.

• Schutzniveau A:Gilt für dieBetreiber mit der höchsten Kritikalitätz.B. Stromnetzbetreiber ab 450 GWh/Jahr oder Gasnetzbetreiber mit Hochdruckleitungen bzw. Transportvolumen über 2600 GWh/Jahr. Hier sind dieumfassenden Sicherheitsanforderungendes IKT-Minimalstandards vollständig umzusetzen, jeweils an die branchenspezifischen Besonderheiten angepasst.
• Schutzniveau B:BetrifftBetreiber mittlerer Grösse(Strom: 112–450 GWh/Jahr; Gas: 400–2600 GWh/Jahr). Die Anforderungen orientieren sich amNiveau A,sindaber reduziert, praxisnah und mit geringerem Ressourceneinsatz umsetzbar.
• Schutzniveau C:Decktkleinere Betreiberab (Strom: <112 GWh/Jahr; Gas: bis 400 GWh/Jahr). Es stehen vor allemorganisatorische Mindestanforderungen im Vordergrund, technische Massnahmen sind teilweise lediglich Empfehlungen.

Diese Staffelung ermöglicht eine gezielte Umsetzung nach Kritikalität, verhindert Überregulierung bei kleineren Unternehmen. Gleichzeitig bleibt die Vergleichbarkeit der Sicherheitsniveaus innerhalb und zwischen den Branchen gewährleistet.

Doch die Schutzniveaus bleiben Theorie, wenn sie nicht in den Alltag übersetzt werden. Genau hier stehenIT- und OT-Sicherheitsverantwortlichevor der Frage: Was heisst das konkret für meinen Betrieb?

4 Massnahmen, die Sicherheitsverantwortliche jetzt umsetzen.

Im Dialog mit IT-Sicherheitsverantwortlichen kristallisieren sich vertraute Pain Points und neue Erkenntnisse heraus.

DieIKT-Minimalstandardssind keine Checkliste, sondern fordern einen methodischen Gesamtansatz:

• Strukturierte Risikobewertungen und regelmässige Gap-Analysen
• Aufbau und Pflege eines IKT-Sicherheitskonzepts
• Glaubhafte Nachweisführung gegenüber der Aufsichtsbehörde (z.B.ElCom)
• Etablierung eines echten kontinuierlichen Verbesserungsprozess (PDCA), der über das blosse Dokumentieren hinausgehen

Interoperabilität, Auditierbarkeit und die Integration in bestehende ISMS- und SOC-Strukturen sind das technische Salz in der Suppe, kein Nice-to-have, sondern Pflicht.Die Anforderungen sind klar, aber wie gut sind Unternehmen heute tatsächlich darauf vorbereitet?Gap Assessments gemäss StromVVgeben Aufschluss und zeigen, wo die grössten Lücken liegen.

«Der beste Moment für ein Gap Assessment war gestern. Der zweitbeste ist heute. Handeln Sie jetzt und verwandeln Sie regulatorische Pflicht in gelebte Sicherheitspraxis!»

Der 14-Punkte-Check: So entlarven Sie Schwachstellen in Ihrer StromVV-Compliance

Im Rahmen erster Assessments gemäss StromVV wurden wiederholt technische und organisatorische Schwachstellen festgestellt.

Die wichtigsten Handlungsfelder im Überblick:

1. Backups testen

Backups und Wiederherstellungsprozesse sind die Lebensversicherung jedes Unternehmens, werden aber oft unterschätzt.

• Backups werden selten air-gapped oder extern gelagert.
• Wiederherstellungstests finden selten oder unvollständig statt.

Praxisbeispiel:Ein Energieversorger stellte nach einem Ransomware-Angriff fest, dass zwar Backups existierten, diese aber nie getestet worden waren. Statt Stunden dauerte die Wiederherstellung Tage, mit hohen Kosten. Ein jährlicher Probelauf hätte den Schaden massiv reduziert.

Empfehlung:Mindestens jährliche, realitätsnahe Wiederherstellungstests, automatisiertes Monitoring und regelmässige Integritätsprüfungen der Backups.

2. Fremdzugänge richtig absichern

Wartungs- und Lieferantenzugängesind oft das schwächste Glied in der Sicherheitskette.

• Zugänge sind meist personenbezogen und temporär, jedoch zu wenig überwacht.

Praxisbeispiel:Bei einer Netzstörung nutzte ein externer Dienstleister alte Zugangsdaten. Der Zugriff blieb unbemerkt, ein potenzielles Einfallstor. Mit Jump-Server und Session-Logging wäre der Vorfall sofort sichtbar gewesen.

Empfehlung:Session-Logging einführen, Zugänge zeitlich und inhaltlich beschränken und konsequent Jump-Server mit MFA nutzen.

3. OT-Sicherheit im Maschinenraum stärken

Operational Technology (OT) erfordert spezielle Aufmerksamkeit, da sie oft nicht ausreichend ins Sicherheitsmonitoring eingebunden ist.

• OT-Systeme sind häufig nicht ausreichend im zentralen Monitoring berücksichtigt.

Praxisbeispiel:In einer Netzleitstelle fielen plötzlich falsche Messwerte auf. Erst nach Tagen stellte sich heraus: Die OT-Systeme waren gar nicht ins SIEM integriert. Ein passiver Sensor hätte die Anomalie sofort erkannt.

Empfehlung:Passive Sensorik einführen, Netzwerke segmentieren und spezialisierte OT-Schwachstellenscanner nutzen.

4. Systemhärtung als Daueraufgabe

Veraltete oder fehlende Hardening-Massnahmen öffnen Angreifern unnötig Tür und Tor.

• Hardening-Richtlinien fehlen oder sind veraltet.
• Konfigurationen werden selten mit Best Practices verglichen.

Praxisbeispiel:Ein Unternehmen wurde Opfer eines Angriffs über einen Standard-Admin-Account. Ein regelmässiger Abgleich mit CIS-Benchmarks hätte die Schwachstelle früh eliminiert.

Empfehlung:Richtlinien aktuell halten und Konfigurationen regelmässig mit anerkannten Benchmarks vergleichen.

5. Von der Papierübung zur echten Risikosteuerung

Wirksames Sicherheitsmanagement braucht konkrete Analysen, nicht nur abstrakte Risiko-Reports für die Chefetage.

• Risikoanalysen bleiben oft auf Managementebene, ohne Bezug zu einzelnen Komponenten.

Praxisbeispiel:Ein Energieversorger bewertete Risiken lange nur auf Unternehmensebene. Erst durch den Einsatz eines Tools zur komponentengenauen Analyse wurde sichtbar, dass eine einzelne, veraltete Firewall ein erhebliches Einfallstor darstellte.

Empfehlung:Spezialisierte Tools einsetzen, die Bedrohungen Asset-basiert bewerten, und Risikoanalysen bis auf Komponentenebene herunterbrechen.

6. Krisenpläne üben

Krisenplänesind wertlos, wenn sie nur auf Papier existieren.

• Tabletop-Übungen und praxisnahe Krisensimulationenwerden vernachlässigt.

Praxisbeispiel:Während einer regionalen Störung wusste niemand, wer die externe Kommunikation übernimmt. Der Plan war zwar vorhanden, aber nie geübt.

Empfehlung: Krisenpläneregelmässig in realitätsnahen Übungen testen und Verantwortlichkeiten klar festlegen.

7.Dokumentation mit klaren Verantwortlichkeiten

Nur eine gepflegte und aktuelle Dokumentation ermöglicht Nachvollziehbarkeit und Sicherheit.

• Verantwortlichkeiten zur Pflege und Aktualisierung sind oft nicht klar zugeordnet.

Praxisbeispiel:Bei einem Audit konnten Prozesse nicht nachgewiesen werden, weil Dokumentationen veraltet waren. Erst ein interdisziplinäres Team brachte Struktur und Verlässlichkeit.

Empfehlung:Ein Team definieren, das laufend Governance und Dokumentation sicherstellt.

8. Dienstleister unter Kontrolle halten

Externe Dienstleisterübernehmen oft kritische Aufgaben, doch ohne klare Regeln und Kontrolle entsteht ein erhebliches Risiko.

• Verträge regeln selten Security-SLAs oder Notfallszenarien.

Praxisbeispiel:Ein IT-Dienstleister spielte nach einem Cybervorfall wichtige Updates verspätet ein. Da keine Sicherheits-SLAs vereinbart waren, konnte das Unternehmen weder rechtzeitig reagieren noch den Schaden begrenzen.

Empfehlung:Strenge Security-SLAs in Verträgen verankern, Exit-Strategien definieren undIT-Dienstleister regelmässig durch Auditsüberprüfen.

9. Blinde Flecken im Sicherheitsalltag

Gerade grundlegende Aufgaben werden oft übersehen und entwickeln sich unbemerkt zu grossen Risiken.

• Asset-Inventar und Asset-Management sind häufig unvollständig.
• Kommunikationsplanung und Anomalie-Erkennung bleiben unausgereift.
• Die Vorfallanalyse wird selten systematisch verfolgt.

Praxisbeispiel:Bei einem Netzbetreiber kam es wiederholt zu Störungen, deren Ursachen nicht klar identifiziert wurden. Erst nach einer detaillierten Asset-Erfassung wurde sichtbar, dass veraltete Geräte im Einsatz waren, die nie im Inventar geführt wurden.

Empfehlung:Ein vollständiges Asset-Inventar aufbauen,Anomalie-Erkennung ins Monitoring integrierenund Vorfälle konsequent dokumentieren und analysieren.

10. Mitarbeitende als Schlüssel zur Sicherheit

DerMensch ist oft das Einfallstor, aber auch die wichtigste Verteidigungslinie.

• Phishing- und Awareness-Trainings adressieren oft keine realistischen Szenarien.

Praxisbeispiel:Ein Mitarbeiter klickte auf eine Phishing-Mail, meldete dies aber sofort, dank einer klaren Meldekette. So konnte der Angriff gestoppt werden, bevor Schaden entstand.

Empfehlung:Regelmässige,realistische Awareness-Trainingsdurchführen und klare, einfache Meldewege etablieren.

11. Datenklassifikation: Nur wer Werte kennt, kann sie schützen

Ohne Klassifikation bleiben kritische Informationen ungeschützt.

• Datenklassifikationsmodelle fehlen oder werden nicht angewendet.

Praxisbeispiel:Ein Stadtwerk stellte fest, dass sensible Netzdaten unverschlüsselt auf einem Fileserver lagen. Erst durch eine klare Klassifizierung wurden sie verschlüsselt und mit restriktiven Zugriffsrechten gesichert.

Empfehlung:Datenklassifikationsmodelle einführen und Zugriffe auf sensible Daten konsequent einschränken.

12. Krisenkommunikation richtig orchestrieren

FehlendeAbstimmung in der Kommunikationkann die Krise verschärfen.

• Kommunikationspläne sind unvollständig oder veraltet.

Praxisbeispiel: Nach einem Angriff widersprachen sich interne und externe Mitteilungen. Die Unsicherheit beschädigte das Vertrauen von Kunden.

Empfehlung:Kommunikationspläne regelmässig aktualisieren und alle relevanten Zielgruppen einbeziehen.

13. Privilegierte Konten konsequent schützen

Privilegierte Zugänge sind die Kronjuwelen jeder IT-Umgebung und besonders gefährdet.

• PAM-Lösungen fehlen, MFA ist nicht konsequent umgesetzt.

Praxisbeispiel:Angreifer kompromittierten ein Admin-Konto ohne MFA und erhielten weitreichende Rechte. Mit einer PAM-Lösung wären die Zugriffe protokolliert und abgesichert gewesen.

Empfehlung:PAM-Lösungen etablieren und MFA für alle Administrationszugänge verpflichtend machen.

14. Lieferkettenrisiken konsequent managen

Cyberrisiken enden nicht an der Unternehmensgrenze, sondern betreffen die gesamte Lieferkette.

• Verträge regeln selten Security-SLAs oder Notfallszenarien.

Praxisbeispiel:Bei einem Cybervorfall beim IT-Dienstleister kam es zu einem Dominoeffekt. Da Sicherheits-SLAs fehlten, dauerte die Wiederherstellung Wochen.

Empfehlung:Strenge SLAs vereinbaren, Exit-Strategien definieren und regelmässige Audits durchführen.

Klarer Kurs für KMU: Leitfäden, dieIhr Gap Assessment vereinfachen

Für viele Organisationen, besonders KMU, ist die Einführung eines Gap Assessments nach dem IKT-Minimalstandard anspruchsvoll. Branchenverbände wie der VSE stellen deshalb Leitfäden und Vorlagen bereit, die eine strukturierte Durchführung erleichtern und für Konsistenz sorgen.

Hilfreich sind praxisnahe Dokumente wie derLVR-CH 2024(strom.ch). Ebenso wichtig ist ein frühzeitigesAlignment mit dem NIST CSF 2.0, um künftige internationale Anforderungen mitzudenken.

Diese Leitfäden unterstützen bei:

• der Identifikation relevanter Sicherheitslücken
• der risikobasierten Priorisierung
• der klaren Zuweisung von Massnahmen und Verantwortlichkeiten
• der Vorbereitung auf Nachweispflichten und Audits

Gerade für Unternehmen mit knappen Ressourcen bieten sie einen einfachen Einstieg und lassen sich ohne grosse Umstrukturierungenin bestehende ISMS integrieren.

Umsetzungslücken schliessen: So gelingt's auch mit knappen Ressourcen

Die Erfahrung aus bisherigen Assessments zeigt, dass bei der Umsetzung oft sehr ähnliche Hürden auftreten.

In diesen Fällen greifen drei strategischeHebel besonders wirksam:

• Ressourcenbindung:Insbesondere KMU kämpfen mit begrenztem Personal und Knowhow. Hier braucht es mehr als guten Willen, etwa unterstützende Tools und gezielte Weiterbildung.
• Koordination:Cybersicherheit kann nicht von der IT-Abteilung allein gestemmt werden, erst das Zusammenspiel von IT, OT, Geschäftsleitung und Dienstleistern bringt den nötigen Schub.
• Strategische Führung:Ohne klaren Kurs der Firmenleitung bleibt Sicherheit ein Schönwetter-Projekt. Sichtbare Priorisierung und eine regelmässige Statusprüfung sind unverhandelbar.

Knowhow-Aufbau und das Compliance-Ziel im Fokus

Die Einführung der IKT-Minimalstandards ist kein reines Compliance-Thema. Sie ist die Chance, die eigene Resilienz systematisch zu stärken, egal ob in Strom- oder Gasversorgung.
Die Vorgaben schaffen einen klaren Rahmen, aber den Unterschied macht die Praxis:

• CISOsgewinnen mit Gap Assessments und klarer Governance eine fundierte Grundlage für Investitionen.
• Geschäftsleitungensichern die Versorgung und schützen Reputation durch sichtbare Priorisierung der Cyber Resilienz.
• KMUprofitieren von Leitfäden, die auch mit knappen Ressourcen eine pragmatische Umsetzung ermöglichen.

Der beste Moment für ein Gap Assessment war gestern, der zweitbeste ist heute. Starten Sie noch heute mit sechs unverzichtbaren Massnahmen und verwandeln Sie regulatorische Pflicht in gelebte Sicherheitspraxis.

6 unverzichtbare Handlungsempfehlungen zur StromVV-Compliance

1. Gap Assessments durchführen:Sicherheitsdefizitemittels Gap-Analysensystematisch identifizierenund priorisierte Massnahmen ableiten.
2. Branchenleitfäden nutzen:VSE- und SVGW-Dokumente sowie BWL-Vorlagen als praxisnahe Orientierung heranziehen.
3. Risikoorientiert vorgehen:Massnahmen konsequent nach Kritikalität und Schutzniveau (A, B, C) priorisieren.
4. Integration in bestehende Systeme:Gap Assessments und Sicherheitsmassnahmen in ISMS,Business Continuity Management (BCM)und Krisenmanagement einbetten.
5. Multi-Utility-Strukturen berücksichtigen:Querverbundunternehmen sollten sektorübergreifende Harmonisierung nutzen, um Doppelarbeit zu vermeiden.
6. Internationale Entwicklungen im Blick behalten:NIS2, CRA und DORA frühzeitig berücksichtigen, um langfristige Compliance und Wettbewerbsfähigkeit sicherzustellen.
7. Frühzeitige Anpassung an NIST 2.0 einleiten:Obwohl die verbindliche Einführung erst mit einer späteren Revision erfolgt, sollten Unternehmen bereits jetzt prüfen, welche zusätzlichen Dokumentationspflichten und Anpassungsbedarfe entstehen. Eine proaktive Auseinandersetzung mit den neuen NIST-Strukturen erleichtert die spätere Umstellung erheblich.

Darum lohnt sich ein Gap Assessment mit InfoGuard

Cybersicherheit hört nie auf – sie ist ein kontinuierlicher Prozess, der Organisationen täglich fordert und voranbringt. Mit klaren Standards, praxisnahen Tools und einer konsequent risikobasierten Herangehensweise schaffen Energie- und Gasversorger nicht nur Compliance, sondern machen Resilienz und Sicherheit zum echten Wertbeitrag für den Betrieb.

Was macht den Unterschied?

• Sie stärken die Widerstandsfähigkeit Ihres Unternehmens nachhaltig,
• erfüllen regulatorische Vorgaben auditfest und mit Augenmass und
• generieren daraus zusätzlichen Mehrwert für Ihre Geschäftsprozesse.

Entscheidend ist dasZusammenspiel von Führung, IT, OT und externen Partnern– denn nur gemeinsam wird regulatorische Pflicht zur gelebten Sicherheitskultur.

Nutzen Sie die Erfahrung der InfoGuard-Expert*innen und gehen Sie den nächsten Schritt: Gestalten Sie Ihre Cyberstrategie auf Augenhöhe – strukturiert, partnerschaftlich und zukunftsfähig.Kontaktieren Sie unsfür eine unverbindliche Beratung – gemeinsam verwandeln wir regulatorische Vorgaben in gelebte Cybersicherheitspraxis.

NIST CSF Gap-Analyse