Betreiber von Energieanlagen, die als Kritische Infrastruktur gelten, haben mehr Zeit, den von der Bundesnetzagentur 2018 veröffentlichten IT-Sicherheitskatalog für Energieanlagen umzusetzen und dies durch ein Zertifikat nachzuweisen. Wegen der Ausbreitung von SARS-CoV-2 und den damit zusammenhängenden Verzögerungen bei der Zertifizierung, hat die BNetzA die Frist über den 31. März 2021 hinaus verlängert.
Bis zu diesem Zeitpunkt wird nun lediglich das Erreichen der Zertifizierungsreife, nicht jedoch der Abschluss des Zertifizierungsverfahrens verlangt. Betreiber müssen zum Stichtag eine schriftliche Erklärung abgeben, dass sie die Anforderungen des IT-Sicherheitskatalogs gemäß EnWG vollständig umgesetzt haben. Außerdem müssen sie nachweisen, dass sie eine Zertifizierungsstelle beauftragt haben und die notwendigen Audits terminiert sind. Das Zertifizierungsverfahren selbst kann dann in einem „angemessenen Zeitraum nach dem 31. März 2021“ abgeschlossen werden.
Zertifizierungsstellen benötigen für den Nachweis ihrer Kompetenz eine Akkreditierung durch die DAkkS. Nachdem das Konformitätsbewertungsprogramm der Bundesnetzagentur veröffentlicht ist, können interessierte Zertifizierungsstellen einen Antrag auf Akkreditierung stellen. Konformitätsbewertungsstellen, die bereits nach DIN EN ISO/IEC 17021-1:2015 für den Geltungsbereich Informationssicherheitsmanagementsysteme gem. ISO/IEC 27001 im Sektor Strom- und Gasnetzbetreiber akkreditiert sind, müssen eine Erweiterung ihrer Akkreditierung beantragen.