Home / Leistungen / KRITIS-Digitalisierung
Leistung · KRITIS · Energieinfrastruktur

KRITIS-konforme Digitalisierung für die deutsche Energieinfrastruktur

Datenplattformen und KI-Lösungen für KRITIS-Energieversorger – mit BSI-KritisV, BNetzA-Sicherheitskatalog, NIS2-Richtlinie und EnWG §11 verankert im Architektur-Design. Keine nachgelagerte Dokumentation, sondern Compliance als Eigenschaft der Plattform.

BSI KritisV Verankerung im Sicherheitsmanagement nach §8a BSIG, inkl. Nachweise und 2-Jahres-Audits.
BNetzA-Sicherheitskatalog Mindeststandards für IT-Sicherheit im Energienetz (§11 EnWG), in der Plattform abgebildet.
NIS2-Richtlinie EU-weite Verschärfung — Risiko-Management, Incident-Reporting, Lieferketten­sicherheit.
Deutsche Datenresidenz Azure Germany, Souveräne Cloud, Gaia-X — wo die Daten liegen, wer Zugriff hat.

Das Problem mit KRITIS-Compliance heute

Die meisten KRITIS-Compliance-Projekte funktionieren über Dokumentation: Excel-Listen, Maßnahmen-Kataloge, Policy-Dokumente. Wenn der Audit kommt, ist alles auf dem Papier — aber in der Plattform-Realität klafft eine Lücke. Verschlüsselung ist nicht durchgängig, Identity-Management ist zerstückelt, Audit-Logs fehlen oder sind nicht zentral auswertbar.

Das Ergebnis: jede Plattform-Erweiterung wird zur Compliance-Diskussion. Jeder neue Service bedarf eines neuen Sicherheits-Konzepts. Das skaliert nicht – schon gar nicht mit NIS2 und dem IT-Sicherheitsgesetz 3.0, die regelmäßige Nachweise verlangen.

Unser Ansatz: Compliance im Architektur-Design

Wir bauen Datenplattformen so, dass die KRITIS-relevanten Eigenschaften strukturell verankert sind — nicht nachgelagert dokumentiert. Konkret heißt das:

  • Identity & Access Management zentral über Azure AD oder vergleichbare Identity-Provider, mit fein granularen Rollen, Just-in-Time-Zugriffen und Audit-Trail
  • Verschlüsselung at-rest und in-transit als Plattform-Default, durch Cloud-managed Keys oder kundeneigene Schlüssel (BYOK)
  • Zentrale Audit-Logs in einem getrennten Sicherheits-Layer — manipulationsgeschützt und langfristig vorhaltefähig
  • Datenresidenz Deutschland – via Azure Germany West/Central, OpenTelekomCloud oder hybrider On-Prem-Ankerung dort, wo es regulatorisch erforderlich ist
  • Trennung von analytischer und operativer Welt – sodass operative Steuerungssysteme nicht durch Analytics-Workloads kompromittiert werden können
  • Lieferkettensicherheit (NIS2-Artikel 21) – Software-Bill-of-Materials, Drittanbieter-Risikobewertung, Patch-Management automatisiert

Was wir konkret liefern

  • KRITIS-Architektur-Review der bestehenden Daten- und KI-Landschaft mit Gap-Analyse gegen BSI KritisV, BNetzA-Sicherheitskatalog und NIS2
  • Zielarchitektur für KRITIS-konforme Datenplattformen mit klarer Sicherheits- und Datenresidenz-Story
  • Umsetzung der Plattform-Migration mit eingebauten Compliance-Eigenschaften — keine separate Sicherheits-Workstream
  • Audit-Vorbereitung mit technischen Nachweisen, die direkt aus der Plattform generiert werden (statt aus Word-Dokumenten)
  • Knowledge-Transfer an Ihre Sicherheits- und Plattform-Teams, damit Compliance kein „dauerhafter Dienstleister-Vertrag" wird

Regulatorische Anker, die wir aus realen Projekten kennen

  • §8a BSIG – Mindestmaß an organisatorischen und technischen Maßnahmen für KRITIS-Betreiber
  • BSI-KritisV – Schwellenwerte und Geltungsbereich (z.B. 3,7 Mrd. kWh/Jahr für Stromversorger)
  • §11 EnWG (Sicherheit der Energieversorgung) – Sicherheitskatalog der BNetzA mit konkreten technischen Anforderungen
  • NIS2-Richtlinie (EU 2022/2555) – seit 2024 Mindeststandards für „wesentliche Einrichtungen" mit deutlich erweitertem Geltungsbereich
  • IT-Sicherheitsgesetz 2.0/3.0 – verschärfte Meldepflichten, Bußgelder bis 20 Mio. €
  • EU AI Act – für KI-Systeme in kritischer Infrastruktur künftig „High-Risk"-Pflichten
KRITIS-Compliance funktioniert nur, wenn die Plattform sie strukturell trägt. Alles andere ist Audit-Roulette.

Souveränität: wo Ihre Daten liegen, wer Zugriff hat

Souveräne Cloud bedeutet nicht „kein Hyperscaler" — sondern: bewusste Entscheidung darüber, wo Daten verarbeitet werden, wer sie technisch lesen kann, und welche Schlüssel in Ihrer Hand bleiben.

Wir setzen das pragmatisch um: Azure Germany West/Central für die meisten Workloads (mit BYOK und Customer-Lockbox), OpenTelekomCloud oder hybride Konstellationen dort, wo es regulatorisch oder strategisch nötig ist. Ohne Ideologie, aber mit klarer Sicht darauf, welche Daten welchen Souveränitäts-Anspruch haben.

Branchen, mit denen wir arbeiten

  • Übertragungs- und Verteilnetzbetreiber – Höchste KRITIS-Stufe, OT/IT-Konvergenz, SCADA-Integration
  • Energieerzeuger – Erzeugungsanlagen ab 420 MW, Anlagen-Telemetrie, Marktintegration
  • Stadtwerke – Schwellenwerte oft knapp, aber Compliance-Anforderungen wachsen kontinuierlich
  • Direktvermarkter – Selten direkt KRITIS, aber als Marktakteure regulatorisch eng angebunden (Bilanzkreis, Redispatch 2.0)

Praxisbeispiel

Wie wir eine reporting-kritische Plattform-Migration in einem regulierten Umfeld umgesetzt haben:

Case Study · Uniper SE Neue Data Platform für Reporting bei Uniper SE — Performance +84%, Plattformkosten −76%, Zero Critical Incidents Case Study lesen

Vertiefend lesen

Hintergründe zu Sicherheits-Architektur und Cloud-Souveränität in der Energiewirtschaft:

Infopool Azure-Landing-Zone für EVU Infopool dbt in regulierten Umgebungen Leistung Data Governance für Energieversorger Leistung Data Platform für Energieversorger

KRITIS-Audit oder Plattform-Migration im Haus?

30 Minuten, unverbindlich. Wir teilen, wie wir Compliance und Plattform-Engineering verzahnen — und wo die typischen Fallstricke sind.

Gespräch vereinbaren Case Studies ansehen