Wer in der Energiewelt arbeitet, weiß: Unser Alltag wird digitaler, vernetzter – und manchmal auch komplizierter.
Leitstellen reden mit Umspannwerken, Sensoren mit Cloud-Plattformen, und wenn irgendwo ein Windrad hustet, bekommt das Rechenzentrum am anderen Ende des Landes eine Nachricht. Willkommen in der Ära der intelligenten Energieversorgung.
Und mitten in diesem bunten Mix aus Bits, Spannung und Sicherheitsanforderungen: die neue DIN ISO/IEC 27019:2025 (aktuell noch im Entwurf, formal gilt noch ausschließlich die englische Version ISO/IEC 27001:2024).
Die Norm, die früher kaum jemand außerhalb der Auditwelt kannte, und Ihre Daseinsberechtigung primar aus dem IT Sichereitskatalog der BNetzA bezieht, bekommt jetzt ihren großen Auftritt.
Alte Struktur, neue Welt
Die Vorgängerversion von 2017 (in Deutschland 2020 veröffentlicht) war solide – aber sie sprach noch die Sprache einer Welt, in der Energieversorgung ein bisschen nach „Kraftwerk, Kabel, Kontrollraum“ klang.
Seitdem hat sich vieles verändert: Wir haben Smart Grids, Ladestationen, verteilte Energieressourcen (DER), Fernwartung, Cloud-SCADA und eine OT-Welt, die inzwischen fast so komplex ist wie die IT. Und die ISO/IEC 27019:2025 erkennt das.
Sie wurde vollständig überarbeitet und ist nun an die ISO/IEC 27002:2022 angepasst, und das bedeutet neue Struktur, neues Wording, neue Denkweise.
Statt der alten Kapitelreihenfolge gibt es jetzt vier Dimensionen: Organisation, Personen, Physisch und Technologie.
Klingt nüchtern – ist aber praktisch. Denn plötzlich passen ISMS, Audit und Praxis wieder zusammen.
Erfreulich für alle, die die ISO 27019:2017 bereits erfolgreich umgesetzt haben ist, dass darüber hinaus kaum aufwendige, neue Maßnahmen gefordert sein.
Was hat sich wirklich geändert?
Zunächst das Offensichtliche: Die neue Norm ist aufgeräumter.
Viele der alten, redundanten Controls wurden gestrichen oder zusammengeführt. Die berühmt-berüchtigten ENR-Kontrollen („Energy Utility Industry Specific Controls“) sind schlanker geworden – und zugleich präziser.
Aber der wahre Fortschritt steckt zwischen den Zeilen. Die 27019:2025 redet nicht mehr nur über Zutrittskontrollen und Passwortschutz, sondern über die Realität vernetzter Systeme.
Beispiele gefällig?
ENR 7.18 – Gekoppelte Steuerungs- und Kommunikationssysteme: fordert klare Schnittstellen und Notfalltrennung – praktisch Pflichtlektüre für alle mit SCADA- oder Leitsystemen. Aber schon bekannt aus der :2017!
ENR 8.37 – Sicherung der Prozessdatenkommunikation: bringt endlich die Brücke zwischen OT und IT auf Normniveau. Auch schon bekannt, hauptsächlich jedoch aus dem IT Sicherheitskatalog.
ENR 8.38 – Logische Anbindung externer Systeme: behandelt Cloud- und Partneranbindungen – ein Thema, das 2017 noch kaum jemand ernst nahm.
Und mit ENR 8.39 – Least Functionality schiebt die Norm dem beliebten „das-lassen-wir-mal-offen-für-später“-Ansatz den Riegel vor. Nur das, was wirklich gebraucht wird, darf laufen. Punkt. Hatten wir in der 2017 Edition auch schon.
Kurz gesagt: Die neue Norm ist digitaler, realistischer und deutlich näher am täglichen Betrieb.
Übergangszeit – keine Panik, aber bitte angehen!
Wie bei jeder Revision gibt es eine Übergangsfrist.
Bis 31. Oktober 2026 dürfen Zertifizierungen noch nach der alten Version laufen. Danach wird’s ernst: Audits und Zertifikate müssen auf die 2025er-Ausgabe umgestellt sein.
Die gute Nachricht: Die Umstellung ist machbar.
Wer schon ein ISMS nach ISO 27001:2022 mit ISO 27019:2017 betreibt, hat die meiste Arbeit getan.
Es geht jetzt vor allem darum, das Mapping der neuen Controls zur Umsetzung zu prüfen, die Anwendbarkeitserklärung (SoA) zu aktualisieren und ggf. neuen Themen – Cloud, OT/IT, Safety-Funktionen – sauber zu integrieren.
Klingt trocken? Ist es nicht. Viele Unternehmen nutzen diesen Wechsel gerade, um ihre Prozesse etwas aufzuräumen. Weniger Mappings via Excel, mehr Systematik – und manchmal auch die Erkenntnis, dass bestimmte Themen doch mal anders umgesetzt werden sollten und „Security by Design“ nicht nur ein Buzzword ist.
Fazit: Kein Papier, sondern ein Werkzeug
Die ISO/IEC 27019:2025 ist keine Revolution, sondern eine klug geplante Evolution.
Sie modernisiert das Fundament, auf dem sichere Energieversorgung heute aufbauen muss.
Sie spricht die Sprache der Automatisierung, ohne den Bezug zur klassischen Informationssicherheit zu verlieren.
Oder, um es salopp zu sagen:
Die neue 27019 ist wie ein gutes Update – sie macht das System stabiler, sicherer und läuft einfach runder.
Unterstützung gewünscht?
Unterstützung gewünscht?
Unterstützung bei der Einführung oder Migration auf die ISO/IEC 27019:2025 bieten unsere Expertinnen und Experten der Süd IT – praxisnah, branchenerfahren und mit dem Blick fürs Wesentliche.
