Der IKT-Minimalstandard ist seit Juli 2025 verpflichtend – nun ist knapp ein Jahr vergangen. Wie war das erste Jahr in der Praxis? Hat die Branche die Kurve gekriegt, oder hinken viele Versorger:innen noch hinterher?
Adrian Märklin: Aus Erfahrung ist die Erreichung der geforderten IKT-Maturität kein Kurzläufer. Nach einem ersten Audit und Erkenntnissen der Schwachstellen, geht es in die Umsetzung, welche oftmals erst budgetiert und freigegeben werden muss. Das kann schnell zwei Jahre dauern.
Die Einteilung in drei Schutzniveaus sollte die Umsetzung für kleinere Versorger:innen erleichtern. Hat das funktioniert – oder siehst du gerade bei kleineren Stadtwerken und Gemeindewerken noch grosse Lücken?
Adrian Märklin: Die Abstufung der Schutzniveaus ist sinnvoll und kommt den kleineren Werken entgegen. Lücken gibt es in allen Grössenordnungen der Werke. Die Behebung ist bei kleineren Werken, speziell in der Implementierung, einfacher da weniger Komplexität vorhanden ist und die Entscheidungswege kürzer sind.
IT vs. OT – ein Jahr später SCADA, Smart Metering, vernetzte Betriebsgeräte – das war für viele Betriebe Neuland. Was hat sich in der OT-Absicherung im letzten Jahr konkret verändert – und wo hakt es noch immer?
Adrian Märklin: Vielfach mangelt es an der Sichtbarkeit der Gerätschaften in den OT-Netzwerken. Es kann nur geschützt werden, was man kennt und deren Kommunikation sehen kann. Die passive Überwachung von OT-Geräten basierend auf ihrer Netzwerkkommunikation erfordert in der Regel neue Sensorik in segmentierten Netzwerken.
Viele Gasversorger:innen im Swisspower-Netzwerk sind kommunal geführt, oft mit kleinen IT-Teams. Wer hat die Umsetzung wirklich eigenständig geschafft – und wer hat externe Unterstützung gebraucht?
Adrian Märklin: In grossen Werke sind die Ressourcen und Expertise für die Einhaltung der IKT-Minimalstandard eher vorhanden. Eine Auditierung sollte aber immer von Externen durchgeführt werden. Eine gut vorbereitete Organisation spart Zeit im Audit.
Von den 108 Massnahmen – welche haben den Betrieben am meisten Kopfzerbrechen bereitet? Und gibt es Massnahmen, bei denen die Branche heute noch nicht dort ist, wo sie sein sollte?
Adrian Märklin: Die 108 Controls sind in fünf Module unterteilt. Das Modul Detect (Erkennung) und Protect (Schutz) sind technisch die aufwändigsten. Im Modul React (Reaktion) fehlt es häufig an Dokumentationen. Wir sehen meistens Bedarf in der Asset-Verwaltung, in der OT-Netzwerktransparenz, dem zentralen Remote-Access und zentralisierten System-Logs. Die Schulung der Mitarbeiter:innen im Bereich Cybersicherheit verbessert sich.
Notfallmanagement – wurde es getestet? Notfallpläne müssen regelmässig geprobt werden. Habt ihr bei Swisspower konkrete Übungen durchgeführt – und was hat die Praxis gezeigt, das auf dem Papier vorher nicht sichtbar war?
Adrian Märklin: Die Durchführung von Table-Top-Exercises, also Notfallübungen, ist nicht Bestandteil unseres Audits. Der IKT-Minimalstandard verlangt diese Übungen jedoch periodisch. Was wir von solchen Übungen unter Druck hören, ist, sagen wir mal „sehr erkenntnisreich“. Das zweite Mal geht‘s dann schon besser.
Wer heute gerade so compliant ist, ist morgen vielleicht schon wieder zurück. Was rätst du Verantwortlichen in der Branche – was steht als nächstes auf der Agenda, und worauf sollten sich Stadtwerke jetzt schon vorbereiten?
Adrian Märklin: Cybersicherheit ist kein Projekt, sondern ein Prozess. Wichtig ist, dass Änderungen oder Erweiterungen immer gemäss IKT-Minimalstandard durchgeführt werden. Wir empfehlen ein Re-Audit nach zwei bis drei Jahren.
Aus Sicht der Swisspower zeigt das erste Jahr nach Einführung des IKT-Minimalstandards: Die Branche ist auf dem richtigen Weg, steht aber weiterhin vor zentralen Umsetzungsaufgaben. Besonders bei der Transparenz in OT-Systemen, dem Schutz kritischer Infrastrukturen und der nachhaltigen Verankerung von Cybersicherheit besteht Handlungsbedarf. Klar ist: Cybersicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Swisspower wird ihre Partner:innen auch künftig dabei unterstützen, die Anforderungen effizient umzusetzen und ihre Resilienz gegenüber Cyberrisiken langfristig zu stärken.