Cybersicherheit, IKT Minimalstandard und Meldepflicht. Ob Strom, Wasser oder Daten: Geht es um kritische Infrastrukturen, ist Cybersicherheit kein „nice to have“, sondern Pflicht. Die neue Meldepflicht für Sicherheitsvorfälle stellt Unternehmen wie die Axpo vor neue Herausforderungen – und eröffnet Chancen, um Prozesse und Zusammenarbeit zu stärken.

Im Interview mit M.Sc. René Oester, CEO AXPO Systems AG schauen wir hinter die Kulissen: Wie geht ein Schweizer Energieversorger mit dieser Verantwortung um? Wie können Energieversorger und KMU mit wenig Ressourcen davon profitieren? Und wohin entwickelt sich das Thema?

Bedeutung der Meldepflicht - Warum sind die IKT-Minimalstandards und die Meldepflicht im Energiesektor heute wichtiger denn je?

Die Risikoexposition durch Cyberbedrohungen hat im Energiesektor stark zugenommen. Eine resiliente, digital gesteuerte Energieversorgung ist für Wirtschaft und Gesellschaft zentral – und muss mit entsprechender Awareness sowie Priorität behandelt werden, gerade im Kontext der laufenden Energiewende.

IKT-Minimalstandards und die Meldepflicht sind heute essenziell, da sie Sicherheit strukturieren, Erwartungen der Behörden klären und über die Branche hinweg eine Standardisierung ermöglichen. Das führt zu gebündelter Kompetenz, schnelleren Reaktionen auf Sicherheitslücken und damit zu einer zuverlässigen Energieversorgung.

Diese Umsetzung erfordert allerdings substanzielle Investitionen in die Sicherheits-Infrastruktur der Branche.

Wie stellt die Axpo sicher, dass Sicherheitsvorfälle erkannt und gemeldet werden? Welche internen Strukturen und Lösungen hat sie dafür aufgebaut? Wie können kleinere Schweizer Energieversorger die neuen regulatorischen Anforderungen erfüllen – und inwiefern kann die Axpo dabei helfen?

Axpo investiert seit Jahren umfassend in die Sicherheits-Architektur ihrer Anlagen, Systeme sowie in Technologie, Prozesse und Mitarbeitende. Die sich seit der Corona-Pandemie und dem Ukraine-Krieg verändernde Bedrohungslage führte zur gezielten Anpassung und Fokussierung bestehender Programme. Mit dem Aufbau eines spezialisierten Security Operation Centers bei Axpo Systems AG werden kritische Infrastrukturen rund um die Uhr in Echtzeit überwacht – sowohl physisch als auch im digitalen Raum. So können Sicherheitsvorfälle frühzeitig erkannt, koordiniert gelöst und idealerweise vermieden werden. Im Ereignisfall stehen jederzeit Fachspezialisten bereit. Auch kleinere Energieversorger profitieren von dieser Infrastruktur über die öffentlich zugänglichen und spezialisierten Security Operation Services wie SOC-Monitoring und Incident-Response. Damit erfüllen sie regulatorische Vorgaben rasch und effizient – ohne eigene, aufwändige Sicherheitsstrukturen aufbauen zu müssen.

Gab es bislang Vorfälle, die bereits dem BACS gemeldet werden mussten – und welche Lehren hat die Axpo daraus gezogen?

Die Meldepflicht ermöglicht erstmals eine gesamtheitliche Lageanalyse in der Schweiz. Im ersten Quartal seit Einführung der Meldepflicht gingen gemäss Angaben des BACS über 80 Meldungen aus verschiedenen Bereichen ein. Die Axpo ist in engem Austausch mit dem BACS. Informationen und Erkenntnisse vom BACS fliessen direkt ins Security Operation Center (SOC) ein und helfen, Monitoring und Störungs-Management laufend zu verbessern.

Erfahrungen aus Vorfällen zeigen:

• Schnelle Erkennung und Reaktion sind entscheidend, um Schäden zu minimieren.
• Phishing ist ein häufig genutzter Startpunkt für die Einleitung von Angriffen.
• Regelmässige Awareness-Schulungen sind essenziell, um Social-Engineering frühzeitig zu erkennen.

Kontinuierliches Training sorgt dafür, dass das Sicherheitsbewusstsein intern hoch bleibt.

Wie wird sich das Thema aus Ihrer Sicht in den nächsten Jahren entwickeln? Und welche Rolle spielt dabei die Zusammenarbeit mit Behörden wie dem BACS oder europäischen Partnern?

Cybersicherheit wird im Energiesektor zunehmend zum strategischen Kernthema. Durch die Digitalisierung steigt die Angriffsfläche, weshalb ein schneller, standardisierter Austausch mit Behörden, Partnern und der Industrie essenziell ist. Nur so lassen sich Sicherheitslücken rasch erkennen und beheben, um die Resilienz und Versorgungssicherheit langfristig zu sichern.

M.Sc. René Oester, CEO AXPO Systems AG