Strom- und Gasnetzbetreiber sind von den Verpflichtungen des IT-Sicherheitskataloges befreit, sofern sie nicht über Systeme verfügen, die in den Anwendungsbereich des IT-Sicherheitskataloges fallen. Dies ist gegenüber der Bundesnetzagentur (BNetzA) anzuzeigen und zu begründen. Die BNetzA schreibt in ihren FAQ zum IT-Sicherheitskatalog hierzu folgendes:
"Ich betreibe nur Anlagen ohne Gefährdungspotential, ohne Anschluss an das Internet oder habe kein Leitsystem. Benötige ich dennoch eine Zertifizierung?
Betreibt ein Strom- oder Gasnetzbetreiber keine vom IT-Sicherheitskatalog erfassten Systeme in seinem Netz und lässt diese auch nicht von einem externen Dienstleister betreiben bzw. handelt es sich nur um Systeme ohne Gefährdungspotential, besteht auch keine Umsetzungspflicht für die diesbezüglichen Sicherheitsanforderungen des IT-Sicherheitskatalogs. Es bedarf dann auch keiner Zertifizierung. Dies ist jedoch zu begründen und durch geeignete Nachweise zu belegen. Die Telekommunikations- und elektronischen Datenverarbeitungssysteme eines Netzbetreibers, die für einen sicheren Netzbetrieb notwendig sind, sind im Rahmen der geforderten Risikoeinschätzung zu ermitteln. Insofern kann ein geeigneter Nachweis durch Vorlage der Dokumentation zur dieser Risikoanalyse oder durch sonstige Pläne zur Struktur des Netzes erfolgen.“