NIS 2-Richtlinie für die Energiewirtschaft

Who we areNewsPress & MediaNewslettersNewsletter „Public Sector“Newsletter „Public Sector“ 4/2025

NIS 2-Richtlinie für die Energiewirtschaft

NIS 2 im Fokus: Cyberrisiken treffen die Unternehmensrealität

Die NIS 2-Richtlinie markiert den Beginn einer neuen Ära der Cybersicherheit in Europa. In Deutschland wird sie durch das NIS-2-Umsetzungs- und Cybersicherheitsgesetz in nationales Recht überführt, im Zentrum steht dabei die Anpassung des BSI-Gesetzes (BSIG-E). Ziel ist, die digitale Widerstandskraft kritischer und sogenannter (besonders) wichtiger Infrastrukturen nachhaltig zu stärken und sie gegen die zunehmende Cyberbedrohung abzusichern.

Mit der Umsetzung weitet der Gesetzgeber den Adressatenkreis erheblich aus. Neben Energie-, Transport und Gesundheitsunternehmen werden künftig auch Wasser- und Abwasserbetriebe, IT- und Telekomunikationsanbieter sowie Finanz- und Versicherungsdienstleister unmittelbar erfasst, auch wenn sie keine kritischen Infrastrukturen betreiben. Ergänzt wird der neue Rechtsrahmen durch erweiterte Melde- und Dokumentationspflichten sowie ein Sanktionssystem, das die Verantwortung bis in die Führungsetagen hineinzieht.

Die Botschaft an die Unternehmensführung ist eindeutig: Wer zögert, riskiert Bußgelder und Haftung. Damit wird NIS 2 ein Signal zur Neuordnung der digitalen Sicherheitsstruktur.

Durch die Einführung der NIS-2-Richtlinie zieht der Gesetzgeber auch im Energiewirtschaftsgesetz (EnWG) die Zügel deutlich an. Kernstück der Anpassungen ist der IT-Sicherheitskatalog, der von der Bundesnetzagentur unter Einbindung der betroffenen Branchenakteure auf Grundlage der neuen gesetzlichen Vorgaben erarbeitet und veröffentlicht wird. Während bislang vor allem systemrelevante Energieversorger im Fokus standen, wird der Adressatenkreis nun erheblich erweitert. Künftig werden auch solche kleineren und mittleren Unternehmen (KMU) erfasst, die bisher – jedenfalls aus energieregulatorischer Sicht – keine Schnittpunkte mit dem Thema gesetzliche Cybersicherheit hatten.

Dabei sehen sich Unternehmen künftig mit einem deutlich verschärften Pflichtenrahmen konfrontiert: Sie müssen umfassend registrieren, dokumentieren und melden – insbesondere die Einhaltung der Vorgaben des IT-Sicherheitskatalogs sowie sämtliche Sicherheitsmängel und Sicherheitsvorfälle. Ergänzend dazu erhält die Bundesnetzagentur weitreichende Ermittlungsbefugnisse – ein Instrumentarium, das nicht nur aufklärend wirkt, sondern zugleich auch disziplinierend. In begründeten Verdachtsfällen kann die Behörde tief in die technischen und organisatorischen Strukturen eines Unternehmens eingreifen, die Kosten dieser Untersuchungen tragen die Unternehmen selbst.

Besonders deutlich zieht der Gesetzgeber die Geschäftsleitung in die Verantwortung. Sie ist verpflichtet, die Anforderungen des IT-Sicherheitskatalogs nicht nur formal umzusetzen, sondern deren Einhaltung aktiv zu überwachen. Unterlassungen bleiben nicht folgenlos: Eine schuldhafte Pflichtverletzung kann zu Haftung führen – auch gegenüber der eigenen Gesellschaft. Zudem rückt die Qualifikation der Führungsebene stärker in den Fokus. Regelmäßige Schulungen werden zur Pflicht, damit Geschäftsleitungen Risiken im Bereich der IT-Sicherheit erkennen, bewerten und angemessen steuern können. Damit wird klar: Cybersicherheit ist kein delegierbares Randthema mehr, sondern ein zentraler Bestandteil guter Unternehmensführung.

Erweiterter Anwendungsbereich und Neueinstufung nach BSIG-E

NIS 2 gewinnt für Unternehmen im Energiesektor erheblich an Bedeutung – und, entscheidend neu, auch für Akteure jenseits der klassischen kritischen Infrastrukturen.  Bereits heute gelten Unternehmen nach Anhang 1 der BSI-Kritis-Verordnung als kritisch, wenn sie in der Strom-, Gas-, Kraftstoff-, Heizöl- oder Fernwärmeversorgung eine systemrelevante Rolle übernehmen, etwa beim Durchleiten großer Energiemengen oder der Absicherung der Grundlast.

Mit den neuen Kategorien „besonders wichtige“ und „wichtige“ Einrichtungen senkt der Gesetzgeber die Schwellen für ein umfassende Pflichtenprogramm deutlich ab. Als „besonders wichtig“ gelten künftig nicht nur systemrelevante Betreiber, sondern auch Unternehmen ab 250 Beschäftigen sowie mehr als 50 Mio. EUR Umsatz und 43 Mio. EUR Bilanzsumme. Eine bloße Tätigkeit im Sinne der neuen Anlage 1 des BSIG-E, etwa in der Strom-, Gas-, Wärme- oder Kälteversorgung oder als Speicherbetreiber, genügt.

Erfasst werden nun sogar kleine und mittlere Unternehmen ab 50 Beschäftigten sowie über 10 Mio. EUR Umsatz und Bilanzsumme.

Umsetzungshürden und regulatorische Fristen

Obwohl einzelne Branchenverbände das Thema aufgreifen, ist die Energiewirtschaft bislang nur unzureichend auf NIS 2 vorbereitet. Ein Grund liegt darin, dass die konkreten Sicherheitsanforderungen noch ausstehen: Erst die Bundesnetzagentur wird diese – im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik – in einem IT-Sicherheitskatalog festlegen. Sie erfolgt, wie üblich in der Regulierung, durch eine Festlegung mit allgemeiner Verbindlichkeit. Die meisten materiellen Pflichten entstehen folglich erst mit Erlass dieser Festlegung.

Nach Veröffentlichung des Katalogs verbleiben den Unternehmen nur sechs Monate zur Umsetzung, sofern die Bundesnetzagentur keine abweichende Frist bestimmt. Der scheinbare Zeitpuffer ist jedoch trügerisch: Steht der Katalog, bleibt kaum Gelegenheit, die neuen technischen Anforderungen sowie die erweiterten Dokumentations- und Meldepflichten in das Compliance-Management zu integrieren.

Faktisch besteht bereits jetzt Handlungsbedarf, insbesondere auf Geschäftsleitungsebene. Die Neuregelungen verankern eine ausdrückliche gesellschaftsrechtliche Haftung und der Bußgeldkatalog des EnWG wird entsprechend erweitert. Für viele Unternehmen bedeutet dies, interne Compliance-Richtlinien schon jetzt anzupassen.

Besonderheiten und Fallstricke für Unternehmen der Energiewirtschaft

Bisher richten sich die Anforderungen der Cyber-Sicherheit nach dem BSIG ausschließlich an Betreiber kritischer Infrastrukturen. Mit dem BSIG werden sie nun auf „wichtige“ und „besonders wichtige“ Einrichtungen ausgeweitet. Tausende Unternehmen sind damit erstmals gesetzlich verpflichtet, ein Mindestmaß an Cyber-Sicherheit sicherzustellen.

Selbst Energieunternehmen, die weder heute noch künftig als kritische Infrastruktur gelten, können aufgrund niedriger Schwellenwerte unter die neuen Pflichten fallen, sofern sie eine der Anlage 1 des BSIG-E genannten Einrichtungsarten betreiben – eine Überraschung für manche Betroffene. Zugleich gilt das BSIG-E ohne Übergangsfrist: Wer unter seinen Anwendungsbereich fällt, muss bereits jetzt vorbereitet sein.

Ein wesentliches Risiko für Unternehmen liegt in unzureichendem Risikomanagement, fehlender Awareness, unklaren Zuständigkeiten und der Unterschätzung des Aufwands zur Umsetzung der neuen Vorgaben. Besonders betroffen sind kleinere und mittlere Unternehmen: Werden die Anforderungen im IT-Sicherheitskatalog zu komplex oder technisch überreguliert, können Unternehmen schnell überfordert sein. Erfahrungen aus dem Smart-Meter-Rollout zeigen, dass „regulierte Digitalisierung“ in Deutschland oft nur langsam umgesetzt wird. Für die Geschäftsleitungen gilt: Prävention und aktive Compliance sind zwingend, denn die Neuregelungen im EnWG verankern eine umfassende Haftung.

Vor diesem Hintergrund ist es entscheidend, dass die BNetzA bei der Entwicklung des IT-Sicherheitskatalogs nicht nur die großen Verbände, sondern auch Mittelständler einbindet. Nur so lassen sich praktikable Standards schaffen, die für alle betroffenen Unternehmen umsetzbar sind.

Vorbereitung auf NIS 2

Zentral ist zunächst die Frage, ob das Unternehmen von den neuen Regelungen betroffen ist.

Unternehmen sollten frühzeitig eine umfassende Ist-Analyse durchführen, Verantwortlichkeiten klar regeln und sowohl Management als auch Mitarbeitende schulen. Die Neuregelungen verpflichten Einrichtungen nicht nur zu technischen, sondern auch zu organisatorischen Maßnahmen. Bestehende Prozesse, interne Richtlinien und Systeme sollten daher auf Konformität mit BSIG-E und EnWG-E geprüft und gegebenenfalls angepasst werden.

Gleichzeitig empfiehlt es sich, fortlaufende Anpassungen auf untergesetzlicher Ebene im Blick zu behalten: Änderungen z.B. am IT-Sicherheitskatalog durch die BNetzA lösen stets neue Dokumentations- und Meldepflichten aus. Sprechen Sie uns bei Rückfragen hierzu bitte an.

Autoren: Tarek Abdelghany, Christian Kirchberger

 

Dies ist ein Beitrag aus unserem Public Sector Newsletter 4-2025. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.