NIS2-Richtlinie kommt: Neue Pflichten für über 30.000 Unternehmen

Energiebranche besonders betroffen – was Stadtwerke, Start-ups und Betreiber jetzt wissen müssen!

Cybersicherheit wird Pflicht: EU zieht den Kreis deutlich weiter

Die bisherige Welt der Cybersicherheitsregeln war überschaubar: Rund 1.100 sogenannte KRITIS-Betreiber in Deutschland mussten sich an die Vorgaben der EU halten. Doch mit der neuen NIS2-Richtlinie wird diese Grenze aufgehoben – mehr als 30.000 Unternehmen geraten neu in den Fokus. Darunter auch viele, die bislang kaum Berührung mit dem Thema hatten. Besonders im Rampenlicht: Energieunternehmen. Sie zählen zu den “Sektoren mit hoher Kritikalität” – und unterliegen damit den strengsten Anforderungen. Und es trifft nicht nur die ganz Großen: Auch Stadtwerke, Bürgerwindparks und Energie-Start-ups mit mehr als 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz müssen sich rüsten.

Keine Übergangsfrist: Der Countdown läuft

Die nationale Umsetzung erfolgt durch das sogenannte NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). In Kraft treten soll es Ende 2025 oder Anfang 2026 – ohne Übergangsfrist. Für Energieakteure heißt das: Vorbereitung ist Pflicht, Aufschub keine Option.

Was konkret auf Energieunternehmen zukommt

Unternehmen müssen ein Informationssicherheitsmanagementsystem (ISMS) einführen – inklusive Risikoanalysen, Reaktionsplänen, Kryptographie und Sicherheitskonzepten für die gesamte Lieferkette. In der Energiebranche besonders heikel: die Schnittstelle von IT und OT. SCADA-Systeme, Netzleitstellen und Smart Grids müssen ebenso abgesichert werden wie klassische IT-Infrastruktur. Der vorgeschriebene „All-Hazards-Ansatz“ berücksichtigt auch Naturkatastrophen und andere physische Bedrohungen.

Wer genau ist betroffen?

Die NIS2-Richtlinie unterscheidet zwischen zwei Hauptkategorien:

• Wesentliche Einrichtungen: Unternehmen mit über 250 Mitarbeitenden oder mehr als 50 Mio. € Umsatz
• Wichtige Einrichtungen: Unternehmen mit über 50 Mitarbeitenden oder mehr als 10 Mio. € Umsatz
  

Aber auch kleinere Akteure können unter bestimmten Voraussetzungen erfasst werden. In der Energiebranche reicht die Spanne von Kraftwerksbetreibern und Netzbetreibern über Energieversorger bis hin zu Herstellern von Windkraftanlagen und Betreibern von Ladeinfrastruktur.

Vier zentrale Herausforderungen für die Energiebranche

1. Drei Regulierungsebenen auf einmal
   Energieunternehmen stehen künftig unter Triple-Compliance: Sie müssen parallel NIS2, die Vorgaben aus dem Energiewirtschaftsgesetz (EnWG §5c) und die bestehenden KRITIS-Vorgaben erfüllen. Zuständig ist die Bundesnetzagentur, die sich jedoch mit dem BSI abstimmen muss – ein nicht immer reibungsfreier Prozess.
2. Legacy-Systeme und das OT-Sicherheitsdilemma
   Viele Systeme in der Energiebranche laufen im 24/7-Betrieb und lassen sich kaum abschalten. Das erschwert Updates und Wartung. Gleichzeitig steigt der Druck, Fernzugriffe und Smart-Meter-Infrastruktur gegen Angriffe abzusichern – ohne die Versorgungssicherheit zu gefährden.
3. Verwundbare Lieferketten
   Mit bis zu 80 Prozent Fremdvergabe ist die Energiebranche stark auf Dienstleister angewiesen. Kritisch sind dabei nicht nur IT-Anbieter, sondern auch Wetterdienste, Kommunikationsnetze und grenzüberschreitende Partner im Energiehandel.
4. Neue Angriffsflächen durch Digitalisierung
   Kraftwerksleitsysteme, Energiehandelsplattformen, Smart Grid-Komponenten – all das sind attraktive Ziele für Cyberangriffe. Besonders gefährdet: kleinere Stadtwerke mit begrenzten Sicherheitsbudgets.
   
   

Kleine Energieakteure unter Druck

Gerade für Bürgerenergieprojekte, Genossenschaften und Start-ups ist die Umsetzung der NIS2-Richtlinie eine Herkulesaufgabe. Ihnen fehlen oft Personal, Know-how und Geld, um die neuen Pflichten zu stemmen. Hinzu kommt der Fachkräftemangel im Bereich OT-Security. Branchenverbände fordern daher eine differenzierte Regulierung, abgestimmt auf die Unternehmensgröße.

Was hilft? – Lösungsansätze für KMU

• Gemeinsame ISMS-Lösungen über Branchenverbände
• Die dena-NIS2-Roadmap gibt praxisnahe Orientierung
• Standardisierte Tools und Prozesse helfen, Kosten zu senken
• Kooperationen mit Dienstleistern statt Alleingänge

Fünf Empfehlungen für die Praxis

1. Betroffenheit prüfen: Etwa über das BSI-Tool zur NIS2-Betroffenheitsprüfung
2. ISMS aufbauen – inklusive OT-Integration nach IEC 62443 und VdTÜV-Merkblatt 310
3. Meldeprozesse etablieren – mit klarer IT-/OT-Abgrenzung
4. Cybersecurity zur Chef-Sache machen – etwa durch ein eigenes Board-Committee
5. Sofortmaßnahmen starten: Segmentierung prüfen, MFA einführen, Notfallpläne testen

Fazit: Komplexität trifft Verantwortung

Die NIS2-Richtlinie bringt für Energieunternehmen mehr als nur neue Pflichten – sie ist ein Paradigmenwechsel. Besonders kleinere Akteure geraten unter Zugzwang. Wer jetzt nicht handelt, riskiert Bußgelder und Imageschäden.

Weitere Informationen

BSI-Betroffenheitsprüfung
Entscheidungsbaum (PDF)

Haben Sie weitere Fragen zu diesem Thema? Vadim erreichen Sie hier.