Comply/CheckScope prüfen

NIS2 · Branchenüberblick

Wie betrifft NIS2 die Energiesektor-Branche?

Strom-, Gas-, Erdöl- und Fernwärmeversorger zählen zu den Sektoren mit hoher Kritikalität. Die NIS2-Richtlinie bringt strengere Pflichten als das alte IT-SiG 2.0 — und überschneidet sich mit der KRITIS-Verordnung.

NIS2-Check für Energiesektor startenStand: Geprüft gegen NIS2UmsuCG-EntwurfQuelle

Welche Energiesektor-Unternehmen sind NIS2-pflichtig?

Energieversorger sind in Anhang I der NIS2-Richtlinie gelistet. Wesentliche Einrichtungen ab 250 Mitarbeitenden oder 50 Mio. € Umsatz und 43 Mio. € Bilanzsumme. Wichtige Einrichtungen ab 50 Mitarbeitenden oder 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme.

Typische Adressaten

  • Stromversorger und Verteilnetzbetreiber
  • Gasversorger und Fernleitungsnetzbetreiber
  • Erdölförder-, -lager- und -transportunternehmen
  • Fernwärme- und Fernkältenetzbetreiber
  • Wasserstoff-Erzeuger und -Speicherbetreiber

Top-Mindestmaßnahmen für Energiesektor

NIS2 listet in Anhang IV elf generelle Mindestmaßnahmen. Drei sind für die Energiesektor-Branche besonders wirksam — sowohl regulatorisch als auch im realen Bedrohungsbild.

Maßnahme 1 von 3

Risikomanagement und ISMS

Warum

§ 30 BSIG-E verlangt ein dokumentiertes Risikomanagement nach Stand der Technik. Im Energiesektor: erweiterter ISMS-Scope auf OT-Systeme (Leitwarten, SCADA).

In der Praxis

ISO 27001 oder branchen­spezifische ISMS-Variante (z. B. IT-Sicherheitskatalog der BNetzA nach § 11 EnWG) als Baseline. Lückenanalyse zwischen bestehendem ISMS und NIS2-Mindeststandards.

Maßnahme 2 von 3

OT/IT-Trennung und Netzsegmentierung

Warum

Energieleitsysteme dürfen nicht über das Office-Netz erreichbar sein. NIS2 fordert Maßnahmen gegen seitliche Bewegungen im Netz und Asset-Inventarisierung.

In der Praxis

Demilitarisierte Zonen (DMZ) zwischen Office und Leittechnik, Zero-Trust-Ansatz bei Remote-Zugriffen, dokumentiertes Asset-Inventar mit Kritikalitäts-Klassifizierung.

Maßnahme 3 von 3

24-Stunden-Meldepflicht an BSI

Warum

NIS2 senkt die Erstmeldefrist auf 24 Stunden ab Kenntnisnahme eines erheblichen Sicherheitsvorfalls. Im Energiesektor zusätzlich Doppelmeldung an die BNetzA.

In der Praxis

Incident-Response-Playbook mit klarer Eskalationskette. Vorab-Test der Meldewege zu BSI und BNetzA. Vorbereitete Meldevorlagen für die häufigsten Vorfall-Typen.

Lieferketten-Pflicht in der Energiesektor

NIS2 verpflichtet Energieversorger, Cybersicherheits-Anforderungen auf direkte Zulieferer auszuweiten — insbesondere auf IT-Dienstleister, Hersteller von Steuerungstechnik und Wartungsfirmen mit Remote-Zugang.

Typische Lieferanten- und Dienstleister-Beziehungen

  • SCADA-Lieferanten: Schwachstellen-Meldung und Patch-SLAs vertraglich verankern
  • MSP-Verträge: Audit-Recht und Nachweispflicht für Sicherheits-Standards
  • Wartungs-Dienstleister: Zugangsmanagement, Multi-Faktor-Auth, Logging
  • Cloud-Anbieter für Marktkommunikation: BSI-C5-Testat oder gleichwertig

Erste Einordnung

NIS2-Check mit Sektor-Vorbelegung für Energiesektor

Vier Fragen, eine erste Einschätzung — keine Rechtsberatung. Das Tool nutzt eine Sektor-Vorbelegung, die zu Energiesektor-Profilen passt, und zeigt eine priorisierte erste Roadmap.

NIS2-Check für Energiesektor starten

Häufige Fragen zu NIS2 in der Energiesektor

Sind kleine Stadtwerke ebenfalls NIS2-pflichtig?

Ja, wenn sie die Schwellen für „wichtige Einrichtungen“ überschreiten (50+ Mitarbeitende oder 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme). Bei kleineren Stadtwerken kommt es auf die Versorgungsrelevanz an — die KRITIS-Verordnung kann zusätzlich greifen.

Wie unterscheidet sich NIS2 vom IT-Sicherheitskatalog der BNetzA?

Der IT-Sicherheitskatalog nach § 11 Abs. 1a/1b EnWG ist sektor-spezifisch und teils enger gefasst. NIS2 ergänzt ihn um sektor-übergreifende Mindestmaßnahmen, Lieferketten-Anforderungen und die 24-Stunden-Meldefrist. Beide Regelwerke gelten parallel.

Was passiert bei Pflichtverletzungen?

Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (wesentliche Einrichtungen) bzw. 7 Mio. € oder 1,4 % (wichtige Einrichtungen). Die Geschäftsleitung haftet persönlich, wenn Cybersicherheits-Maßnahmen vernachlässigt wurden.

Muss die Geschäftsleitung an Schulungen teilnehmen?

Ja. § 38 NIS2-Richtlinie verpflichtet Leitungsorgane zur Teilnahme an Cybersicherheits-Schulungen und zur Genehmigung von Risikomanagement-Maßnahmen. Die Schulung muss dokumentiert sein.

Wie verhält sich NIS2 zur KRITIS-Verordnung?

Wer KRITIS-Schwellen überschreitet, ist parallel KRITIS- und NIS2-pflichtig. Praktisch bedeutet das doppelte Meldewege (BSI als zentrale Stelle, plus sektor-spezifische Aufsicht). Die Maßnahmen­anforderungen überschneiden sich weitgehend.

Ab wann gelten die NIS2-Pflichten konkret?

Die NIS2-Richtlinie war europarechtlich bis 17. Oktober 2024 in nationales Recht umzusetzen. Deutschland verzögert sich; das NIS2UmsuCG wird laut BMI-Zeitplan 2026 in Kraft treten. Wesentliche Pflichten (Registrierung, Mindestmaßnahmen) sollten dennoch jetzt vorbereitet werden.