Von NIS2- bis EnWG-Umsetzung – Cybersicherheit in der Energiewirtschaft

NIS2 Umsetzung

• 07.01.2026

Ohne Stromversorgung funktioniert nichts. Diese Erkenntnis ist nicht neu, aber aktueller denn je. Tägliche Schlagzeilen, Berichte der europäischen und nationalen Sicherheitsbehörden, wie der ENISA, dem österreichischen Bundeskanzleramt oder dem deutschen BSI zeigen, wie stark die Gefährdungslage zunimmt. Besonders Energieunternehmen stehen immer häufiger im Fokus von Cyberangriffen. Doch wie begleiten die neuen EU-Richtlinien diese Entwicklung – und warum ist es für Energiebetreiber zwingend, ihnen zum Beispiel durch Umsetzung der NIS2-Richtlinie zu folgen?

Warum Cybersicherheit jetzt wichtiger denn je ist

Mit der Digitalisierung hat sich die Energiewirtschaft grundlegend verändert. Neue Technologien eröffnen Chancen, erhöhen aber auch die Risiken. Die zunehmende Vernetzung kritischer Infrastrukturen und ihre Abhängigkeit von IT-Systemen machen sie verwundbarer denn je.

Ein Blick auf die bekannten Schwachstellen zeigt die Dimension des Problems: Hersteller von OT-Systemen veröffentlichen regelmäßig Sicherheitshinweise zu ihren Produkten. Die Anzahl gemeldeter Schwachstellen ist in den letzten Jahren deutlich gestiegen – ein klares Indiz, dass sich Gefahren im Cyberspace weiter verschärfen. Der Schutz von versorgungskritischen Unternehmen vor Cyberangriffen, aber auch vor physischen Attacken ist deshalb lebenswichtig.

• Spezialisierte Angriffserkennungssystem für das Stromnetz
• Schwachstellen-Management und Threat Intelligence
• Die aktuellsten News der Stromversorgungssicherheit

Aktuelle Entwicklung der Cybersicherheitsgesetze

Die EU-Richtlinie NIS2 hat seit ihrer Verabschiedung im Jahr 2022 intensive Diskussionen und Auseinandersetzungen zum Thema Cybersicherheit ausgelöst. Sie fordert von den Mitgliedsstaaten, die erweiterten Sicherheitsvorgaben bis Oktober 2024 in nationales Recht umzusetzen – ein Ziel, welches auch ein Jahr später von Deutschland und vielen weiteren Staaten noch immer nicht erreicht wurde. Diese Verfehlung ist bemerkenswert, insbesondere da das Thema Cybersicherheit keineswegs neu ist. Bereits die 2016 eingeführte NIS-Richtlinie verpflichtete die Mitgliedsstaaten, ihre kritischen Systeme besser zu schützen. Mit NIS2 wurde diese Verantwortung verstärkt und auf zusätzliche Wirtschaftssektoren ausgeweitet, darunter die Lebensmittelindustrie und der öffentliche Verkehr.

Für den Energiesektor ist in Deutschland das Energiewirtschaftsrecht (EnWG) relevant, welches im Zuge der NIS2-Umsetzung an die dort definierten Anforderungen angepasst wird. Hierfür werden dem EnWG die Paragraphen 5c bis 5e hinzugefügt.

Inhalt der NIS2-Richtlinie

Die NIS2-Richtlinie legt verbindliche Mindestmaßnahmen zur Cybersicherheit fest, die Unternehmen umsetzen müssen. Diese umfassen unter anderem:

• Meldung und Bearbeitung von Sicherheitsvorfällen: Unternehmen müssen Vorfälle in kurzer Zeit an die zuständigen Behörden melden.
• Risikomanagement: Verpflichtung zur Identifizierung und Bewertung von Sicherheitsrisiken.
• Schwachstellen-Management: Erkennung und Beseitigung von Schwachstellen in IT- und OT-Systemen.

Viele dieser Maßnahmen orientieren sich an anerkannten Standards wie "ISO 27001", "BSI IT-Grundschutz" oder dem "NIST Cybersecurity Framework". Verstöße werden mit empfindlichen Sanktionen geahndet, was die Einhaltung der Vorgaben zur geschäftskritischen Aufgabe macht.

Bedeutung für Unternehmen: Wirtschaftliche und sicherheitstechnische Implikationen

Auch ohne die neuen gesetzlichen Anforderungen war es aus unternehmerischer Sicht schon immer ratsam, in Cybersicherheit zu investieren. Jedoch blieben die Renditen solcher Investitionen oft schwer messbar, da verhinderte Betriebsunterbrechungen oder Imageschäden monetär nur schwer bewertbar sind.

Mit den neuen gesetzlichen Vorgaben werden Cybersicherheitsmaßnahmen für alle Marktteilnehmer verbindlich. Das sorgt nicht nur für mehr Sicherheit, sondern auch für Chancengleichheit: Unternehmen, die in Sicherheit investieren, erleiden dadurch keinen Wettbewerbsnachteil mehr.

Dadurch werden Investitionen in Sicherheitsstandards, die dem Stand der Technik entsprechen, betriebswirtschaftlich immer sinnvoller. Ein Verstoß gegen die Vorgaben führt nicht nur zu hohen Kosten durch eventuelle erfolgreiche Angriffe, sondern auch zu Sanktionen.

Gleichzeitig setzen viele Cyberversicherungen eine Einhaltung dieser Standards voraus. Wer die erforderlichen Maßnahmen (zum Beispiel Notfallmanagement, Backup-Management, Virenschutz, Schulungsmaßnahmen) nicht umsetzt, riskiert reduzierten oder gar keinen Versicherungsschutz – was wiederum ein neues Risiko darstellt.

NIS2-Umsetzung: Was sollte man zunächst tun?

Auch ohne finale Klärung der rechtlichen Anforderungen können bereits Vorbereitungen getroffen werden, die die Cybersicherheitsposition eines Unternehmens erheblich stärken.

• Betroffenheitsprüfung durchführen: Wenn unklar ist, ob das Unternehmen von der NIS2-Gesetzgebung betroffen ist oder sein wird, sollte man eine kostenlose Prüfung durch nationale Sicherheitsinstitutionen wie das BSI (Deutschland) oder den WKO Online Ratgeber (Österreich) in Anspruch nehmen.
• Verantwortlichkeiten definieren: Man sollte Verantwortliche für die Informationssicherheit der IT- und OT-Systeme benennen und schulen. Diese Personen sollten auch als zentrale Kontaktstelle der zu erwartenden Meldepflichten fungieren.
• Unternehmensleitung einbeziehen: Die Geschäftsführung muss die Verantwortung für Cybersicherheit übernehmen und dies im gesamten Unternehmen kommunizieren.
• Sicherheitsstatus ermitteln: Man sollte Anforderungskataloge wie "ISO 27001" Annex A, "NIST CSF" oder den "IKT-Minimalstandard" nutzen, um den Sicherheitsstatus des Unternehmens zu bewerten und Maßnahmen zu priorisieren. Dienstleister bieten dahingehend auch spezielle Cyber Risk Assessments an.

Ein vollständiges Asset-Inventar ist die Grundlage für effektives Risikomanagement und Schwachstellen-Management, besonders im Bereich OT. Nach dem Prinzip „Nur was ich kenne, kann ich schützen“ sollte die Erstellung eines solchen Inventars oberste Priorität haben.

Insbesondere in der Anfangsphase können externe Expert:innen bei der Etablierung von Sicherheitsprozessen unterstützen. Wichtig ist jedoch, dass das erarbeitete Wissen nachhaltig ins Unternehmen integriert wird.

NIS2: Umsetzungshinweise für Energieunternehmen

Die Übersetzung der EU-Richtlinie in nationales Recht erfolgte in Deutschland durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ am 5. Dezember 2025. In diesem wird zwischen wichtigen, besonders wichtigen sowie Betreibern kritischer Anlagen differenziert. Für Unternehmen der Energiewirtschaft wird das EnWG entsprechend geändert und ergänzt (§ 17).

Im §5c EnWG werden

• Betreiber von Energieversorgungsnetzen für Telekommunikationssysteme
• Betreiber elektronische Datenverarbeitungssysteme, die für den sicheren Betrieb des Energieversorgungsnetzes notwendig sind
• Wichtige und besonders wichtige Betreiber von Energieanlagen
• Wichtige und besonders wichtige Betreiber digitaler Energiedienste

dazu verpflichtet, einen angemessenen Schutz vor Bedrohungen zu gewährleisten. Die Definition dessen, was angemessen ist, wird in den IT-Sicherheitskatalogen der Bundesnetzagentur vorgenommen.

Die bisherigen Sicherheitskataloge datieren aus 2015 und 2018. Für die aktuell in Arbeit befindliche Neufassung wurden Eckpunkte veröffentlicht, welche auf den Normen ISO/IEC 27001, ISO/IEC 27002 ISO/IEC 270019 basieren. Konkret wird bestimmt, dass die ISO/IEC 27019 den Anhang A der ISO 27001 und damit das „Statement of Applicability“ (SoA) verlängert.

EnWG §5d regelt umfangreiche Dokumentations-, Melde- und Registrierungspflichten. Dies ist mit Aufwänden und gegebenenfalls Änderungen in der Aufbau- und Ablauforganisation des Unternehmens verbunden, die sich empfehlen, frühzeitig berücksichtigt zu werden.

Ein wesentlicher Aspekt wird in EnWG §5e geregelt: Die Pflichten von Geschäftsleitungen. Hierzu werden gezählt:

• Die Pflicht zur Umsetzung der Anforderungen der IT-Sicherheitskataloge, der Überwachung dieser Umsetzung sowie die
• die regelmäßige Teilnahme an Schulungen zum Risikomanagement.

Weiterhin wird die Haftung von Geschäftsleitungen gegenüber ihren Unternehmen. Eine ausdrückliche persönliche Haftung aus früheren Gesetzentwürfen ist nicht mehr enthalten.

Die Neuregelungen des EnWG im §95 betreffen Sanktionen bei Verstößen und können bei großen Unternehmen Beträge von über zehn Millionen Euro ausmachen.

OMICRON bietet ganzheitliche Software-Lösungen mit Consulting

Die neuen Cybersicherheitsgesetze stellen Unternehmen vor große Herausforderungen, bieten jedoch auch eine Chance, den Geschäftsbetrieb nachhaltig zu sichern. Eine strukturierte Herangehensweise ermöglicht die Erfüllung gesetzlicher Anforderungen und die Etablierung eines robusten Sicherheitsniveaus, das nicht nur den gesetzlichen Anforderungen genügt, sondern auch das Vertrauen von Kunden und Partnern stärkt.

OMICRON bietet umfassende Lösungen, um Unternehmen bei der Erfüllung der NIS2-Anforderungen zu unterstützen:

• ►
  Was ist die NIS2-Richtlinie und warum ist sie für Energieunternehmen wichtig?

  Die NIS2-Richtlinie ist eine EU-Verordnung zur Verbesserung der Cybersicherheit in verschiedenen Sektoren, einschließlich der Energiewirtschaft. Sie legt verbindliche Mindestmaßnahmen zur Cybersicherheit fest, um kritische Infrastrukturen vor Cyberangriffen zu schützen. Für Energieunternehmen ist die Einhaltung dieser Richtlinie wichtig, um die Versorgungssicherheit zu gewährleisten und Sanktionen bei Nichteinhaltung zu vermeiden.

• ►
  Welche Auswirkungen hat die Digitalisierung auf die Energiewirtschaft im Kontext der Cybersicherheit?

  Die Digitalisierung hat die Energiewirtschaft grundlegend verändert, indem sie neue Technologien und Vernetzungsmöglichkeiten eingeführt hat. Diese führen jedoch auch zu erhöhten Risiken, da kritische Infrastrukturen vernetzter und damit anfälliger für Cyberangriffe geworden sind.

• ►
  Welche Maßnahmen müssen im Rahmen der NIS2-Richtlinie umgesetzt werden?

  Unternehmen müssen Sicherheitsvorfälle schnell an Behörden melden, ein effektives Risikomanagement betreiben und ein Schwachstellen-Management einführen. Diese Maßnahmen orientieren sich an Standards wie ISO 27001 und dem BSI IT-Grundschutz.

• ►
  Wie wirkt sich die NIS2-Richtlinie auf das Energiewirtschaftsgesetz (EnWG) in Deutschland aus?

  Das EnWG wird im Zuge der NIS2-Umsetzung um Paragraphen wie 5c bis 5e erweitert, die Anforderungen an den Betrieb von Energieanlagen und digitalen Energiediensten in Bezug auf Cybersicherheit festlegen. Es sind umfangreiche Dokumentations-, Melde- und Registrierungspflichten enthalten.

• ►
  Welche Rolle spielt OMICRON bei der Unterstützung von Unternehmen in der Cybersicherheit?

  OMICRON bietet umfassende Lösungen zur Unterstützung von Unternehmen bei der Erfüllung der NIS2-Anforderungen. Diese Lösungen beinhalten die Automatisierung von Sicherheitsprozessen und die Einhaltung von Normen wie ISO 27001, was den Geschäftsbetrieb nachhaltig sichert und das Vertrauen von Kunden und Partnern stärkt.