- Energie ist als Sektor hoher Kritikalität in Anhang I der NIS2-Richtlinie gelistet. Energieversorger gelten damit als wesentliche Einrichtungen mit den strengsten Auflagen.
- NIS2 ersetzt nicht die bestehenden KRITIS-Regelungen, sondern ergänzt sie. Betreiber kritischer Infrastrukturen im Energiesektor müssen beide Regelwerke parallel erfüllen.
- OT-Sicherheit ist der zentrale Unterschied zum klassischen IT-ISMS: Netzleittechnik, SCADA-Systeme und Prozesssteuerungen erfordern eigene Schutzmaßnahmen und Segmentierung.
- Die Meldepflichten sind streng: Erstmeldung innerhalb von 24 Stunden, Folgemeldung nach 72 Stunden, Abschlussbericht nach einem Monat.
- Auch Stadtwerke mit 50 bis 200 Mitarbeitern fallen unter NIS2, selbst wenn sie bisher nicht als KRITIS-Betreiber eingestuft waren.
Energie unter NIS2: Warum der Sektor besonders streng reguliert wird
Wenn in Deutschland der Strom ausfällt, steht innerhalb weniger Stunden alles still. Krankenhäuser schalten auf Notstrom, Ampeln fallen aus, Kühlketten brechen zusammen, Kommunikationsnetze werden instabil. Energie ist das Fundament, auf dem alle anderen kritischen Infrastrukturen aufbauen, und genau deshalb hat der europäische Gesetzgeber den Energiesektor in der NIS2-Richtlinie als Sektor hoher Kritikalität eingestuft.
Für Energieversorger und Stadtwerke bedeutet das konkret: Sie gehören zur Kategorie der wesentlichen Einrichtungen (essential entities) und unterliegen damit den strengsten Anforderungen, die NIS2 vorsieht. Das umfasst verschärfte Meldepflichten, proaktive Aufsicht durch das BSI und ein Bußgeldregime, das sich am Jahresumsatz orientiert.
Dieser Artikel richtet sich an Geschäftsführer, IT-Leiter und Informationssicherheitsbeauftragte (ISB) in Stadtwerken und regionalen Energieversorgungsunternehmen. Er erklärt, welche Anforderungen NIS2 stellt, wie sich das Gesetz von den bestehenden KRITIS-Regelungen unterscheidet und welche konkreten Schritte du jetzt gehen musst.
Wer ist im Energiesektor betroffen?
NIS2 definiert den Energiesektor in Anhang I sehr breit. Betroffen sind nicht nur die großen Übertragungsnetzbetreiber, sondern auch regionale und kommunale Versorger, sofern sie die Schwellenwerte überschreiten.
Die Teilsektoren im Detail
Elektrizität: Erzeuger, Übertragungsnetzbetreiber, Verteilernetzbetreiber, Stromlieferanten, Betreiber von Ladepunkten für Elektromobilität, Betreiber von Energiespeichern und Aggregatoren im Sinne der Elektrizitätsrichtlinie.
Fernwärme und Fernkälte: Betreiber von Fernwärme- oder Fernkältesystemen, die Wärme oder Kälte über ein Netz an Endkunden liefern.
Erdöl: Betreiber von Erdölfernleitungen, Betreiber von Anlagen zur Produktion, Raffination, Aufbereitung und Lagerung von Erdöl.
Erdgas: Gasversorgungsunternehmen, Verteilernetzbetreiber, Fernleitungsnetzbetreiber, Betreiber von Speicheranlagen und LNG-Anlagen.
Wasserstoff: Betreiber von Anlagen zur Erzeugung, Speicherung und Fernleitung von Wasserstoff. Dieser Teilsektor ist neu und wurde mit NIS2 erstmals reguliert.
Die Schwellenwerte
Wie in allen NIS2-Sektoren gelten die Standardschwellenwerte: mindestens 50 Mitarbeiter oder mindestens 10 Millionen Euro Jahresumsatz bzw. Jahresbilanzsumme. Allerdings gibt es im Energiesektor eine wichtige Besonderheit: Das BSI kann Unternehmen auch unabhängig von den Schwellenwerten als wesentliche Einrichtung einstufen, wenn ein Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit hätte.
In der Praxis bedeutet das: Ein Stadtwerk mit 80 Mitarbeitern, das eine mittelgroße Stadt mit Strom, Gas und Fernwärme versorgt, fällt eindeutig unter NIS2. Aber auch ein kleineres Versorgungsunternehmen mit 45 Mitarbeitern kann betroffen sein, wenn es eine zentrale Rolle in der regionalen Energieversorgung spielt.
Wesentliche vs. wichtige Einrichtung
Im Energiesektor werden die meisten Unternehmen als wesentliche Einrichtungen eingestuft. Das hat konkrete Konsequenzen:
| Aspekt | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Aufsicht | Proaktiv (BSI prüft von sich aus) | Reaktiv (nur bei Verdacht) |
| Bußgelder | Bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes | Bis 7 Mio. EUR oder 1,4 % des Umsatzes |
| Audits | Regelmäßige Sicherheitsüberprüfungen durch BSI | Anlassbezogene Prüfungen |
| Meldepflichten | 24h / 72h / 1 Monat | 24h / 72h / 1 Monat |
Die Meldepflichten sind für beide Kategorien identisch, aber die proaktive Aufsicht bei wesentlichen Einrichtungen bedeutet, dass das BSI jederzeit Nachweise anfordern oder Vor-Ort-Prüfungen durchführen kann, ohne dass ein konkreter Anlass vorliegen muss.
NIS2 und KRITIS: Zwei Regelwerke, ein Unternehmen
Eine der häufigsten Fragen, die Energieversorger stellen: Ersetzt NIS2 die bestehenden KRITIS-Regelungen? Die Antwort ist ein klares Nein. Beide Regelwerke existieren parallel, und sie adressieren teilweise unterschiedliche Aspekte.
Was aus der KRITIS-Regulierung bleibt
Die KRITIS-Verordnung und das BSI-Gesetz (BSIG) definieren seit Jahren Pflichten für Betreiber kritischer Infrastrukturen im Energiesektor. Dazu gehören die Registrierungspflicht beim BSI, die Benennung einer Kontaktstelle, der Nachweis angemessener Sicherheitsmaßnahmen nach dem Stand der Technik und die Meldung erheblicher IT-Sicherheitsvorfälle.
Die KRITIS-Schwellenwerte im Energiesektor orientieren sich an Versorgungszahlen: Ein Stromversorger gilt als KRITIS-Betreiber, wenn er mehr als 500.000 Personen versorgt. Ein Gasnetzbetreiber, wenn sein Netz eine bestimmte Leistungsschwelle überschreitet.
Was NIS2 zusätzlich bringt
NIS2 erweitert den Kreis der regulierten Unternehmen erheblich, weil die Schwellenwerte nicht an Versorgungszahlen, sondern an Unternehmensgröße und Sektor geknüpft sind. Ein Stadtwerk mit 120 Mitarbeitern, das bisher nicht als KRITIS-Betreiber galt, weil es weniger als 500.000 Personen versorgt, fällt jetzt trotzdem unter NIS2.
Zusätzlich bringt NIS2 neue Anforderungen mit, die über die bisherigen KRITIS-Pflichten hinausgehen:
- Persönliche Haftung der Geschäftsführung für die Umsetzung der Cybersicherheitsmaßnahmen
- Verpflichtende Schulungen der Leitungsebene in Cybersicherheit
- Supply-Chain-Sicherheit als expliziter Anforderungsbaustein
- Erweiterte Meldepflichten mit dem dreistufigen Meldesystem (24h, 72h, 1 Monat)
- Risikomanagement als kontinuierlicher Prozess mit dokumentierter Methodik
Die praktische Konsequenz
Wenn dein Unternehmen sowohl KRITIS-Betreiber als auch NIS2-pflichtig ist, musst du beide Regelwerke erfüllen. Die gute Nachricht: Es gibt große Überschneidungen. Ein gut aufgestelltes ISMS nach ISO 27001 deckt den Großteil der Anforderungen beider Regelwerke ab. Aber du musst die Unterschiede kennen und sicherstellen, dass nichts durch die Lücke fällt.
OT-Sicherheit: Der zentrale Unterschied zum klassischen IT-ISMS
Energieversorger betreiben nicht nur klassische IT-Systeme wie E-Mail-Server, ERP-Systeme und Büroarbeitsplätze. Sie betreiben auch Operational Technology (OT): Netzleittechnik, SCADA-Systeme, Prozesssteuerungen, intelligente Messsysteme und zunehmend auch IoT-Geräte im Netz.
Diese OT-Umgebung unterscheidet sich fundamental von der klassischen IT, und ein ISMS, das nur die IT-Seite abdeckt, erfüllt die NIS2-Anforderungen für Energieversorger nicht.
Warum OT anders tickt
In der klassischen IT gilt die Prioritätenreihenfolge Vertraulichkeit, Integrität, Verfügbarkeit (CIA-Triade). In der OT ist die Reihenfolge umgekehrt: Verfügbarkeit steht an erster Stelle, gefolgt von Integrität und dann Vertraulichkeit. Wenn ein SCADA-System nicht verfügbar ist, kann das physische Konsequenzen haben, von Stromausfällen bis hin zu sicherheitskritischen Situationen.
Weitere Unterschiede, die du bei der ISMS-Planung berücksichtigen musst:
Lebenszyklen: IT-Systeme werden alle drei bis fünf Jahre ausgetauscht. OT-Systeme laufen oft 15 bis 25 Jahre. Das bedeutet: veraltete Betriebssysteme, fehlende Sicherheitsupdates und Protokolle, die nie für eine vernetzte Welt entwickelt wurden.
Patchmanagement: In der IT kannst du einen Server am Wochenende patchen. Eine Netzleitstation kannst du nicht einfach herunterfahren, weil dann die Stromversorgung einer ganzen Region gefährdet ist. Patches müssen in Wartungsfenstern eingespielt werden, die oft Monate im Voraus geplant sind.
Protokolle: OT-Systeme nutzen häufig proprietäre oder industrielle Protokolle wie IEC 60870-5-104, IEC 61850 oder Modbus. Diese Protokolle wurden für Zuverlässigkeit entwickelt, nicht für Sicherheit. Verschlüsselung oder Authentifizierung sind oft nicht vorgesehen oder erst in neueren Versionen nachgerüstet.
Netzwerksegmentierung: Die strikte Trennung von IT- und OT-Netzen, also eine konsequente Netzwerksegmentierung, ist keine nette Idee, sondern eine zwingende Sicherheitsanforderung. In der Praxis findet man bei vielen Stadtwerken allerdings historisch gewachsene Netzstrukturen, in denen die Grenzen zwischen IT und OT verschwommen sind.
Was NIS2 für die OT-Sicherheit fordert
NIS2 fordert in Artikel 21 ein Risikomanagement, das alle Systeme umfasst, die für die Erbringung der Dienste relevant sind. Für Energieversorger schließt das ausdrücklich die OT-Umgebung ein. Konkret bedeutet das:
Vollständige Asset-Inventarisierung: Du musst wissen, welche OT-Systeme du betreibst, welche Software-Versionen darauf laufen, welche Netzwerkverbindungen bestehen und wer Zugriff hat. In vielen Stadtwerken ist das eine der größten Herausforderungen, weil die OT historisch vom IT-Team getrennt verwaltet wurde und die Dokumentation lückenhaft ist.
Risikobewertung für OT: Jedes OT-System braucht eine Risikobewertung, die die spezifischen Bedrohungen berücksichtigt. Ein SCADA-Server, der die Stromverteilung steuert, hat ein anderes Risikoprofil als ein Büro-PC.
Netzwerksegmentierung: IT- und OT-Netze müssen durch Firewalls oder Datendioden getrennt sein. Der Datenfluss zwischen den Netzen muss kontrolliert und überwacht werden. Idealerweise gibt es eine demilitarisierte Zone (DMZ) zwischen IT und OT.
Zugriffskontrollen: Wer darf auf OT-Systeme zugreifen? Fernwartungszugänge müssen abgesichert, protokolliert und zeitlich begrenzt sein. Multi-Faktor-Authentifizierung ist auch für OT-Zugänge gefordert, soweit technisch möglich.
Monitoring und Anomalieerkennung: Du musst in der Lage sein, ungewöhnliche Aktivitäten in deinem OT-Netz zu erkennen. Das erfordert spezialisierte Monitoring-Lösungen, die industrielle Protokolle verstehen und Anomalien in der Kommunikation zwischen OT-Komponenten erkennen können.
Die Meldepflichten im Energiesektor
Die Meldepflichten unter NIS2 folgen dem dreistufigen Schema, das für alle Sektoren gilt. Aber für Energieversorger als wesentliche Einrichtungen gelten sie in vollem Umfang und ohne Ausnahmen.
Das Dreistufensystem
Stufe 1 - Frühwarnung (24 Stunden): Innerhalb von 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls musst du eine Erstmeldung an das BSI abgeben. Diese Meldung muss enthalten, ob der Vorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und ob grenzüberschreitende Auswirkungen möglich sind.
Stufe 2 - Vorfallsmeldung (72 Stunden): Innerhalb von 72 Stunden folgt eine detailliertere Meldung mit einer ersten Bewertung des Vorfalls, seiner Schwere und Auswirkungen sowie den bisher ergriffenen Gegenmaßnahmen. Auch Indikatoren einer Kompromittierung (IoC) sollten hier geteilt werden.
Stufe 3 - Abschlussbericht (1 Monat): Spätestens einen Monat nach der Erstmeldung ist ein ausführlicher Abschlussbericht fällig. Dieser muss eine detaillierte Beschreibung des Vorfalls, die Ursachenanalyse, die getroffenen Abhilfemaßnahmen und gegebenenfalls grenzüberschreitende Auswirkungen enthalten.
Was als erheblicher Vorfall gilt
Nicht jede Störung muss gemeldet werden. Ein Vorfall gilt als erheblich, wenn er:
- eine schwerwiegende Betriebsstörung der Dienste verursacht hat oder verursachen kann,
- finanzielle Verluste für die betroffene Einrichtung verursacht hat oder verursachen kann,
- andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.
Für einen Energieversorger bedeutet das in der Praxis: Ein Ransomware-Angriff auf das Abrechnungssystem ist meldepflichtig. Ein kompromittierter Fernwartungszugang zur Netzleittechnik ist meldepflichtig. Auch ein Phishing-Angriff, der Zugangsdaten zu kritischen Systemen erbeutet hat, kann meldepflichtig sein, selbst wenn noch kein direkter Schaden entstanden ist.
Meldepflichten in der Praxis organisieren
Die 24-Stunden-Frist für die Erstmeldung ist ambitioniert. Du brauchst klare Prozesse, die sicherstellen, dass Vorfälle schnell erkannt, bewertet und gemeldet werden. Das erfordert:
- Einen definierten Meldeprozess mit klaren Verantwortlichkeiten (wer meldet, wer entscheidet, wer genehmigt)
- Vorlagen für alle drei Meldestufen, die im Ernstfall schnell ausgefüllt werden können
- Erreichbarkeit auch außerhalb der Geschäftszeiten, denn ein Cyberangriff richtet sich nicht nach Bürozeiten
- Regelmäßige Übungen, um den Meldeprozess zu testen und zu verbessern
Business Continuity Management für Energieversorger
NIS2 fordert in Artikel 21 explizit Maßnahmen zur Aufrechterhaltung des Betriebs. Für Energieversorger ist Business Continuity Management (BCM) kein abstraktes Konzept, sondern unmittelbar relevant, weil ein Ausfall der Energieversorgung kaskadierende Effekte auf alle anderen Sektoren hat.
Was ein BCM-Konzept für Stadtwerke umfassen muss
Business Impact Analyse (BIA): Welche Geschäftsprozesse sind kritisch? Wie lange darf ein Ausfall maximal dauern? Für ein Stadtwerk sind das typischerweise die Netzsteuerung, die Einsatzplanung bei Störungen, die Kommunikation mit dem Übertragungsnetzbetreiber und die Abrechnung.
Notfallpläne: Für jedes kritische System brauchst du einen dokumentierten Notfallplan, der beschreibt, wie der Betrieb bei einem Ausfall aufrechterhalten oder schnell wiederhergestellt werden kann. Bei der Netzleittechnik kann das bedeuten, dass Rückfallverfahren für manuelle Steuerung dokumentiert und regelmäßig geübt werden müssen.
Backup und Recovery: Die Backup-Strategie muss sowohl IT- als auch OT-Systeme umfassen. Für OT-Systeme bedeutet das, dass auch Konfigurationen von Schutzgeräten, Parametrierungen von Netzleitstationen und Firmware-Stände gesichert werden müssen.
Krisenmanagement: Wer entscheidet im Ernstfall? Wie wird kommuniziert? Wer informiert die Bundesnetzagentur, das BSI und gegebenenfalls die Öffentlichkeit? Ein Krisenstab mit klaren Rollen und Kommunikationswegen muss definiert und regelmäßig geübt sein.
Besonderheiten der Energieversorgung
Anders als in vielen anderen Branchen gibt es in der Energieversorgung zusätzliche regulatorische Anforderungen, die sich mit dem BCM überschneiden. Die Bundesnetzagentur fordert im Rahmen der IT-Sicherheitskataloge nach § 11 Abs. 1a und 1b EnWG bereits seit Jahren Sicherheitsmaßnahmen für Netzbetreiber. Diese Anforderungen bleiben bestehen und müssen mit den NIS2-Anforderungen harmonisiert werden.
Für Stadtwerke, die gleichzeitig Strom-, Gas- und Fernwärmenetze betreiben, erhöht sich die Komplexität, weil jedes Netz eigene Abhängigkeiten und Rückfallszenarien hat. Ein integriertes BCM-Konzept, das alle Sparten abdeckt, ist hier effizienter als separate Konzepte pro Netz.
BSI-Vorgaben und branchenspezifische Standards
Das BSI hat für den Energiesektor bereits vor NIS2 umfangreiche Vorgaben erlassen. Mit der Umsetzung von NIS2 kommen neue Anforderungen hinzu, die sich teilweise mit den bestehenden überschneiden.
IT-Sicherheitskataloge nach EnWG
Strom- und Gasnetzbetreiber müssen bereits seit 2015 (Strom) bzw. 2018 (Gas) ein Informationssicherheitsmanagementsystem nach ISO 27001 betreiben und dies durch ein Zertifikat nachweisen. Dazu kommen branchenspezifische Anforderungen aus dem IT-Sicherheitskatalog der Bundesnetzagentur, die über die allgemeine ISO 27001 hinausgehen.
Der IT-Grundschutz des BSI
Das BSI empfiehlt für den Energiesektor die Anwendung des IT-Grundschutz-Kompendiums, insbesondere der Bausteine für industrielle IT (IND-Bausteine). Diese Bausteine adressieren spezifisch die OT-Sicherheit und liefern konkrete Maßnahmen für SCADA-Systeme, Prozesssteuerungen und Netzleittechnik.
Branchenspezifische Sicherheitsstandards (B3S)
Der Branchenverband BDEW hat gemeinsam mit dem BSI branchenspezifische Sicherheitsstandards entwickelt, die als Umsetzungsempfehlung für die KRITIS-Anforderungen dienen. Das BDEW-Whitepaper "Anforderungen an sichere Steuerungs- und Telekommunikationssysteme" ist seit Jahren der De-facto-Standard für OT-Sicherheit in der Energiebranche.
Unter NIS2 bleibt die Möglichkeit bestehen, branchenspezifische Sicherheitsstandards als Nachweis der Compliance zu verwenden. Wenn dein Unternehmen bereits nach einem anerkannten B3S arbeitet, hast du eine solide Grundlage, die du um die NIS2-spezifischen Anforderungen ergänzen kannst.
ISO 27001 und IEC 62443
Für Energieversorger, die sowohl IT als auch OT absichern müssen, hat sich in der Praxis die Kombination aus ISO 27001 (für das übergreifende ISMS) und IEC 62443 (für die OT-Sicherheit im Speziellen) bewährt. ISO 27001 liefert den Rahmen für das Managementsystem, während IEC 62443 konkrete technische Anforderungen für industrielle Automatisierungssysteme definiert.
Praxisbeispiel: Stadtwerk Mittelstadt mit 200 Mitarbeitern
Um die Anforderungen greifbar zu machen, schauen wir uns ein fiktives, aber realistisches Beispiel an: die Stadtwerke Mittelstadt GmbH, ein kommunales Versorgungsunternehmen mit rund 200 Mitarbeitern.
Ausgangslage
Die Stadtwerke Mittelstadt versorgen eine Stadt mit 80.000 Einwohnern mit Strom, Gas, Fernwärme und Wasser. Sie betreiben ein eigenes Stromnetz, ein Gasnetz und ein Fernwärmenetz. Dazu kommen zwei Blockheizkraftwerke und mehrere Photovoltaikanlagen. Die IT-Abteilung umfasst acht Mitarbeiter, die sowohl die klassische IT als auch die OT betreuen.
Bisher waren die Stadtwerke als Strom- und Gasnetzbetreiber bereits verpflichtet, ein ISMS nach ISO 27001 zu betreiben. Die Zertifizierung umfasst allerdings nur die Netzführung. ERP-System, Personalverwaltung, Kundenkommunikation und die Fernwärmesteuerung liegen außerhalb des bisherigen ISMS-Geltungsbereichs.
Die NIS2-Lückenanalyse
Im ersten Schritt hat der ISB eine Lückenanalyse durchgeführt, die den bestehenden ISMS-Scope mit den NIS2-Anforderungen abgeglichen hat. Dabei wurden folgende Handlungsfelder identifiziert:
Geltungsbereich erweitern: NIS2 fordert, dass alle Systeme im Scope sind, die für die Erbringung der regulierten Dienste relevant sind. Das umfasst nicht nur die Netzleittechnik, sondern auch das ERP-System (weil ein Ausfall die Abrechnung und damit die Kundenversorgung beeinträchtigt), die E-Mail-Infrastruktur (weil sie für die Kommunikation mit Behörden und Kunden gebraucht wird) und die Fernwärmesteuerung.
Supply-Chain-Sicherheit aufbauen: Die Stadtwerke nutzen Managed Services eines externen IT-Dienstleisters für das Monitoring der Netzleittechnik. Dieser Dienstleister war bisher nicht in das ISMS einbezogen. NIS2 fordert eine Bewertung der Sicherheit in der Lieferkette und vertragliche Regelungen mit Dienstleistern.
Meldeprozess implementieren: Zwar gab es bereits eine Meldepflicht gegenüber dem BSI für KRITIS-Vorfälle, aber der Prozess war nicht formalisiert. Klare Verantwortlichkeiten, Vorlagen und Erreichbarkeit rund um die Uhr fehlten.
Geschäftsführung einbinden: Bisher lag die Verantwortung für Informationssicherheit faktisch beim ISB und dem IT-Leiter. NIS2 fordert die aktive Einbindung der Geschäftsführung und eine nachweisbare Schulung der Leitungsebene.
OT-Inventar vervollständigen: Die Dokumentation der OT-Systeme war lückenhaft. Insbesondere bei älteren Komponenten in den Umspannwerken fehlten aktuelle Netzpläne und Software-Stände.
Der Umsetzungsplan
Die Stadtwerke haben einen Zwölf-Monats-Plan aufgestellt, der die Lücken priorisiert nach Risiko und Aufwand adressiert:
Monate 1 bis 3: Geschäftsführung schulen, ISB-Rolle stärken und mit Budget ausstatten, OT-Asset-Inventarisierung starten, Meldeprozess definieren und dokumentieren.
Monate 4 bis 6: ISMS-Geltungsbereich erweitern, Risikobewertung für die neu einbezogenen Systeme durchführen, Dienstleisterverträge prüfen und um Sicherheitsanforderungen ergänzen.
Monate 7 bis 9: Netzwerksegmentierung zwischen IT und OT verbessern (separate Firewall-Zone für OT, Monitoring an der Grenze), Backup-Konzept um OT-Konfigurationen erweitern, Notfallpläne aktualisieren und üben.
Monate 10 bis 12: Interne Audits durchführen, Management-Review mit Geschäftsführung, Dokumentation vervollständigen, Registrierung beim BSI als wesentliche Einrichtung abschließen.
Budget und Ressourcen
Die Stadtwerke haben für das erste Jahr ein Zusatzbudget von 180.000 Euro kalkuliert. Darin enthalten sind externe Beratung für die OT-Risikobewertung (40.000 Euro), ein OT-Monitoring-System (60.000 Euro), Schulungen für Geschäftsführung und Mitarbeiter (15.000 Euro), eine zusätzliche halbe Stelle für den ISB (45.000 Euro) und verschiedene technische Maßnahmen wie Netzwerksegmentierung und Backup-Erweiterung (20.000 Euro).
Dieses Budget ist realistisch für ein Stadtwerk dieser Größe und Komplexität. Kleinere Stadtwerke mit weniger OT-Komplexität kommen mit weniger aus, größere Unternehmen müssen entsprechend mehr einplanen. Wer die Tool-Kosten im Rahmen halten will: ISMS Lite bietet den kompletten Funktionsumfang ab 500 Euro pro Jahr oder als Einmalkauf für 2.500 Euro, ohne Seat-Lizenzen oder versteckte Kosten.
Typische Stolperfallen für Energieversorger
Aus der Beratungspraxis lassen sich einige Fehler identifizieren, die bei Energieversorgern besonders häufig vorkommen:
OT als Blindspot behandeln. Wenn das ISMS nur die klassische IT abdeckt und die Netzleittechnik außen vor bleibt, erfüllst du die NIS2-Anforderungen nicht. OT-Sicherheit muss integraler Bestandteil des ISMS sein, auch wenn die Verantwortung organisatorisch bei einer anderen Abteilung liegt.
Zu viele Regelwerke parallel managen. IT-Sicherheitskatalog, KRITIS-Verordnung, NIS2, ISO 27001, IEC 62443, das BDEW-Whitepaper: Die Menge an Regelwerken und Standards kann überwältigend sein. Der Schlüssel liegt in einem integrierten Ansatz, bei dem ein zentrales ISMS alle Anforderungen abbildet, statt für jedes Regelwerk separate Dokumentation zu führen.
IT und OT nicht zusammenbringen. In vielen Stadtwerken arbeiten IT-Abteilung und Netzleitstelle traditionell getrennt. NIS2 erfordert eine gemeinsame Sicherheitsstrategie. Das bedeutet nicht, dass alles zusammengelegt werden muss, aber es muss gemeinsame Risikobewertungen, abgestimmte Sicherheitsrichtlinien und klare Schnittstellen geben.
Fernwartung unterschätzen. Viele OT-Systeme werden von externen Herstellern und Dienstleistern ferngewartet. Diese Fernwartungszugänge sind ein beliebtes Angriffsziel und müssen streng kontrolliert werden: zeitlich begrenzt, per MFA abgesichert, protokolliert und nur über dedizierte, gehärtete Zugangswege.
Wasserstoff vergessen. Wer in Wasserstoffprojekte investiert, muss wissen, dass Wasserstoff als eigener Teilsektor unter NIS2 reguliert ist. Auch Pilotprojekte und kleinere Anlagen können in den Scope fallen.
Nächste Schritte: Was du jetzt tun solltest
Die Anforderungen sind umfangreich, aber sie sind bewältigbar, besonders wenn dein Unternehmen bereits ein ISMS betreibt. Hier sind die wichtigsten nächsten Schritte:
Betroffenheit und Einstufung klären. Prüfe, ob dein Unternehmen als wesentliche oder wichtige Einrichtung gilt. Im Energiesektor ist die Antwort in den meisten Fällen klar, aber die formale Registrierung beim BSI muss trotzdem erfolgen.
Lückenanalyse durchführen. Vergleiche deinen aktuellen Stand mit den NIS2-Anforderungen. Wenn du bereits ein ISMS nach ISO 27001 betreibst, bist du in einer guten Ausgangsposition. Konzentriere dich auf die Lücken: OT-Sicherheit, Supply-Chain-Sicherheit, Meldeprozesse und Geschäftsführungsverantwortung.
OT-Inventar aufbauen. Wenn du noch kein vollständiges Inventar deiner OT-Systeme hast, starte damit. Du kannst keine Risiken bewerten und keine Sicherheitsmaßnahmen planen, wenn du nicht weißt, was du schützen musst.
Geschäftsführung einbinden. Die persönliche Haftung der Geschäftsführung ist unter NIS2 kein leeres Wort. In ISMS Lite lassen sich IT- und OT-Assets in einem gemeinsamen System verwalten und die parallelen Anforderungen aus KRITIS und NIS2 auf einen Blick nachverfolgen. Nutze diesen Hebel, um Budget und Aufmerksamkeit zu sichern. Plane eine Schulung für die Leitungsebene ein und stelle sicher, dass die Geschäftsführung regelmäßig über den Stand der Informationssicherheit informiert wird.
NIS2 ist für Energieversorger und Stadtwerke eine Herausforderung, aber auch eine Chance. Die Regulierung zwingt dazu, Sicherheit ganzheitlich zu denken, IT und OT zusammenzubringen und die Geschäftsführung in die Verantwortung zu nehmen. Wer das als Anlass nimmt, seine Sicherheitsstrategie grundlegend zu modernisieren, gewinnt nicht nur Compliance, sondern echte Resilienz.
Weiterführende Artikel
- NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
- NIS2-Erstmeldung ans BSI: Inhalt, Fristen und Vorlage
- NIS2-Bußgelder: Wer haftet und wie hoch sind die Strafen?
- Business Impact Analyse (BIA): So bewertest du die Kritikalität deiner Geschäftsprozesse
- Netzwerksegmentierung im Mittelstand: Praxisleitfaden für KMU