NIS-2 und Energieversorger – Der aktuelle Entwurf zur Umsetzung der NIS-2-Richtlinie zeigt, wie ernst die Bundesregierung das Thema IT-Sicherheit in kritischen Infrastrukturen nimmt. Besonders Energieversorger müssen sich auf neue Anforderungen einstellen. Der Entwurf liegt seit Ende Mai vor und enthält zentrale Änderungen mit Folgen für Betreiber im Energiesektor.
Mehr Verantwortung für das BSI
Die Bundesnetzagentur ist bisher zuständig für die IT-Sicherheitskataloge der Energieunternehmen. Sie legt fest, welche technischen Anforderungen Netzbetreiber einhalten müssen. Bisher musste sie das Bundesamt für Sicherheit in der Informationstechnik nur informieren. Künftig soll das BSI zustimmen. Die Formulierung im neuen Gesetz lautet „ins Einvernehmen setzen“. Damit erhält das BSI mehr Einfluss auf sicherheitsrelevante Vorgaben.
Anpassung der Sicherheitskataloge
Durch die neue Beteiligung des BSI ändern sich die Abläufe bei der Weiterentwicklung der IT-Sicherheitskataloge. Die Bundesnetzagentur muss technische Änderungen enger mit dem BSI abstimmen. Damit rücken IT-Sicherheit und Energieversorgung näher zusammen. Für Energieversorger bedeutet das zusätzliche Anforderungen und Anpassungsbedarf bei Prozessen und Systemen.
Erweiterter Anwendungsbereich
Die neue Fassung des NIS-2-Umsetzungsgesetzes nimmt auch digitale Energiedienste stärker in den Blick. Darunter fallen Anlagen mit zentralem Zugriff auf Steuerungen. Dazu zählen auch dezentrale Verbrauchseinrichtungen, die über netzgebundene Komponenten gesteuert werden. Betreiber solcher Dienste müssen künftig den Schutz ihrer Systeme aktiv nachweisen.
Pflicht zur Risikobehandlung
Energieversorger müssen ein Risikomanagement für ihre Informationssysteme einführen. Dazu gehört eine Risikoanalyse, technische Schutzmaßnahmen und ein Verfahren zur Meldung von Sicherheitsvorfällen. Die Anforderungen orientieren sich am Stand der Technik. Die Umsetzung erfordert technische, organisatorische und personelle Ressourcen.
Fazit
Der neue NIS-2-Entwurf erhöht den Druck auf Energieversorger. Die Einbindung des BSI, neue Betreiberpflichten und die erweiterte Definition kritischer digitaler Komponenten führen zu mehr Aufwand. Wer frühzeitig beginnt, Prozesse zu überprüfen und anzupassen, kann die neuen Vorgaben strukturiert umsetzen. Die Verzahnung von Energie- und IT-Sicherheit wird damit verbindlicher geregelt.
weiterführende Links:
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
BSI – NIS-2 – was tun?
BSI – NIS-2-regulierte Unternehmen
KMU und NIS-2: Neue Pflichten für Unternehmen
NIS-2: Was Sie über den neuen Referentenentwurf wissen müssen
NIS2-Umsetzung: Kommt das neue BSI-Gesetz jetzt im Eiltempo?
Allianz Risk Barometer 2025: Cybercrime größtes Risiko für Firmen – Lanzrath CyberSec
Aktueller Stand der NIS2-Umsetzung in Deutschland – Lanzrath CyberSec
NIS2 & Cybersecurity: Warum Sicherheit kein Luxus sein darf – Lanzrath CyberSec
Bild: DALL·E 3 | OpenAI