NIS2-Pflichten für Energieversorger 2026

Wer alles unter Anhang I 'Energie' fällt

Strom: Erzeuger, Übertragungsnetzbetreiber (ÜNB), Verteilernetzbetreiber (VNB), Marktteilnehmer im Stromhandel, Betreiber von Ladeinfrastruktur, Lieferanten.

Erdgas: Lieferanten, Verteilernetzbetreiber, Fernleitungsnetzbetreiber, LNG-Anlagen-Betreiber, Speicherbetreiber.

Fernwärme und -kälte: Betreiber von Fernwärme- und Fernkältesystemen.

Öl: Betreiber von Ölfernleitungen, Produktion und Raffination, zentrale Bevorratungsstellen.

Wasserstoff: Hersteller, Speicherbetreiber, Übertragungsnetzbetreiber für Wasserstoff (neu durch NIS2).

Größenfilter: ab 50 Mitarbeitenden oder 10 Mio Euro Umsatz greift mindestens wichtige Einrichtung, ab 250 Mitarbeitenden oder 50 Mio Euro Umsatz wesentliche Einrichtung.

Verhältnis zu EnWG und IT-Sicherheitskatalog der BNetzA

§ 11 Abs. 1a EnWG verpflichtet Betreiber von Strom- und Gasnetzen zu einem angemessenen Schutz nach Stand der Technik gemäß IT-Sicherheitskatalog der BNetzA (zuletzt 2018 für Strom/Gas und 2019 für Energieanlagen).

§ 11 Abs. 1b EnWG verpflichtet Betreiber von Energieanlagen, die als kritische Infrastruktur eingestuft sind, zur Umsetzung des IT-Sicherheitskatalogs Energieanlagen.

Der IT-Sicherheitskatalog basiert im Kern auf ISO 27001 plus sektor-spezifischen Anforderungen (DACF, Trennung Office-IT/OT, Schnittstellen Smart Meter Gateway).

Lücken zu NIS2: Art. 20 Geschäftsleitungs-Schulungspflicht ist neu, Art. 23 Meldekaskade mit BSI-Erstmeldung in 24h ist strenger als die bisherige Sicherheitsvorfall-Meldepflicht der BNetzA, Art. 21 Abs. 2 d) verlangt vertiefte Lieferketten-Absicherung gegenüber SCADA-, Smart-Metering- und Cloud-Anbietern.

Die zehn konkreten Pflichten für 2026

1. Risikoanalyse für OT- und Office-IT separat, mit Bezug auf die spezifischen Bedrohungen für Energieinfrastruktur (Ransomware mit OT-Auswirkungen, staatliche Akteure, Lieferkettenangriffe).

2. Vorfallbehandlung mit klarer Trennung 'Sicherheitsvorfall BNetzA' und 'erheblicher Vorfall NIS2'. Häufig beides parallel meldepflichtig.

3. Geschäftsbetrieb und Krisenmanagement: dokumentierte Notfallpläne für OT-Ausfall, Schwarzfall-Wiederherstellung, Inselbetrieb wo zutreffend.

4. Backup und Wiederherstellung der Leitsystem-Konfiguration mit Offline-Kopien. Restore-Test mindestens jährlich.

5. Schwachstellenmanagement OT: SCADA-Komponenten haben oft 15+ Jahre Lebenszyklus. Patching erfordert geplante Wartungsfenster und Hersteller-Freigabe.

6. Kryptografie und sichere Kommunikation: insbesondere für Telesteuerung, Smart Meter Gateway, FSM (Fernsteuer-Modems) und Pricing-Signale.

7. Zugangskontrolle plus MFA für alle Fernzugriffe auf Leitsysteme, Dienstleister-VPN, Cloud-Konsolen.

8. Lieferketten-Sicherheit: jede Beschaffung von SCADA-, Smart-Meter-, EMS- oder DERMS-Komponenten braucht Sicherheits-Auditrechte und Schwachstellen-Meldepflichten der Lieferanten.

9. Schulungspflicht und Awareness: Vorstand jährlich, OT-Personal mindestens halbjährlich, Office-IT-Awareness regelmäßig.

10. Authentisierung, Asset-Inventar OT und Personalsicherheit.

Meldekaskade BNetzA vs. BSI

BNetzA-Meldepflicht nach § 11 EnWG: bei Sicherheitsvorfällen mit Auswirkung auf den Netzbetrieb oder Diensteerbringung, an die BNetzA, in der Regel binnen Stunden.

NIS2-Meldepflicht nach Art. 23: Frühwarnung 24h, Vorfallsmeldung 72h, Abschlussbericht ein Monat, an das BSI als zuständige Behörde nach NIS2UmsuCG.

Bei erheblichem Vorfall sind beide Meldungen parallel verpflichtend. Sinnvoll ist ein einheitliches internes Incident-Template, das beide Adressaten gleichzeitig bedient und dem Meldepfad ein klares 'wer informiert wen wann' zuweist.

Geschäftsleitungs-Verantwortung

Vorstand oder Geschäftsführung müssen die Cyber-Risiko-Strategie formal beschließen, regelmäßig Schulungen wahrnehmen und die Umsetzung überwachen.

Bei wesentlichen Einrichtungen: Bußgelder bis 10 Mio Euro oder 2 Prozent des weltweiten Konzernumsatzes. Bei wichtigen Einrichtungen: bis 7 Mio Euro oder 1,4 Prozent.

Die zuständige Aufsicht (in Deutschland: BSI; in regulierten Bereichen flankiert von BNetzA) kann anordnen, Schulungen nachzuholen und einzelne Geschäftsleiter zeitweise von Geschäftsleitungs-Funktionen auszuschließen.

Sektor-spezifische Stolpersteine

OT-Patch-Konflikt: viele SCADA-Komponenten dürfen aus regulatorischen Gründen (Zertifizierung, Hersteller-Freigabe) nicht patched werden. Kompensation über Netzsegmentierung, IDS und dokumentierte Risikoakzeptanz.

Energie-Cloud: viele Versorger migrieren EMS und Kundenportale in Cloud. Datenresidenz EU plus NIS2-Klauseln gegenüber Hyperscalern sind Vertragspflicht.

DERMS und Aggregatoren: durch den Hochlauf erneuerbarer Erzeugung wachsen Aggregator-Plattformen schnell. Sie sind selbst NIS2-pflichtig, sobald sie die Schwelle reißen, und tragen über Schnittstellen ein neues Lieferkettenrisiko in den klassischen Netzbetrieb.

Was DecisionOS dabei tut

Die teuersten Entscheidungen im Energie-IT-Stack, SIEM/SOC-Aufbau, OT-EDR-Auswahl, IAM-Plattform mit MFA, Backup-Konzept für Leitsysteme, Cloud-Migration EMS, lassen sich als auditierbare Decision Memos dokumentieren. DecisionOS mappt jedes Memo auf Art. 21 NIS2 und IT-Sicherheitskatalog gleichzeitig, dokumentiert Stakeholder-Alignment (CIO, OT-Verantwortliche, ISB, Vorstand) und liefert einen Readiness-Score. Das gleiche Dossier bedient BSI-Audit und BNetzA-Prüfung.