Was Energieversorger, Netzbetreiber und Dienstleister jetzt wissen müssen – Stand: Juli 2025

Die europäische NIS-2-Richtlinie (EU 2022/2555) verpflichtet Unternehmen zur Umsetzung umfassender Cybersicherheitsmaßnahmen. Der deutsche Gesetzgeber setzt dies mit dem neuen BSI-Gesetz (BSIG-E) um. Betroffen sind viele Akteure des Strommarkts – von Übertragungsnetzbetreibern bis zu Betreibern größerer Photovoltaikanlagen. Dieser Überblick erklärt, wer betroffen ist, welche Pflichten gelten, und was jetzt konkret zu tun ist.

1. Betroffene Unternehmen – Einteilung nach Risikoklassen

Nach der NIS-2-Richtlinie werden Unternehmen in zwei Hauptkategorien eingeteilt, wobei auch die Unternehmensgröße eine Rolle spielt:

Kategorie	Typische Akteure	Kriterien (gemäß §2 BSIG-E)
Wesentliche Einrichtungen	Übertragungsnetzbetreiber, große Verteilnetzbetreiber, zentrale Erzeugungsanlagen	≥ 250 Mitarbeitende oder > 50 Mio. € Umsatz und > 43 Mio. € Bilanzsumme oder systemkritisch
Wichtige Einrichtungen	Messstellenbetreiber, größere PV-/Windparks, Energiehandel	≥ 50 Mitarbeitende oder > 10 Mio. € Umsatz oder Bilanzsumme
Nicht erfasst	Kleinstunternehmen ohne kritische Funktion	< 50 Mitarbeitende und ≤ 10 Mio. € Umsatz und keine Systemrelevanz

Wichtige Ausnahme: Im Strommarkt tätige Unternehmen mit weniger als 50 Mitarbeitenden können in Ausnahmefällen KRITIS-Anlagen betreiben, selbst wenn sie nicht unter die NIS-2-Kategorie „wichtige Einrichtung“ fallen. Entscheidend ist hier nicht die Unternehmensgröße, sondern die technische oder systemische Bedeutung der Anlage im Einzelfall.

2. Verantwortung der Geschäftsleitung

Die Geschäftsleitung spielt eine zentrale Rolle bei der Umsetzung der NIS-2-Anforderungen. Gemäß § 30 BSIG-E ist sie ausdrücklich verpflichtet, die Einhaltung der Cybersicherheitsvorgaben zu organisieren, zu steuern und zu überwachen. Sie trägt damit nicht nur eine organisatorische, sondern auch eine rechtliche Verantwortung: Die Geschäftsleitung trägt die Gesamtverantwortung für die Umsetzung der Anforderungen aus der NIS-2-Richtlinie und dem BSI-Gesetz (BSIG-E). Diese umfasst insbesondere die strategische Steuerung und Kontrolle der betrieblichen Informationssicherheit.

Ihre zentralen Pflichten sind:
– Aufbau, Steuerung und kontinuierliche Überwachung eines Informationssicherheitsmanagementsystems (ISMS) gemäß § 28 BSIG-E.
– Veranlassung und Kontrolle von regelmäßigen Risikoanalysen sowie deren Anpassung bei veränderten Gefährdungslagen.
– Anordnung und Überprüfung technischer und organisatorischer Schutzmaßnahmen gemäß § 29 BSIG-E.
– Sicherstellung der fristgerechten Meldung erheblicher IT-Sicherheitsvorfälle an das BSI gemäß § 31 BSIG-E.
– Benennung eines Informationssicherheitsbeauftragten sowie Sicherstellung seiner fachlichen Unabhängigkeit und Einbindung (§ 33 BSIG-E).

Diese Verantwortung ist nicht delegierbar. Bei Verstößen drohen dem Unternehmen erhebliche Bußgelder sowie persönliche zivil- und strafrechtliche Konsequenzen für Mitglieder der Geschäftsleitung – insbesondere im Falle grober Fahrlässigkeit oder strukturellen Organisationsversagens.

Konkret bedeutet das:
– Die Geschäftsleitung muss die Einführung und Wirksamkeit eines ISMS sicherstellen.
– Sie muss Risikoanalysen  veranlassen und auf deren Aktualität achten (§ 28 BSIG-E).
– Sie trägt die Verantwortung für die Einhaltung von Meldepflichten (§ 31 BSIG-E).
– Sie muss geeignete technische und organisatorische Maßnahmen anordnen (§ 29 BSIG-E).
– Sie ist verpflichtet, einen Sicherheitsverantwortlichen zu benennen (§ 33 BSIG-E).

Kommt die Geschäftsleitung diesen Pflichten nicht nach, drohen nicht nur Bußgelder für das Unternehmen, sondern auch persönliche zivil- oder sogar strafrechtliche Haftung für Organmitglieder. Dies gilt insbesondere bei grober Fahrlässigkeit oder vorsätzlicher Untätigkeit gegenüber bekannten IT-Risiken. Das Gesetz verlangt nachweisbares Handeln und wirksame Strukturen.

3. Zeitliche Umsetzung

Das neue BSI-Gesetz soll im 2. Quartal 2025 in Kraft treten. Ab diesem Zeitpunkt gelten die Vorschriften der NIS-2-Richtlinie unmittelbar für alle betroffenen Unternehmen.

4. Empfehlungen zur Vorbereitung

Unternehmen im Strommarkt sollten unverzüglich tätig werden:

– Kategorisierung: Klären, ob man als wesentliche oder wichtige Einrichtung gilt.

– ISMS: Aufbau oder Anpassung eines ISMS gemäß § 28 BSIG-E.

– Risikomanagement: Durchführung und Dokumentation einer Risikoanalyse.

– Verantwortlichkeiten: Klare Zuordnung interner Zuständigkeiten und Meldeprozesse.

5. Rechtsgrundlagen für die Cybersicherheit im Strommarkt

Die Anforderungen ergeben sich aus mehreren Regelwerken:

– EU-Ebene: NIS-2-Richtlinie (EU) 2022/2555

– Bundesrecht: BSI-Gesetz (BSIG-E), §§ 2, 28–33

– Energierecht: § 11 Abs. 1a EnWG (Energiewirtschaftsgesetz)

– Bisherige Regelung: Kritis-Verordnung (wird sukzessive durch BSIG-E ersetzt)

6. Zertifizierung nach ISO/IEC 27001 – empfehlenswert

Die Einführung eines ISMS kann freiwillig nach ISO/IEC 27001 zertifiziert werden. Dies ist nicht verpflichtend, aber oft ratsam – besonders bei:

– Nachweispflicht gegenüber Behörden, Partnern oder Kunden

– Teilnahme an Ausschreibungen oder Förderprogrammen

– Einbindung externer IT-Dienstleister

7. Fazit

Die NIS-2-Umsetzung bedeutet einen Paradigmenwechsel im Energiesektor. Auch bislang weniger regulierte Akteure rücken in den Fokus. Zentrales Element bleibt ein funktionierendes ISMS, idealerweise zertifiziert. Die Geschäftsleitung muss organisatorisch, rechtlich und technisch vorbereitet sein, um Cyberrisiken systematisch zu beherrschen.