Der Schutz von kritischer Infrastruktur rückt auch in Hinblick auf Cyber-Angriffe weiter in den Fokus. Damit befasst sich auch die Richtlinie 2022/2555 der Europäischen Union, auch NIS-2 genannt, deren Umsetzung in deutsches Recht seit dem 6. Dezember 2025 gilt. Die relevanten Umsetzungsvorschriften sind über mehrere Gesetze verteilt. Für die Energiebranche sind relevant:
Wir geben nachfolgend einen ersten Überblick über die wichtigsten Änderungen, die neuen Kategorien und Kriterien und erklären abstrakt, wer in den Anwendungsbereich fällt und welche Pflichten daraus resultieren.
Vor Umsetzung der NIS-2-Richtlinie waren ausschließlich Betreiber sogenannter kritischer Anlagen reguliert. Wer keine Anlagen mit einer Gesamtleistung von 104 MW betrieb, war im Regelfall nicht erfasst. Gleiches galt für die meisten Betriebsführer.
Das hat sich nun verändert. Nach Einschätzungen aus der Branche dürfte sich der Kreis der erfassten Unternehmen 20-fach vergrößert haben.
Drei Kategorien von Unternehmen sind von den Regelungen des BSIG und der §§ 5c ff. EnWG betroffen:
Neu sind die Kategorien der besonders wichtigen und wichtigen Einrichtungen – bei denen es nicht auf MW-Schwellenwerte von installierter Anlagenleistung ankommt. Das ist ein Perspektivwechsel: Es geht bei diesen neuen Kategorien nicht mehr nur um die Größe von Anlagen und damit um die Bedeutung für die Stromerzeugung selbst (anlagenbezogene Betrachtung), sondern um das Unternehmen als solches (einrichtungsbezogene Betrachtung). Schwellenwerte beziehen sich nicht mehr auf die installierte Anlagenleistung, sondern auf das Unternehmen selbst (Mitarbeiter, Umsatz, Bilanzsumme). Werden hier die Schwellenwerte erreicht, genügt eine – auch nur geringfügige – Tätigkeit des Unternehmens in der Energiewirtschaft.
| Betreiber kritischer Anlagen als besonders wichtige Einrichtungen (§ 28 Absatz 1 Satz 1 Nummer 1 BSIG) | – erfasste Anlagenkategorie nach Anhang 1 Teil 3 zur BSI-KritisV > Erzeugungsanlage oder > digitale Energiedienste oder > weitere – und Erreichen der Schwellenwerte > 104 MW (Normalfall) > 36 MW (Primärregelleistung) > 0 MW (Schwarzstartanlage) |
| Sonstige besonders wichtige Einrichtungen (§ 28 Absatz 1 Satz 1 Nummer 4 BSIG) | – erfasste Einrichtungsart nach Anlage 1 des BSIG > Erzeugungsanlage oder > Aggregator oder > weitere – und Erreichen der Unternehmenskennzahlen > mind. 250 Mitarbeiter oder > Jahresumsatz über 50 Mio. EUR und Jahresbilanzsumme über 43 Mio. EUR |
| wichtige Einrichtungen (§ 28 Absatz 2 Satz 1 Nummer 3 BSIG) | – erfasste Einrichtungsart nach Anlage 1 des BSIG > Erzeugungsanlage oder > Aggregator oder > weitere – und Erreichen der Unternehmenskennzahlen > mind. 50 Mitarbeiter oder > Jahresumsatz über 10 Mio. EUR und Jahresbilanzsumme über 10 Mio. EUR |
Zu den Kategorien im Einzelnen:
Betreiber kritischer Anlagen ist eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine oder mehrere kritische Anlagen ausübt.
Es werden verschiedene Sektoren identifiziert, die nach spezifischen Kriterien den Anforderungen des BSIG unterfallen. Für Anlagen im Sektor „Energie“ – insbesondere die Stromerzeugung – gibt es zwei hier besonders relevante Kategorien:
Für beide Kategorien gilt eine abgestufte Einordnung, wobei die gleichen Schwellenwerte gelten:
| installierte Nettonennleistung in MW | 104 |
| installierte Nettonennleistung in MW, wenn die Anlage zur Erbringung von Primärregelleistung nach § 2 Nummer 8 StromNZV präqualifiziert ist (das ist häufig bei Batteriespeichern („BESS“) der Fall) | 36 |
| installierte Nettonennleistung in MW, wenn als Schwarzstartanlage nach BK6-18-249 kontrahiert | 0 |
Dabei entstehen in der Praxis häufig Unsicherheiten: Welche Anlagen werden zusammengerechnet, sodass sie nicht einzeln, aber gemeinsam Schwellenwerte überschreiten? Wer gilt als Betreiber von Anlagen und damit als Adressat von Pflichten? Und was genau umfasst ein „digitaler Energiedienst“? Dieser neue Begriff ist noch nicht in allen Einzelheiten geklärt, häufig erfasst sein dürften hiervon jedoch technische Betriebsführer.
Werden die Schwellenwerte erreicht, so sind die Erzeugungsanlagen und digitalen Energiedienste besonders wichtige Einrichtungen im Sinne des BSIG. Für sie bzw. ihre Betreiber gelten dann die Anforderungen des BSIG und §§ 5c ff. EnWG (mit teils weitreichenden Konsequenzen).
Auch ohne Erreichen der anlagenbezogenen Schwellenwerte nach der BSI-KritisV kann eine besonders wichtige Einrichtung vorliegen. Dies ist der Fall, wenn ein Unternehmen
Das Unternehmen muss einer Einrichtungsart nach Anlage 1 zum BSIG zuzuordnen sein und in diesem Bereich entgeltlich Waren oder Dienstleistungen anbieten. Erfasste Einrichtungsarten sind Erzeugungsanlagen, Energiespeicheranlagen, Aggregatoren und weitere. Der Begriff des Aggregators ähnelt dem des „digitalen Energiedienstes“, erfordert zusätzlich aber eine Bündelung elektrischer Leistung und das Anbieten auf einem Elektrizitätsmarkt. Hiervon erfasst sein dürften damit vor allem Direktvermarkter.
Häufig werden diese Unternehmenskennzahlen nicht durch ein einzelnes Unternehmen alleine erreicht – aber unter Umständen sind die Zahlen mehrerer Unternehmen zusammenzufassen. Dies ist der Fall, wenn es sich um verbundene Unternehmen oder Partnerunternehmen handelt. Wann eine solche Zusammenrechnung erfolgt und wem welche Zahlen in welcher Höhe zuzurechnen sind, ergibt sich aus der Empfehlung der EU-Kommission 2003/361/EG.
Zu beachten sind zwei Ausnahmen:
Ganz maßgeblich kommt es daher auf die unternehmensrechtlichen Strukturen, Beteiligungen, Stimmrechte usw. an.
Eine wichtige Einrichtung liegt vor, wenn ein Unternehmen
Hier gelten die oben dargestellten Grundsätze zur Zusammenrechnung und den Ausnahmen entsprechend.
Alle als besonders wichtige oder wichtige Einrichtungen eingeordneten Unternehmen müssen Pflichten nach §§ 5c ff. EnWG und dem BSIG erfüllen.
Für Energieanlagen, die an ein Energieversorgungsnetz angeschlossen sind, ergeben sich die materiellen Pflichten aus § 5c Absatz 1 EnWG. Das Gesetz nennt dies einen „angemessenen Schutz gegen Bedrohungen“, der bereits bei der Beschaffung von Anlagengütern und Dienstleistungen sicherzustellen ist. Zu befolgen ist im Wesentlichen der IT-Sicherheitskatalog von BSI und BNetzA, der unter anderem die Implementierung eines Informationssicherheits-Managementsystems (ISMS) vorsieht. Ist der Sicherheitskatalog erfüllt, gilt die Pflicht des Betreibers zur Gewährleistung eines angemessenen Bedrohungsschutzes als erfüllt. Betreiber kritischer Anlagen müssen zusätzlich einen Katalog kritischer Komponenten beachten (§ 5c Absatz 6 EnWG).
Die Einhaltung des IT-Sicherheitskatalogs ist nach § 5d Absatz 1 EnWG zu dokumentieren und an die BNetzA zu übermitteln.
Spätestens drei Monate, nachdem sie erstmals als eine der vorgenannten Einrichtungen gelten, müssen sich die betroffenen Unternehmen registrieren und in diesem Rahmen die Informationen nach § 33 Absatz 1 BSIG übermitteln, Betreiber kritischer Anlagen müssen zusätzliche Informationen nach § 33 Absatz 2 BSIG übermitteln. Die Registrierung ist ein zweistufiger Prozess.
Hinweis: Die Frist von 3 Monaten begann für viele Unternehmen mit dem Inkrafttreten des neuen BSIG zu laufen und endete bereits am 6. März 2026. Bei nicht fristgerechter Registrierung drohen Bußgelder (siehe dazu unten). Soweit dies noch nicht geschehen ist, sollte eine Betroffenheitsprüfung und anschließende Registrierung daher so schnell wie möglich durchgeführt werden.
Bei Sicherheitsvorfällen bestehen gestufte Meldepflichten: Erstmeldung 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, Folgemeldung spätestens 72 Stunden nach Kenntniserlangung, Abschlussmeldung einen Monat nach Übermittlung der Folgemeldung.
Die Geschäftsleitung ist verpflichtet, die Umsetzung und Einhaltung der Pflichten zu überwachen sowie sich selbst und die Angestellten zu schulen (§ 5e EnWG). Geschäftsleitungen, die ihre Pflichten verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden.
Die Sanktionen wurden empfindlich auf bis zu 10 Mio. Euro angehoben. In bestimmten Fällen kann ein Bußgeld auch bis zu 2 Prozent des weltweiten Gesamtumsatzes betragen.
Daneben können Aufsichts- und Informationsmaßnahmen verhängt werden. Hinzu kommt eine privatrechtliche Haftung gegenüber Dritten und eine Haftung der verantwortlichen Personen gegenüber dem Unternehmen selbst.
Auch die persönliche Haftung der Geschäftsleiter ist ausdrücklich im BSIG geregelt, wenn sie ihren Pflichten nicht nachkommen.
Konsequenz der NIS-2-Richtlinie ist eine breitere Erfassung von Akteuren im Bereich der Energieversorgung und -produktion. Dem folgen angepasste Pflichten, die die Vulnerabilität verringern sollen. Flankiert wird dies von teils empfindlichen Sanktionen.
Betreiber kritischer Anlagen und größere Unternehmen müssen nun also handeln. Zunächst steht die – teils komplexe – Prüfung an, ob eine Betroffenheit nach den oben skizzierten Voraussetzungen überhaupt vorliegt.
Liegt eine Betroffenheit vor, müssen sich Unternehmen zügig registrieren und dann die Vorgaben des IT-Sicherheitskatalogs erfüllen.
Hinweis: Das BSI hat auf seiner Website als erste Orientierungshilfe eine automatisierte Betroffenheitsprüfung. Zur Prüfung und zum ebenfalls veröffentlichten Entscheidungsbaum gelangen Sie hier.
Neben den hier behandelten, den Schutz vor Cyber-Angriffen betreffenden Regelungen, gibt es zum Schutz gegen physische Angriffe das KRITIS-Dach-Gesetz, welches wir in diesem Artikel nicht behandelt haben.
