NIS2, Glossar zur Energieindustrie und Energiewende

NIS2 bezeichnet die zweite europäische Richtlinie zur Netzwerk- und Informationssicherheit. Ihr vollständiger Name lautet Richtlinie (EU) 2022/2555. Sie verpflichtet zahlreiche Unternehmen und öffentliche Stellen in der Europäischen Union zu einem verbindlicheren Umgang mit Cybersicherheit, Risikomanagement, Meldepflichten und Aufsicht. Im Energiesektor betrifft sie unter anderem Strom, Gas, Fernwärme, Fernkälte, Raffinerien, Wasserstoff, digitale Infrastruktur und Dienstleister, deren Ausfall erhebliche Folgen für Wirtschaft, Staat oder Gesellschaft haben kann.

NIS2 ist eine EU-Richtlinie, keine unmittelbar für jedes Unternehmen gleichlautende technische Norm. Sie legt den rechtlichen Rahmen fest, der von den Mitgliedstaaten in nationales Recht umgesetzt wird. Die konkreten Pflichten ergeben sich daher aus den jeweiligen Umsetzungsgesetzen, Aufsichtsstrukturen und behördlichen Vorgaben. In Deutschland ist vor allem das Bundesamt für Sicherheit in der Informationstechnik, das BSI, eine zentrale Behörde für die Aufsicht über viele betroffene Einrichtungen. Für Betreiber im Energiesektor können zusätzlich sektorspezifische Vorgaben, Aufsichtsbehörden und technische Regelwerke relevant sein.

Was NIS2 regelt

NIS2 verlangt von erfassten Einrichtungen angemessene technische, organisatorische und personelle Sicherheitsmaßnahmen. Dazu gehören Verfahren zur Risikoanalyse, Sicherheitskonzepte für Informationssysteme, Maßnahmen zur Bewältigung von Sicherheitsvorfällen, Backup- und Wiederherstellungskonzepte, Krisenmanagement, Verschlüsselung, Zugriffskontrollen, Mehr-Faktor-Authentisierung, Schulungen, Schwachstellenmanagement und Vorgaben zur Sicherheit in der Lieferkette.

Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen. Wesentliche Einrichtungen unterliegen in der Regel einer strengeren Aufsicht, weil ihr Ausfall besonders gravierende Folgen haben kann. Wichtige Einrichtungen sind ebenfalls verpflichtet, ihre Risiken systematisch zu beherrschen, werden aber typischerweise stärker anlassbezogen kontrolliert. Die Zuordnung hängt vom Sektor, von der Größe des Unternehmens, von der Art der Dienstleistung und von nationalen Umsetzungsvorschriften ab.

Eine zentrale Neuerung liegt in der ausdrücklichen Managementverantwortung. Cybersicherheit wird damit nicht als reine Aufgabe der IT-Abteilung behandelt. Leitungsorgane müssen Sicherheitsmaßnahmen billigen, ihre Umsetzung überwachen und können bei Pflichtverletzungen haftungs- oder aufsichtsrechtlich in Anspruch genommen werden. Diese Verschiebung ist für Energieunternehmen bedeutsam, weil viele Risiken an der Schnittstelle von Technik, Betrieb, Beschaffung, Personal, Marktkommunikation und Investitionsplanung entstehen.

Abgrenzung zu KRITIS, ISO 27001 und Datenschutz

NIS2 wird häufig mit Kritischer Infrastruktur gleichgesetzt. Diese Gleichsetzung ist ungenau. KRITIS bezeichnet Einrichtungen und Anlagen, deren Ausfall die Versorgung der Bevölkerung oder das Funktionieren des Gemeinwesens erheblich beeinträchtigen kann. NIS2 ist dagegen ein europäischer Rechtsrahmen, der bestimmte Sektoren und Einrichtungen zu Sicherheitsmaßnahmen verpflichtet. Viele KRITIS-Betreiber fallen unter NIS2 oder unter nationale Regelungen, aber NIS2 erfasst auch Organisationen, die nicht im engeren bisherigen KRITIS-Verständnis liegen.

Auch mit ISO 27001 ist NIS2 nicht identisch. ISO 27001 ist eine internationale Norm für Informationssicherheitsmanagementsysteme. Eine Zertifizierung kann helfen, Anforderungen strukturiert nachzuweisen, ersetzt aber nicht automatisch die rechtliche Prüfung nach NIS2. Die Richtlinie fordert keine bloße Dokumentation eines Managementsystems, sondern wirksame, risikogerechte Maßnahmen und Meldeprozesse.

Von Datenschutzrecht unterscheidet sich NIS2 ebenfalls. Die Datenschutz-Grundverordnung schützt personenbezogene Daten. NIS2 schützt die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität von Netz- und Informationssystemen, soweit diese für wichtige Dienste relevant sind. Ein Angriff auf ein Leitsystem eines Umspannwerks kann unter NIS2 hochrelevant sein, auch wenn dabei keine personenbezogenen Daten abfließen.

Bedeutung für das Stromsystem

Im Stromsystem hängt Cybersicherheit nicht nur an Büro-IT, E-Mail-Servern oder Kundendatenbanken. Sie betrifft zunehmend operative Technik, also Mess-, Steuerungs- und Leitsysteme. Dazu gehören Netzleitstellen, Fernwirktechnik, Schutztechnik, SCADA-Systeme, Umspannwerke, Erzeugungsanlagen, Speicher, Ladeinfrastruktur, Messsysteme und Plattformen für Marktkommunikation. Der Stromsektor ist dadurch besonders anspruchsvoll, weil digitale Angriffe physische Wirkungen auslösen können.

Ein Stromnetz muss in jedem Moment elektrische Größen wie Frequenz, Spannung und Leistungsflüsse innerhalb zulässiger Grenzen halten. Wenn Angriffe Steuerbefehle manipulieren, Datenströme unterbrechen oder Sichtbarkeit im Netzbetrieb reduzieren, kann daraus ein betriebliches Risiko entstehen. Nicht jeder IT-Ausfall führt zu einer Versorgungsunterbrechung. Viele Anlagen sind redundant ausgelegt, verfügen über Schutzfunktionen und können in sicheren Zuständen betrieben werden. Trotzdem verändert die zunehmende Vernetzung die Risikolage, weil mehr Komponenten aus der Ferne überwacht, optimiert oder gesteuert werden.

Für Verteilnetzbetreiber gewinnt dieser Punkt an Gewicht. Wärmepumpen, Ladepunkte, Photovoltaikanlagen, Batteriespeicher und steuerbare Verbrauchseinrichtungen erhöhen die Zahl der digitalen Schnittstellen. Gleichzeitig verschiebt sich ein Teil der operativen Aufmerksamkeit von wenigen großen Kraftwerken zu vielen dezentralen Anlagen. Damit wird nicht jede einzelne Komponente kritisch im Sinne eines großen Blackout-Risikos. Kritisch ist vielmehr die Fähigkeit, eine große Zahl verteilter Systeme sicher zu identifizieren, zu überwachen, zu konfigurieren und bei Störungen geordnet zu betreiben.

NIS2 macht diese Abhängigkeit rechtlich sichtbarer. Sie zwingt Unternehmen, die Risiken aus Digitalisierung, Dienstleistereinsatz und Fernzugriffen nicht nur technisch, sondern auch organisatorisch zu behandeln. Ein unsicherer Wartungszugang, ein schlecht kontrolliertes Dienstleisterkonto oder eine ungeprüfte Softwareabhängigkeit kann im Stromsystem relevanter sein als eine abstrakte Diskussion über „Hackerangriffe“ vermuten lässt.

Meldepflichten und Sicherheitsvorfälle

Ein wichtiger Bestandteil von NIS2 sind Meldepflichten für erhebliche Sicherheitsvorfälle. Die Richtlinie sieht gestufte Meldungen vor, darunter eine frühe Warnung innerhalb kurzer Frist, eine detailliertere Meldung nach weiterer Analyse und einen Abschlussbericht. Die genauen Anforderungen ergeben sich aus nationalem Recht und behördlichen Vorgaben.

Der Zweck solcher Meldungen liegt nicht allein in Sanktionierung. Behörden sollen Lagebilder erstellen, Angriffsmuster erkennen, andere betroffene Stellen warnen und koordinierte Reaktionen ermöglichen. Für Unternehmen bedeutet das, dass sie Sicherheitsvorfälle intern überhaupt erkennen, bewerten und dokumentieren können müssen. Ein Meldeprozess, der erst nach einem Angriff improvisiert wird, erfüllt diese Funktion kaum. Er braucht klare Zuständigkeiten, Schwellenwerte, Kommunikationswege und geübte Abläufe.

Gerade in der Energiewirtschaft ist die Abgrenzung zwischen IT-Störung, Betriebsstörung und meldepflichtigem Sicherheitsvorfall nicht immer trivial. Ein ausgefallenes Kommunikationssystem kann betriebliche Folgen haben, ohne dass ein Angriff nachgewiesen ist. Ein kompromittiertes Büro-System kann zunächst ohne unmittelbare Netzrelevanz erscheinen, später aber Zugangspfade in operative Umgebungen eröffnen. NIS2 verlangt deshalb keine rein formale Sicht auf einzelne Systeme, sondern eine Risikobetrachtung entlang der tatsächlichen Abhängigkeiten.

Lieferkette, Dienstleister und Verantwortlichkeit

Viele Energieunternehmen betreiben ihre digitale Infrastruktur nicht vollständig allein. Software, Fernwartung, Cloud-Dienste, Telekommunikation, Messsysteme, Leittechnik, Abrechnung, Marktkommunikation und Sicherheitsüberwachung werden teilweise von spezialisierten Dienstleistern erbracht. NIS2 nimmt diese Lieferketten stärker in den Blick.

Auslagerung verschiebt Arbeit, aber sie beseitigt die Verantwortung des betroffenen Unternehmens nicht. Wer einen Dienstleister für Leittechnik, Netzkommunikation oder Sicherheitsüberwachung einsetzt, muss vertragliche, technische und organisatorische Anforderungen so gestalten, dass Risiken beherrschbar bleiben. Dazu gehören Rechte zur Prüfung, Vorgaben zu Sicherheitsstandards, Meldepflichten, Zugriffskonzepte, Notfallprozesse und klare Regelungen bei Unterauftragnehmern.

Diese Anforderungen haben wirtschaftliche Folgen. Cybersicherheit wird zu einem Beschaffungskriterium und zu einem Kostenbestandteil des Betriebs. Billige digitale Lösungen können teuer werden, wenn sie Sicherheitsnachweise, Updatefähigkeit, Protokollierung oder Notfallzugriffe nicht sauber unterstützen. NIS2 verändert damit auch Anreize: Anbieter sicherheitsrelevanter Produkte und Dienste müssen ihre Sicherheitsarchitektur plausibel machen, weil ihre Kunden rechtlich nachweisen müssen, dass sie Lieferkettenrisiken berücksichtigen.

Typische Missverständnisse

Ein verbreitetes Missverständnis besteht darin, NIS2 als Checkliste zu behandeln. Die Richtlinie enthält zwar konkrete Pflichtbereiche, aber ihr Kern ist risikobasiert. Die angemessene Maßnahme hängt von der Funktion eines Systems, den möglichen Folgen eines Ausfalls, der Exposition gegenüber Angriffen und der Fähigkeit zur Wiederherstellung ab. Ein kleines Verwaltungssystem und ein Fernwirksystem für Netzbetrieb dürfen nicht nach demselben Risiko beurteilt werden.

Ein zweites Missverständnis lautet, NIS2 betreffe nur große Betreiber kritischer Anlagen. Die Richtlinie erweitert den Kreis der erfassten Organisationen deutlich. Auch mittelgroße Unternehmen, bestimmte Dienstleister und Einrichtungen aus angrenzenden Sektoren können erfasst sein. Für den Stromsektor ist das relevant, weil Versorgungssicherheit nicht allein von den größten Netz- oder Kraftwerksbetreibern abhängt. Marktprozesse, Datenkommunikation, Softwaredienste und dezentrale Anlagen bilden eine Kette, in der schwache Glieder betriebliche Folgen haben können.

Ein drittes Missverständnis liegt in der Vorstellung, Cybersicherheit sei mit der Trennung von IT und OT erledigt. Die Trennung zwischen Büro-IT und operativer Technik bleibt wichtig, wird aber durch Wartungszugänge, Datenplattformen, Fernüberwachung, Cloud-Anwendungen und automatisierte Marktprozesse komplexer. Viele Risiken entstehen an Übergängen. Dort müssen Identitäten, Rechte, Protokolle, Aktualisierungen und Notfallverfahren besonders sorgfältig gestaltet werden.

Ebenso falsch wäre die Erwartung, NIS2 könne absolute Sicherheit herstellen. Regulierung kann Mindestanforderungen setzen, Zuständigkeiten klären, Meldewege schaffen und Aufsicht ermöglichen. Sie verhindert nicht jeden Angriff und ersetzt keine technische Kompetenz im Betrieb. Ihr Wert liegt darin, Sicherheitsfähigkeit institutionell verbindlich zu machen: Risiken müssen benannt, bewertet, reduziert, überwacht und im Ereignisfall kommuniziert werden.

Einordnung in Versorgungssicherheit und Regulierung

Für die Versorgungssicherheit im Stromsystem ist NIS2 ein Baustein neben Netzplanung, Betriebsmittelsicherheit, Erzeugungs- und Flexibilitätsressourcen, Schutztechnik, Redispatch, Notfallreserve und Krisenorganisation. Cybersicherheit ersetzt keine physikalischen Anforderungen an das Netz. Sie entscheidet aber zunehmend darüber, ob digitale Werkzeuge, mit denen diese Anforderungen erfüllt werden, verlässlich bleiben.

Damit verbindet NIS2 technische Sicherheit mit Governance. Die Richtlinie fragt nicht nur, ob eine Firewall vorhanden ist, sondern wer Risiken bewertet, wer Maßnahmen freigibt, wer Dienstleister kontrolliert, wer Vorfälle meldet und wie der Betrieb nach einer Störung wiederhergestellt wird. Diese institutionelle Seite ist im Energiesektor besonders wichtig, weil viele Aufgaben zwischen Netzbetreibern, Lieferanten, Direktvermarktern, Messstellenbetreibern, Anlagenbetreibern, Plattformanbietern und Behörden verteilt sind.

NIS2 präzisiert den Begriff der Cybersicherheit im Stromsystem, weil sie ihn aus der freiwilligen Sphäre einzelner IT-Maßnahmen herauslöst. Gemeint ist keine abstrakte digitale Vorsicht, sondern eine überprüfbare Fähigkeit von Organisationen, ihre kritischen Netz- und Informationssysteme risikogerecht zu schützen, Störungen zu erkennen, handlungsfähig zu bleiben und relevante Vorfälle in eine gemeinsame Sicherheitslage einzuspeisen.