TL;DR Die NIS-2-Richtlinie bringt 2026 für deutsche Energieversorger einen verbindlichen Pflichtenkatalog mit persönlicher Vorstandshaftung. Wer betroffen ist, was konkret zu tun ist und wie ein belastbarer Umsetzungsplan aussieht.

Wer ist betroffen

Die NIS-2-Richtlinie (Richtlinie EU 2022/2555) und das nationale NIS2UmsuCG erfassen den Energiesektor als Sektor mit hoher Kritikalität (Anhang I). Das umfasst:

  • - Stromversorger, Übertragungs- und Verteilnetzbetreiber
  • - Erdgas- und Erdölversorger sowie Pipeline-Betreiber
  • - Fernwärmeunternehmen
  • - Wasserstoff-Produzenten und -Versorger (neu im Geltungsbereich)
  • - Betreiber von Tankstellennetzen ab definierter Größe

Ausschlaggebend ist nicht nur die Tätigkeit, sondern auch die Unternehmensgröße. Wesentliche Einrichtungen sind in der Regel Unternehmen ab 250 Mitarbeitenden oder 50 Mio Euro Jahresumsatz. Wichtige Einrichtungen ab 50 Mitarbeitenden oder 10 Mio Euro. Auch Zulieferer können indirekt betroffen sein, wenn sie sicherheitsrelevante Dienstleistungen für betroffene Energieunternehmen erbringen.

Was sich gegenüber NIS 1 ändert

NIS 1 hat im Energiesektor primär Übertragungsnetzbetreiber und Großkraftwerke erfasst. NIS 2 verbreitert den Anwendungsbereich substantiell:

  • - Mehr Unternehmen durch niedrigere Schwellenwerte
  • - Lieferkette explizit Teil der Risikobewertung
  • - Persönliche Haftung der Geschäftsleitung (Artikel 32) für die Nicht-Umsetzung von Sicherheitsmaßnahmen
  • - Bußgelder bis zu 10 Mio Euro oder 2 Prozent des weltweiten Jahresumsatzes
  • - Meldepflichten mit harten Fristen, kein „so bald wie möglich" mehr

Energieversorger, die unter NIS 1 nur am Rande betroffen waren, finden sich unter NIS 2 mit einem deutlich umfangreicheren Pflichtenkatalog wieder.

Der Pflichtenkatalog im Kern

Artikel 21 der Richtlinie definiert zehn technische und organisatorische Maßnahmen, die jedes betroffene Unternehmen umsetzen muss:

  1. 1. Konzepte für Risikoanalysen und Sicherheitsmaßnahmen
  2. 2. Bewältigung von Sicherheitsvorfällen (Incident Response)
  3. 3. Aufrechterhaltung des Betriebs, Backup-Management, Krisenmanagement
  4. 4. Sicherheit der Lieferkette, einschließlich Beziehungen zu Dienstleistern
  5. 5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
  6. 6. Konzepte zur Bewertung der Wirksamkeit dieser Maßnahmen
  7. 7. Cyber-Hygiene und Schulungen
  8. 8. Kryptografie und Verschlüsselung
  9. 9. Personalsicherheit, Zugriffskontrolle, Asset-Management
  10. 10. Multi-Faktor-Authentifizierung, gesicherte Kommunikation, Notfallkommunikation

Diese zehn Punkte sind nicht optional. Sie sind nicht „best practice". Sie sind gesetzlich geschuldet.

Meldepflichten: harte Fristen

Bei einem Sicherheitsvorfall mit erheblichen Auswirkungen gilt:

  • - 24 Stunden: Erste Frühwarnung an die zuständige Behörde (in Deutschland das BSI)
  • - 72 Stunden: Aktualisierte Meldung mit ersten Bewertungen
  • - 1 Monat: Abschlussbericht mit Ursachenanalyse und ergriffenen Maßnahmen

Wer diese Fristen reißt, riskiert nicht nur die Bußgelder, sondern auch persönliche Konsequenzen für die Geschäftsleitung. In einer Branche, die historisch eher zurückhaltend kommuniziert hat, ist das eine Kulturänderung.

Persönliche Haftung: das wird ernst

Artikel 32 der Richtlinie und § 38 NIS2UmsuCG verpflichten die Geschäftsleitung, die Cyber-Sicherheitsmaßnahmen aktiv zu billigen, ihre Umsetzung zu überwachen und sich regelmäßig schulen zu lassen. Bei Verstößen haftet die Geschäftsleitung persönlich.

Das ist keine theoretische Konstellation. Aufsichtsbehörden bekommen Befugnisse, leitende Personen vorübergehend von ihrer Funktion auszuschließen. Cyber-Sicherheit ist damit endgültig kein IT-Thema mehr, sondern Vorstandsthema.

Checkliste: zehn Schritte zur NIS-2-Konformität

Wir empfehlen folgenden Umsetzungsplan, basierend auf ISO 27001 als Fundament und NIS-2-spezifischen Ergänzungen:

  1. 1. Geltungsbereich klären. Wesentliche oder wichtige Einrichtung? Welche Tochtergesellschaften sind betroffen? Welche Lieferanten?
  2. 2. Risikomanagement etablieren. Schutzbedarfsanalyse, Asset-Inventar, Risikobewertung mit klaren Eigentümern.
  3. 3. Maßnahmen-Katalog gegen Artikel 21 mappen. Lückenanalyse zwischen Ist-Zustand und gesetzlicher Pflicht.
  4. 4. Vorstands-Beschluss zur Cyber-Sicherheitsstrategie. Schriftlich, mit Verantwortlichkeiten und Budget.
  5. 5. Lieferkette absichern. Vertragsklauseln, Audit-Rechte, Sicherheits-Anforderungen an Dienstleister.
  6. 6. Detection und Response aufbauen. SOC im Eigenbetrieb oder als Managed Service, mit 24/7-Abdeckung.
  7. 7. Meldewege definieren. Wer informiert das BSI binnen 24 Stunden? Stellvertretung? Eskalation?
  8. 8. Schulungen rollen. Geschäftsleitung, Schlüsselpersonal, technische Teams, jeweils zielgruppengerecht.
  9. 9. Dokumentation aufbauen. Audit-tauglich, mit Versionierung, regelmäßig aktualisiert.
  10. 10. Wirksamkeit prüfen. Penetration Tests, Tabletop-Übungen, jährliche Management-Review.

Diese zehn Schritte führen nicht zur „Kann-NIS-2"-Zertifikat (die gibt es nicht). Sie führen zur Nachweisbarkeit, dass die gesetzlich geforderten Maßnahmen umgesetzt sind.

Was viele Energieversorger unterschätzen

Drei Punkte, die in unserer Beratungspraxis regelmäßig zu spät angegangen werden:

  • - Lieferkette. Wer in 2026 keine vertraglichen Sicherheits-Anforderungen an seine IT-Dienstleister, Fernwartungs-Anbieter und Cloud-Plattformen stellt, hat eine offene Flanke. Aufsichtsbehörden werden hier gezielt prüfen.
  • - OT-Sicherheit. Steuerungstechnik in Umspannwerken, Pumpstationen und Erzeugungsanlagen ist oft veraltet, lange Patch-Zyklen, schwache Authentifizierung. NIS 2 macht keine Ausnahme für OT.
  • - Vorstandskompetenz. Die Pflicht zur Schulung der Geschäftsleitung ist nicht symbolisch. Bei einem Vorfall wird die Aufsichtsbehörde fragen, was die Geschäftsleitung wann gewusst und entschieden hat.

Wie GermanAI Defense unterstützt

Wir bauen NIS-2-Programme auf ISO 27001 als Fundament auf, ergänzen mit den NIS-2-spezifischen Pflichten und liefern Audit-taugliche Dokumentation. Unser Geltungsbereich umfasst Lückenanalyse, Maßnahmen-Plan, technische Umsetzung (SOC, Penetration Testing, Schulung) und die fortlaufende Begleitung der Geschäftsleitung.

Geprüft, akkreditiert, dokumentiert. Aus Frankfurt, für die Energieinfrastruktur in Deutschland.

→ Mehr zu unserer GRC- und Compliance-Beratung: germanaidefense.de/grc