NIS2 Energiewirtschaft: Welche Energieunternehmen betroffen sind und wie Sie die Umsetzung belastbar organisieren.

Energieunternehmen gehören zu den wesentlichen Einrichtungen unter NIS2 und unterliegen den strengsten Anforderungen einschließlich proaktiver Aufsicht durch die Bundesnetzagentur. Für das Keyword NIS2 Energiewirtschaft ist die Kernaussage deshalb eindeutig: Der Energiesektor ist Sektor 1 von 18, viele Unternehmen fallen bereits ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz in den Anwendungsbereich, der Bußgeldrahmen reicht bis 10 Mio. EUR oder 2 Prozent Jahresumsatz, und bestehende Regeln wie § 11 EnWG und der IT-Sicherheitskatalog verschärfen die Umsetzung zusätzlich.

Für Energieunternehmen ist NIS2 keine abstrakte EU-Vorgabe, sondern eine operative Managementpflicht. Strom, Gas, Öl, Fernwärme, Wasserstoff und Ladeinfrastruktur hängen an vernetzten Betriebsprozessen, Fernzugängen, Leitstellen, Marktkommunikation, Dienstleistern und teils jahrzehntealten OT-Systemen. Genau diese Mischung macht die Energiewirtschaft besonders anspruchsvoll: Aus einem Cybervorfall wird hier nicht nur ein IT-Problem, sondern potenziell ein Ausfall von Versorgung, Netzstabilität oder Sicherheitsfunktionen.

Wer die Rechtsgrundlagen zuerst einordnen will, sollte die Übersichtsseite zur NIS2-Richtlinie in Deutschland, den Fachbeitrag zu NIS2-Anforderungen nach Artikel 21, die Angebotsseite zur NIS2 Schulung, den Glossarbegriff NIS2-Richtlinie und die Einordnung zu KRITIS parallel lesen. Für die Energiewirtschaft ist gerade diese Verzahnung aus europäischer Regulierung, nationalem Energierecht und branchenspezifischer Technik entscheidend.

NIS2 in der Energiewirtschaft-Branche: Überblick

NIS2 betrifft die Energiewirtschaft in besonderer Intensität. Der Sektor gehört nach der Richtlinie zu den wesentlichen Einrichtungen, also zu den Bereichen mit erhöhter Kritikalität, höherem Sanktionsrahmen und aktiver Aufsicht. Für Deutschland ist diese Einordnung praktisch relevant, weil Energieunternehmen schon vor NIS2 an eine dichte Regulierungslandschaft gewöhnt waren und nun die europäische Governance-Ebene belastbar mit bestehenden Energiepflichten verzahnen müssen.

Betroffen sind typischerweise Stromerzeuger, Übertragungs- und Verteilnetzbetreiber, Gasversorger und Gasnetzbetreiber, Unternehmen der Ölversorgung, Fernwärme- und Fernkälteunternehmen, größere Betreiber erneuerbarer Erzeugungsanlagen, Wasserstoff-Infrastruktur und Teile der Ladeinfrastruktur. Das Research verweist für Deutschland auf grob 800 bis 1.500 potenziell relevante Unternehmen, je nachdem, ob man eng auf klassische Kernrollen oder weiter auf verbundene Energieinfrastruktur abstellt. Besonders häufig betroffen sind größere Stadtwerke, regionale Versorger und Betreiber kritischer Netze.

Die formale Größenlogik von NIS2 ist für die Energiewirtschaft wichtig, aber nicht allein ausschlaggebend. Als Ausgangspunkt gilt in der Regel die Schwelle von mindestens 50 Beschäftigten oder mehr als 10 Mio. EUR Jahresumsatz. In der Praxis genügt es jedoch nicht, nur eine Mitarbeiterzahl abzulesen. Sie müssen prüfen, welche juristische Person welche Energie-Dienstleistung erbringt, wie eng diese Leistung mit dem Versorgungssystem verbunden ist und welche Sonderregime aus dem Energierecht bereits greifen.

Gerade Stadtwerke dürfen die Betroffenheitsprüfung nicht zu grob angehen. Ein Unternehmensverbund kann Stromnetz, Gasvertrieb, Fernwärme, Bäder, ÖPNV und Wohnungswirtschaft unter einem Dach vereinen. Für NIS2 zählt aber nicht die kommunale Gesamtmarke, sondern die konkrete rechtliche Einheit und die konkret erbrachte Leistung. Wer diese Unterscheidung nicht sauber dokumentiert, riskiert entweder unnötigen Aufwand oder gefährliche Fehleinschätzungen.

Für die Geschäftsleitung ist deshalb eine nüchterne Reihenfolge entscheidend. Erstens: Einordnung des Unternehmens in die NIS2-Systematik. Zweitens: Abgleich mit bestehenden Energiepflichten, vor allem nach EnWG und IT-Sicherheitskatalog. Drittens: Ableitung der Maßnahmen für OT, IT, Lieferkette, Meldeprozess und Schulung. Genau an diesem Punkt ist eine spezialisierte NIS2 Schulung sinnvoll, weil allgemeine Awareness-Formate die Versorgungslogik der Branche meist nicht abbilden.

Welche Energiewirtschaft-Unternehmen sind betroffen?

Betroffen sind in der Energiewirtschaft nicht nur die klassischen Großkonzerne. Das Research zeigt ausdrücklich, dass auch regionale Versorger, mittlere Netzbetreiber, Stadtwerke, Fernwärmeanbieter, Betreiber größerer erneuerbarer Erzeugung und neue Infrastrukturen wie Wasserstoff oder Ladeinfrastruktur in den NIS2-Fokus rücken können. Für viele Unternehmen ist deshalb nicht die Frage relevant, ob sie systemrelevant klingen, sondern ob sie objektiv zu einem regulierten Energiedienst beitragen.

Eine praktikable Abgrenzung lässt sich entlang der tatsächlichen Funktion im Versorgungssystem vornehmen:

Für Strom- und Gasunternehmen ist die Betroffenheit besonders naheliegend, weil hier Netz- und Versorgungssicherheit direkt an cyberphysische Systeme gekoppelt sind. Netzleittechnik, Umspannwerke, Messstellen, Fernwirkanlagen und Marktkommunikation bilden zusammen ein komplexes Angriffsziel. Schon ein begrenzter Vorfall kann sich auf Redispatch, Lastverteilung, Störungsbehebung oder Kundenversorgung auswirken.

Bei Fernwärme und kommunalen Mischversorgern wird die Einordnung häufig unterschätzt. Fernwärmeunternehmen arbeiten mit Leitständen, Sensorik, Pumpen, Übergabestationen und externen Wartungszugängen. Wenn diese Systeme groß genug skaliert sind oder in einen relevanten Versorgungsverbund eingebettet sind, wird NIS2 schnell praktisch. Dass Fernwärme historisch nicht dieselbe öffentliche Aufmerksamkeit wie Stromnetze hatte, ändert nichts daran, dass die Ausfallfolgen erheblich sein können.

Erneuerbare Energie erweitert den Anwendungsbereich zusätzlich. Windparks, Solarportfolios, Speicher und virtuelle Kraftwerke erzeugen einen dezentralen, softwareabhängigen Anlagenpark mit vielen Schnittstellen zu Herstellern, Leitständen, Direktvermarktern und Servicedienstleistern. Das Research nennt über 100 größere Betreiber erneuerbarer Anlagen und verweist zugleich auf die steigende Angriffsfläche durch massenhaft vernetzte Assets. Für NIS2 ist daher nicht nur das einzelne Windrad relevant, sondern die operative Steuerungs- und Überwachungsarchitektur dahinter.

Ein Sonderfall sind kleine Betreiber und hoch fragmentierte Strukturen. Nicht jedes kleinere Projekt, jede Bürgerenergiegesellschaft oder jede einzelne Erzeugungseinheit fällt automatisch unter NIS2. Trotzdem sollten auch nicht betroffene Unternehmen die NIS2-Logik kennen, weil viele Pflichten mittelbar über Lieferketten, Netzanschlussbedingungen, Dienstleisteranforderungen, Versicherungen und Kundenprüfungen in die Organisation hineinwirken.

Spezifische NIS2-Anforderungen für Energiewirtschaft

Für die Energiewirtschaft genügt es nicht, die allgemeinen Maßnahmen aus Art. 21 NIS2 abstrakt aufzuzählen. Energieunternehmen müssen sie in Betriebslogik übersetzen. Das bedeutet: Risikomanagement darf nicht bei Office-IT enden, Incident Handling darf nicht nur Ransomware auf Dateiservern betrachten, und Business Continuity muss Versorgung, Leitbetrieb und manuelle Ersatzverfahren abdecken.

Die erste Kernanforderung ist die konsequente Trennung und Absicherung von OT und klassischer IT. Das Research nennt hier ausdrücklich Segmentierung, abgesicherte Fernzugriffe, Härtung von SCADA- und ICS-Systemen sowie die Isolierung kritischer Leit- und Umspannwerksumgebungen. Für Energieunternehmen ist das keine optionale Reifegradmaßnahme, sondern die Basis dafür, dass ein Angriff auf E-Mail, VPN oder Lieferantenzugang nicht unmittelbar in den Netzbetrieb durchschlägt.

Die zweite Kernanforderung ist Resilienz im echten Betriebsmaßstab. In der Energiewirtschaft reicht ein Backup-Konzept auf Papier nicht aus. Entscheidend sind Wiederanlaufzeiten, geografisch getrennte Sicherungen, getestete Ersatzverfahren und die Fähigkeit, kritische Betriebsprozesse notfalls manuell oder in degradierten Modi weiterzuführen. Das Research verweist für kritische Umgebungen auf enge RTO- und RPO-Ziele sowie auf manuelle Override-Fähigkeiten. Genau daraus folgt, dass Business Continuity, Krisenmanagement und technische Betriebsführung zusammen gedacht werden müssen.

Die dritte Kernanforderung betrifft die Lieferkette. Energieunternehmen hängen an Transformatoren, Schutztechnik, Fernwirktechnik, Smart-Meter-Komponenten, Netzleitsoftware, Wartungsdienstleistern und Firmware-Lieferungen. NIS2 verlangt die Berücksichtigung von Lieferkettenrisiken ausdrücklich. In der Energiewirtschaft heißt das praktisch: klare Freigabeprozesse für Herstellerzugriffe, Integritätsprüfungen für Hard- und Firmware, transparente Rollen externer Dienstleister und dokumentierte Eskalationswege bei Sicherheitsereignissen in der Lieferkette.

Die vierte Kernanforderung ist der belastbare Meldeprozess. Erhebliche Sicherheitsvorfälle müssen frühzeitig erkannt, intern eskaliert, rechtlich bewertet und fristgerecht gemeldet werden. Für Energieunternehmen ist zusätzlich relevant, ob ein Vorfall die Netzstabilität, die Erzeugungsplanung, die Marktkommunikation oder den Kundendienst beeinträchtigt. Ein guter Prozess fragt deshalb nicht nur: "Ist das ein IT-Incident?", sondern: "Welche energiewirtschaftliche Funktion ist betroffen, und welche Aufsicht oder welcher Marktpartner muss eingebunden werden?"

Die fünfte Kernanforderung ist Schulung mit Branchenbezug. NIS2 verlangt nicht nur technische Maßnahmen, sondern auch Governance. Das betrifft die Geschäftsleitung unmittelbar. In der Energiewirtschaft sollten Schulungen deshalb die Rollen real abbilden: Geschäftsführung entscheidet über Risikoappetit und Investitionen, Netzbetrieb steuert Betriebsrealität, Informationssicherheit priorisiert Maßnahmen, Einkauf bewertet Lieferanten, und Instandhaltung oder Leitwarte arbeiten an den operativen Schnittstellen. Eine branchenspezifische NIS2 Schulung für Energieunternehmen schafft hier einen gemeinsamen Handlungsrahmen statt isolierter Wissensinseln.

Branchenspezifische Herausforderungen

Die größte branchenspezifische Herausforderung ist die Verbindung von Versorgungssicherheit und Cyberabwehr. Energieunternehmen können Sicherheitsmaßnahmen nicht einfach mit Downtime erkaufen. Netzbetrieb, Leitsysteme und Erzeugung laufen in engen technischen und regulatorischen Grenzen. Jede Änderung an produktionsnaher IT oder OT muss deshalb so geplant werden, dass sie Schutz erhöht, ohne die Betriebsstabilität zu gefährden. Genau dieser Zielkonflikt unterscheidet die Energiewirtschaft von weniger kritischen Branchen.

Ein zweites Problem ist der Modernisierungsstau in SCADA- und ICS-Landschaften. Das Research beschreibt, dass viele Systeme 15 bis 30 Jahre alt sind und nie für heutige Bedrohungsmodelle entwickelt wurden. Vollständiger Ersatz ist oft weder kurzfristig finanzierbar noch betrieblich möglich. Daraus folgt eine unbequeme, aber realistische NIS2-Logik: Sie müssen Altsysteme nicht sofort austauschen, aber Sie müssen ihre Risiken durch Segmentierung, Härtung, Monitoring, kontrollierte Fernwartung und technische sowie organisatorische Kompensationsmaßnahmen beherrschbar machen.

Ein drittes Problem ist die Dezentralisierung der Energieerzeugung. Die Energiewende erweitert die Angriffsfläche, weil tausende Anlagen, Messpunkte, Sensoren, Wechselrichter, Speicher und Steuerungseinheiten in das Gesamtsystem eingebunden werden. Das Research spricht von einer massiven Zunahme netzgekoppelter Wind- und Solaranlagen sowie Smart-Meter-Infrastrukturen. Für NIS2 heißt das: Asset-Inventar, Geräteidentität, sichere Update-Prozesse und Lieferantenkontrolle werden zu Kernaufgaben, nicht zu nachgelagerten Technikdetails.

Ein viertes Problem ist die personelle Lage. Die Branche arbeitet mit alternden Belegschaften, lang gewachsenem Erfahrungswissen und zugleich hohem Bedarf an digitaler und OT-spezifischer Kompetenz. Wenn Schlüsselwissen über Leitstellen, Schaltbilder, Betriebsabläufe und Notfallverfahren nur in wenigen Köpfen vorhanden ist, entsteht ein Governance-Risiko. NIS2 verlangt zwar keine bestimmte Altersstruktur, aber sie zwingt Unternehmen dazu, Verantwortlichkeiten, Nachweise und Schulungsstände so aufzubauen, dass sie nicht von einzelnen Personen abhängen.

Ein fünftes Problem ist die Mehrfachregulierung. Energieunternehmen bewegen sich gleichzeitig im europäischen NIS2-Rahmen, im nationalen Sicherheitsrecht, im EnWG, in technischen Katalogen, in Marktprozessen und oft in kommunalen oder konzerninternen Governance-Strukturen. Wer diese Ebenen getrennt organisiert, erzeugt Doppelarbeit und Lücken. Wer sie integriert, kann aus NIS2 einen Steuerungsrahmen machen, der bestehende Energiepflichten besser dokumentiert und operationalisiert.

Praxisbeispiel: Was der Energiesektor aus BlackEnergy und der Ukraine lernen muss

Das Research nennt den BlackEnergy-Kontext und den Angriff auf das ukrainische Stromnetz 2015 als prägendes Beispiel für den Energiesektor. Die unmittelbare Lehre für deutsche Energieunternehmen lautet nicht, dass sich ein historischer Vorfall identisch wiederholt. Die Lehre lautet vielmehr, dass Spear-Phishing, kompromittierte Zugänge, laterale Bewegung und der Angriff auf Betriebsumgebungen keine theoretischen Szenarien sind, sondern im Energiesektor bereits reale Versorgungsauswirkungen hatten.

Übertragen auf ein deutsches Stadtwerk könnte das Szenario so aussehen: Ein externer Dienstleister nutzt einen Fernwartungszugang für Netztechnik. Über ein kompromittiertes Konto gelingt der Einstieg in eine administrative Umgebung. Von dort aus wird versucht, sich in Leit- oder Fernwirkkomponenten auszubreiten, Protokolldaten zu manipulieren oder die Bedienoberfläche zentraler Systeme zu stören. Parallel sind Office-IT, Ticketing und Krisenkommunikation eingeschränkt, sodass Technik und Management nicht mehr auf dieselbe Informationslage zugreifen.

Genau an diesem Punkt trennt sich formale Compliance von echter NIS2-Reife. Ein belastbar vorbereitetes Energieunternehmen hätte vorab mindestens sechs Dinge geklärt: ein vollständiges Inventar kritischer OT- und IT-Systeme, segmentierte Fernzugriffe, technische Erkennung ungewöhnlicher Vorgänge, getestete Ersatzverfahren für Leit- und Netzbetrieb, eindeutige Eskalationswege zur Geschäftsleitung und einen eingeübten Meldeprozess. Ohne diese Vorarbeit wird aus einem Cyberangriff nicht nur ein Technikproblem, sondern eine Lage mit Auswirkungen auf Versorgung, Kommunikation, Aufsicht und Öffentlichkeit.

Das Beispiel zeigt auch, warum die Energiewirtschaft branchenspezifische Schulungen braucht. Die Geschäftsleitung muss regulatorische Tragweite und Entscheidungsbefugnisse verstehen, die Leitwarte muss Angriffssymptome von Betriebsstörungen unterscheiden können, der Einkauf muss Dienstleisterzugriffe kontrollieren, und die Informationssicherheit muss mit dem Netzbetrieb dieselbe Risikosprache sprechen. Eine generische Awareness-Schulung für Büroangestellte löst dieses Problem nicht.

Zusätzliche branchenspezifische Regulierungen

NIS2 ist in der Energiewirtschaft selten die einzige relevante Schicht. Besonders wichtig ist § 11 EnWG, der IT-Sicherheitsanforderungen für Energieinfrastrukturen normiert und in der Praxis viele Unternehmen bereits seit Jahren zu Risikoanalyse, Sicherheitsstrategie, Meldewegen und technischen Schutzmaßnahmen verpflichtet. Das Research hebt hervor, dass EnWG und NIS2 in zentralen Bereichen überlappen, das EnWG bei OT- und ICS-Anforderungen aber häufig konkreter und strenger ist.

Noch greifbarer wird das durch den IT-Sicherheitskatalog der Bundesnetzagentur. Für Betreiber kritischer Energieinfrastruktur konkretisiert er Anforderungen etwa an Segmentierung, industrielle Firewalls, kryptografische Mindeststandards, Offline-Backups, Wiederanlauf und physische Sicherheit. Für die Praxis bedeutet das: Wenn Sie in der Energiewirtschaft NIS2 umsetzen, sollten Sie nicht mit einem leeren Blatt beginnen, sondern Ihre bestehende EnWG- und Katalog-Compliance auf NIS2-Struktur, Nachweise und Governance abbilden.

Hinzu kommen Smart-Meter- und Smart-Grid-Anforderungen. Messsysteme, Zertifikate, Authentisierung, sichere Updates, Datenschutz und Integrität sind im intelligenten Messwesen kein Randthema. Das Research verweist auf spezifische Sicherheitsanforderungen für Smart Meter, inklusive Verschlüsselung, zertifikatsbasierter Authentisierung und Manipulationserkennung. Für Energieunternehmen mit intelligenten Messsystemen heißt das: NIS2 ist nicht nur Netzschutz, sondern auch Plattform-, Geräte- und Datensicherheitsmanagement.

Für viele Unternehmen ist die richtige Schlussfolgerung deshalb nicht "NIS2 oder EnWG?", sondern "NIS2 plus EnWG plus technische Subregime". Wer diese Ebenen in getrennten Silos verwaltet, verliert Zeit und Übersicht. Wer sie in einem gemeinsamen Kontrollrahmen bündelt, kann Risikoanalyse, Maßnahmenplanung, Schulung und Audit-Nachweise effizienter organisieren.

Checkliste für Energiewirtschaft-Unternehmen

Energieunternehmen sollten NIS2 als Umsetzungsroutine organisieren und nicht als einmaliges Rechtsprojekt. Diese sieben Schritte sind dafür die praktikabelste Reihenfolge:

1. Betroffenheit je juristischer Person prüfen: Klären Sie, welche Gesellschaft welche Energie-Dienstleistung erbringt und ob NIS2-Schwellenwerte oder Sonderregime greifen.
2. Regelwerke abgleichen: Ordnen Sie NIS2, § 11 EnWG, IT-Sicherheitskatalog, Smart-Meter-Sicherheitsanforderungen und interne Konzernvorgaben in einer gemeinsamen Matrix.
3. Kritische Dienste und Assets inventarisieren: Erfassen Sie Leitwarte, SCADA, Fernwirktechnik, Umspannwerke, Messsysteme, Marktkommunikation, Cloud-Dienste und Fernwartungszugänge in einem gemeinsamen Verzeichnis.
4. OT-/IT-Segmentierung und Fernzugriffe überprüfen: Beenden Sie implizite Vertrauensmodelle und führen Sie kontrollierte, protokollierte und technisch abgesicherte Zugriffe ein.
5. Meldeprozess und Krisenstab üben: Definieren Sie 24-Stunden-Fristen, interne Eskalation, technische Bewertung, Kommunikation mit Regulatoren und Zusammenarbeit mit Netzpartnern.
6. Lieferkette priorisieren: Bewerten Sie Hersteller, Integratoren, Wartungsfirmen, Softwarelieferanten und Ersatzteilketten nach Kritikalität und Sicherheitszugriffen.
7. Leitung und Schlüsselrollen schulen: Schulen Sie Management, Netzbetrieb, Informationssicherheit, Einkauf, Instandhaltung und Dienstleistersteuerung rollenbezogen und wiederkehrend.

Wenn Sie diese Punkte nicht über Einzelprojekte, unverbundene Audits und verstreute Maßnahmenlisten organisieren wollen, ist eine spezialisierte NIS2 Schulung der schnellste Einstieg. Für die Energiewirtschaft ist besonders wichtig, dass der Kurs Managementpflichten, OT-Sicherheit, Meldewege und Lieferkettenrisiken gemeinsam adressiert.

FAQ

Ist mein Energieunternehmen von NIS2 betroffen?

Betroffen sind vor allem Unternehmen aus Strom, Gas, Öl, Fernwärme, Wasserstoff und Ladeinfrastruktur, wenn sie regulierte oder wesentliche Energiedienstleistungen erbringen und die relevanten Schwellenwerte erreichen. Besonders häufig betroffen sind Netzbetreiber, Versorger, größere Stadtwerke und Betreiber kritischer Energieanlagen.

Welche NIS2-Maßnahmen gelten für Energieversorger?

Für betroffene Energieunternehmen gelten Risikomanagement, Incident Handling, Business Continuity, Lieferkettensicherheit, sichere Beschaffung, Wirksamkeitskontrollen, Kryptografie, Zugriffskontrollen sowie Schulungs- und Sensibilisierungsmaßnahmen. Praktisch müssen diese Pflichten in der Energiewirtschaft um Segmentierung, Fernwartungskontrolle, SCADA-Härtung und Ersatzverfahren ergänzt werden.

Wie hängen NIS2 und EnWG zusammen?

NIS2 gibt den europäischen Rahmen für Cybersicherheitsmaßnahmen vor. Das EnWG und der IT-Sicherheitskatalog der Bundesnetzagentur konkretisieren diesen Rahmen für viele Energieunternehmen deutlich. In der Praxis müssen Sie beide Ebenen gemeinsam erfüllen, weil NIS2 die energierechtlichen Spezialpflichten nicht verdrängt.

Müssen Stadtwerke NIS2 umsetzen?

Viele Stadtwerke müssen NIS2 zumindest prüfen und häufig auch umsetzen, weil sie mehrere relevante Versorgungsleistungen bündeln. Maßgeblich sind die konkrete juristische Person, die jeweilige Energie-Dienstleistung, die Unternehmensgröße und die Einbettung in das Versorgungssystem.

Was fordert NIS2 für OT-Sicherheit im Energiesektor?

NIS2 verlangt angemessene technische, operative und organisatorische Maßnahmen für Netz- und Informationssysteme. Für den Energiesektor bedeutet das insbesondere Segmentierung von OT und IT, abgesicherte Fernzugriffe, Härtung von SCADA- und ICS-Systemen, Überwachung kritischer Parameter, Wiederanlaufplanung und strenge Lieferantenkontrollen.

Bis wann müssen Energieunternehmen NIS2 umgesetzt haben?

Die Umsetzungsfrist der Richtlinie endete am 17. Oktober 2024. In Deutschland gilt der neue nationale Rahmen seit dem 6. Dezember 2025. Für betroffene Energieunternehmen ist deshalb heute vor allem entscheidend, dass Maßnahmen, Verantwortlichkeiten und Nachweise bereits belastbar organisiert sind.

Fazit für die Energiewirtschaft

NIS2 ist für die Energiewirtschaft kein abstraktes Compliance-Thema, sondern Teil der Versorgungssicherheit. Wer Strom, Gas, Öl, Fernwärme oder neue Energieinfrastruktur betreibt, muss Cyberrisiken so behandeln, dass Technik, Aufsicht, Management und Krisenorganisation im Ernstfall zusammen funktionieren. Genau deshalb ist die Kombination aus NIS2, EnWG und branchenspezifischer OT-Sicherheit für Energieunternehmen anspruchsvoller als in vielen anderen Branchen.

Die pragmatische Reihenfolge lautet: Betroffenheit prüfen, Spezialregeln bündeln, kritische Assets inventarisieren, Meldewege üben und Schlüsselrollen gezielt schulen. Wenn Sie das für Geschäftsleitung, Netzbetrieb und Informationssicherheit strukturiert aufsetzen wollen, ist unsere NIS2 Schulung für betroffene Unternehmen der passende nächste Schritt.