Umsetzung der zweiten Netzwerk- und Informationssicherheitsrichtlinie (NIS-2) der EU zur Stärkung der Cybersicherheit in Deutschland
7. Juli 2025
Der Bundesverband Erneuerbare Energie e.V. (BEE) begrüßt, dass sich das Bundesministerium des Innern (BMI) im Rahmen eines Umsetzungsgesetzes zur zweiten Netzwerk- und Informationssicherheitsrichtlinie (NIS-2-Richtlinie) der Europäischen Union mit der Stärkung der Cybersicherheit in Deutschland beschäftigt. Der Verband unterstützt das Vorhaben, hier weitere Maßnahmen zu verabschieden.
Der BEE bewertet viele der angedachten Vorgaben als positiv und betrachtet das Gesetz insgesamt als zentral für die Stärkung der Resilienz und der IT-Sicherheit in der deutschen Wirtschaft. Besonders herauszuheben sind hierbei:
Demgegenüber bekräftigt der BEE in dieser Stellungnahme elementare Anforderungen, die in das NIS-2-Umsetzungsgesetz aufgenommen werden sollten:
Obwohl die Zielsetzungen zur Stärkung der IT-Sicherheit grundsätzlich zu begrüßen sind, schlägt der BEE eine Überarbeitung des NIS-2-Umsetzungsgesetzes vor. Diese sollte Unklarheiten beseitigen und die praktische Umsetzung erleichtern, indem die beschriebenen Prozesse präzisiert und vereinfacht werden. Davon würden vor allem kleine und mittelständische Unternehmen aus dem Energiesektor profitieren.
Das Bundesministerium des Innern (BMI) hat am 23. Juni 2025 den Referentenentwurf zur nationalen Umsetzung der NIS-2-Richtlinie in Deutschland veröffentlicht. Die neue Bundesregierung holt damit schon früh in der neuen Legislaturperiode ein Gesetzesvorhaben nach, das nach dem Bruch der Ampel-Koalition im November 2024 nicht mehr vor der Bundestagswahl fertiggestellt werden konnte.
Der BEE begrüßt weitere Maßnahmen zur Stärkung der Cybersicherheit in Deutschland. Erneuerbare Energien sind systemsetzend für die Energieversorgung der Zukunft. Um den Weg zu 100 Prozent Erneuerbaren Energien in allen Sektoren bestreiten zu können, muss die Digitalisierung konsequent ausgeweitet und beschleunigt werden. Dabei muss die Sicherheit der IT-Systeme dauerhaft gewährleistet sein.
Der BEE sieht im Gesetzesentwurf noch Optimierungspotenzial. Insbesondere für kleine und mittelständische Unternehmen im Energiesektor, die unter die neuen Anlagenkategorien „besonders wichtige Einrichtung“ und „wichtige Einrichtung“ fallen, entstehen neue Herausforderungen. Außerdem sorgen die neuen Vorgaben mehrfach für Unklarheiten und offene Fragen.
Im Folgenden legt der BEE seine vorläufige Einschätzung des Referentenentwurfs dar.
Der Referentenentwurf sieht vor, dass Unternehmen nach §§ 30–32 BSI-Gesetz-E selbst prüfen müssen, ob sie unter die Definition von „Besonders wichtigen Einrichtungen“ oder „Wichtigen Einrichtungen“ fallen. Nach § 33 sind sie außerdem dazu verpflichtet, eine Selbsterklärung bzw. Selbsteinordnung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu übermitteln. Diese muss alle relevanten Unternehmensdaten enthalten, zudem ist eine dreimonatige Frist zu beachten. Eine zentrale Benachrichtigung durch das BSI erfolgt nicht.
Viele EU-Länder wählen abweichende Ansätze, zum Beispiel durch eine stärkere zentrale Steuerung oder eine automatische Behördenzuweisung. In Frankreich erfolgt die zentrale Erfassung und offizielle Benachrichtigung durch die nationale Cybersicherheitsbehörde ANSSI (Agence nationale de la sécurité des systèmes d'information). Auch in Italien und in den Niederlanden übernehmen die jeweils zuständigen Behörden ACN (Agenzia per la Cybersicurezza Nazionale) und RDI (Rijksinspectie Digitale Infrastructuur) eine aktivere Rolle. Sie führen zentrale Listen oder nehmen für die Unternehmen eine automatisierte Einstufung vor.
Eine verpflichtende Selbsteinordnung sorgt bei vielen Unternehmen in Deutschland für Unsicherheit darüber, ob sie von den Regelungen der NIS-2-Richtlinie überhaupt betroffen sind. Insbesondere viele kleine und mittelständische Unternehmen unterschätzen die Bedeutung der neuen Rechtslage oder kennen ihre Einstufungskriterien nicht genau.
Das BSI sollte Unternehmen auf Nachfrage eine rechtsverbindliche Auskunft darüber erteilen, ob sie von den Vorgaben der NIS-2-Richtlinie betroffen sind. Noch besser wäre es, die Rolle des BSI so auszugestalten, dass es Unternehmen aktiv über ihre Pflichten informiert und offiziell einer der Kategorien zuteilt.
Der BEE begrüßt ausdrücklich, dass die Verantwortung für Cybersicherheitsmaßnahmen im Energiesektor zukünftig zentral bei der Bundesnetzagentur (BNetzA) liegt – sowohl für kritische Anlagen als auch für die neu eingerichteten Kategorien „Besonders wichtige Einrichtungen“ und „Wichtige Einrichtungen“.
Bezüglich der aktuellen Ausgestaltung der IT-Sicherheitskataloge nach § 11 Abs. 1a und 1b EnWG sieht es der BEE als positiv an, dass bei Partner- oder verbundenen Unternehmen ein gemeinsames Informationsmanagementsystem für einen definierten Geltungsbereich auf Basis von ISO/IEC 27001 implementiert werden kann. Damit wird aufgegriffen, dass die Betriebsführungssparte vielfach schon entsprechenden Anforderungen über die Kategorie „Digitaler Energiedienst“ unterliegt. Somit muss nicht jede ausgegliederte Betreibergesellschaft die Anforderungen eigenständig erfüllen und nachweisen.1
Zusätzlich wird festgelegt, dass die Anforderungen an einen angemessenen Schutz in den IT-Sicherheitskatalogen im Einvernehmen mit dem BSI bestimmt werden. Damit übernimmt auch diese Behörde eine starke Rolle. Darüber hinaus sollen die Betreiber und deren Branchenverbände explizit an der Festlegung und Aktualisierung der IT-Sicherheitskataloge beteiligt werden, was der BEE ausdrücklich befürwortet.
Jedoch finden sich im Gesetzesentwurf weiterhin eine Reihe von Regularien, in denen nicht eindeutig bestimmt wird, welche Behörde oder welches Ministerium genau zuständig ist. Hier muss nachgebessert werden, sodass für alle Bereiche die entsprechenden Zuständigkeiten unmissverständlich geklärt sind. Die betroffenen Unternehmen wären somit eindeutig über ihre jeweiligen Anlaufstellen informiert.
Sollten Sicherheitsvorfälle auftreten, sollte aus Sicht des BEE die Kommunikation mit der BNetzA vorgesehen sein. Dies wäre es sinnvoll und folgerichtig, insbesondere da es sich um eine gemeinsame Meldestelle handelt.
1 siehe BNetzA: „Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog § 11 Abs. 1a und 1b EnWG im Fall einer Betriebsführung durch Dritte“
Der BEE hält die unter § 5c EnWG aufgeführten Vorgaben für größere Unternehmen, insbesondere aus der Windbranche, für gut umsetzbar. Für kleinere Unternehmen aus der Erneuerbaren-Branche stellen die Anforderungen nach § 5c EnWG hingegen eine große Herausforderung dar. Dies sieht der Verband aufgrund der folgenden Punkte kritisch:
In § 31 Absatz 2 BSI-G sind Betreiber kritischer Anlagen dazu verpflichtet, „für die informations-technischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Anlagen maßgeblich sind, Systeme zur Angriffserkennung einzusetzen“. Jene informationstechnischen Systeme, Komponenten und Prozesse sind im Gesetzesentwurf zu ungenau definiert. Es braucht konkrete Vorgaben für deren Erhebung und Bewertung. Der BEE macht dafür den folgenden Formulierungsvorschlag:
“Betreiber kritischer Anlagen sind verpflichtet, für die informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Anlagen maßgeblich sind, Systeme zur Angriffserkennung einzusetzen. Die informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Anlagen maßgeblich sind, sind durch eine Business-Impact-Analyse zu ermitteln. Die maximal tolerierbare Ausfallzeit dieser Systeme, Komponenten und Prozesse ist zu bestimmen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen, die innerhalb der maximal tolerierbaren Ausfallzeit abgeschlossen werden. Dabei soll der Stand der Technik eingehalten werden. Der hierfür erforderliche Aufwand soll nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Anlage stehen.”
Aus Sicht des BEE sind die Vorgaben an eine Zertifizierung in den jeweiligen IT-Sicherheitskatalogen für kritische Anlagen richtig und nachvollziehbar. Dies umfasst sowohl Energieanlagen als auch digitale Energiedienste.
Für kleine und mittelständische Unternehmen sieht der Verband jedoch keine Notwendigkeit, da erhöhte Kosten und die Gefahr eines Zertifizierungsstaus zu befürchten sind. Das liegt vor allem an der Kombination aus neuen Pflichten, engen Fristen und begrenzten Ressourcen für Prüfungen und Zertifizierungen. Im Folgenden wird dies genauer erläutert:
Da sich die Zertifizierungspflicht nicht aus dem Gesetz, sondern aus dem IT-Sicherheitskatalog ergibt, bittet der BEE um Klarstellung, dass eine Zertifizierungspflicht über den von der BNetzA erstellten IT-Sicherheitskatalog ausschließlich kritische Anlagen betrifft, die unter der aktuell gültigen BSI-KritisV als solche klassifiziert werden.