In einem Satz. Stromversorger und Stadtwerke fallen unter NIS2 in Deutschland als wesentliche Einrichtungen (Anlage 1 BSIG-NIS2UmsuCG, Sektor Energie) — Pflichten umfassen Risikomanagement, 24h-Frühwarnmeldung an BSI, jährliche Audits, Schulung der Geschäftsleitung und persönliche Haftung von Vorstand/Geschäftsführung.
NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde 2024 verabschiedet und gilt seit 2025. Siehe NIS2 Deutschland.
Wichtige Punkte
- Stromversorger ab 50 MA / 10 Mio. € Umsatz als wesentliche Einrichtung.
- 24h-Frühwarnmeldung, 72h-Vollmeldung, 1-Monats-Abschlussbericht.
- Risikomanagement nach BSI-Anforderungen.
- Persönliche Geschäftsführer-Haftung.
- Bußgelder bis 10 Mio. € / 2% Konzernumsatz.
1. Geltungsbereich
NIS2 trifft im Energiesektor:
- Stromerzeuger.
- Stromnetzbetreiber (ÜNB, VNB).
- Stromversorger.
- Stadtwerke.
- Aggregatoren.
- Ladepunktbetreiber.
Schwellenwert: 50 Beschäftigte oder 10 Mio. € Umsatz.
2. Pflichten nach § 30 BSIG-NIS2
| Pflicht | Inhalt |
|---|---|
| Risikomanagement | Dokumentiertes Konzept |
| Vorfallsbewältigung | Incident-Response-Plan |
| Business Continuity | BCMS |
| Lieferkettensicherheit | Anbieter-Audit |
| Sicherheit Beschaffung | Secure Procurement |
| Kryptographie | BSI TR-02102 |
| Personalsicherheit | Schulung, Hintergrund |
| Zugangskontrolle | MFA, PAM |
| Sensibilisierung | Schulungen |
3. Meldepflichten
| Meldung | Frist | Inhalt |
|---|---|---|
| Frühwarnmeldung | 24h | Verdacht Vorfall |
| Vollmeldung | 72h | Bestätigung + Details |
| Zwischenbericht | auf Anfrage | Fortgang |
| Abschlussbericht | 1 Monat | Vollständige Analyse |
Meldung an BSI über Online-Meldeplattform.
4. Personenhaftung
§ 38 BSIG-NIS2 explizit: Geschäftsleitung verantwortlich für Genehmigung und Überwachung Risikomanagement-Maßnahmen. Verstoß: Bußgeld zusätzlich gegen Geschäftsleitung persönlich.
5. Audits
- Jährliche Audits durch zertifizierte Auditoren.
- BSI-Vorgaben für Audit-Methodik.
- Berichte 3 Jahre aufbewahren.
- BSI kann ad-hoc Prüfungen anordnen.
6. Lieferkettensicherheit
- Bewertung Cybersicherheit Lieferanten (z.B. ICS-Hersteller).
- Vertragliche Klauseln zu Sicherheit.
- Vulnerability Disclosure mit Lieferanten.
- Cyber Resilience Act (CRA) für ICS-Hersteller ab 2027.
7. Schulung Geschäftsleitung
- Verpflichtende Erstschulung.
- Regelmäßige Auffrischung (mindestens 2-jährlich).
- Schulungsnachweise dokumentiert.
- Inhalt: Risiken, Pflichten, persönliche Haftung.
8. KRITIS-Spezifika
Stromversorger > 500.000 versorgte Personen oder hohe Erzeugungsleistung sind zusätzlich KRITIS nach § 8a BSIG:
- Strengere Anforderungen.
- Mindestens 2-jährliche Audits.
- Pentest-Pflicht.
- KRITIS-Sektorstandards (B3S Energie) als Maßstab.
9. Smart Grid und ICS
- Trennung IT/OT (Operational Technology).
- Microsegmentierung Steuerungsnetz.
- Patch-Management mit Lieferanten-Abstimmung.
- Härtung nach IEC 62443.
Vertiefend zur Absicherung von Leitstellen und Steuerungstechnik: unser Beitrag zur OT-Sicherheit in Industrieanlagen unter NIS2.
10. Häufige Vorfälle 2024/25
- Stadtwerke Pirmasens (2024): Ransomware, mehrtägige Beeinträchtigung.
- Stadtwerke Burladingen (2025): Phishing-Angriff, Datenabfluss.
- Stadtwerke Erfurt (2023): DDoS, kurze Beeinträchtigung.
11. Tool-Unterstützung
Legiscope integriert NIS2- und DSGVO-Compliance in einem System für Energieversorger.
11. Konkrete Pflichten und Deadlines
| Pflicht | Frist / Schwellenwert | Rechtsgrundlage |
|---|---|---|
| Registrierungspflicht beim BSI | bis 17.4.2025 bzw. 3 Monate nach Identifizierung | § 32 NIS2UmsuCG |
| Erstmeldung Incident | binnen 24 h | § 35 NIS2UmsuCG |
| Zwischenbericht | binnen 72 h | § 35 NIS2UmsuCG |
| Abschlussbericht | binnen 1 Monat | § 35 NIS2UmsuCG |
| Risikomanagement implementiert | sofort wirksam | § 30 NIS2UmsuCG |
| Geschäftsleitungs-Schulung | jährlich | § 38 NIS2UmsuCG |
| Lieferanten-Risikobewertung | jährlich | § 30 NIS2UmsuCG |
| Audit / Nachweis | alle 2 Jahre | § 39 NIS2UmsuCG |
KRITIS-Sektoren mit niedrigeren Schwellenwerten (Energie, Wasser, Gesundheit, Finanz, ITK) sind zusätzlich dem BSI-Gesetz § 8a unterworfen. Viele Stadtwerke betreiben zugleich die Wasserversorgung — für diesen Bereich gilt unser Leitfaden zu NIS2 für Trinkwasser- und Abwasserbetreiber.
12. KRITIS-Schwellenwerte
Nach BSI-KritisV (zuletzt geändert 2025):
- Energie: Stromerzeugung > 420 MW; Gasnetz > 5,2 Mrd. kWh/Jahr.
- Wasser: > 22 Mio. m³/Jahr Trinkwasser oder > 500.000 Einwohner.
- Gesundheit: Krankenhäuser > 30.000 vollstationäre Fälle/Jahr.
- Finanz: Banken > 80 Mrd. € Bilanzsumme oder Zahlungsverkehr.
- ITK: > 100.000 Teilnehmer Telekommunikation; > 25 Mio. Domains DNS.
- Transport: Flughäfen > 20 Mio. Passagiere; Häfen > 100 Mio. t.
Unterhalb der KRITIS-Schwellen kann NIS2 trotzdem greifen, wenn Einrichtung als “wesentlich” oder “wichtig” nach Anhang I/II NIS2-Richtlinie eingestuft ist.
13. Sanktionstiere
| Verstoß | Sanktion wesentliche Einrichtung | Sanktion wichtige Einrichtung |
|---|---|---|
| Risikomanagement | bis 10 Mio. € oder 2 % Konzernumsatz | bis 7 Mio. € oder 1,4 % |
| Meldepflicht | bis 10 Mio. € oder 2 % | bis 7 Mio. € oder 1,4 % |
| Registrierungspflicht | bis 100.000 € | bis 100.000 € |
| Verletzung Audit-Pflicht | bis 5 Mio. € | bis 3 Mio. € |
| Persönliche Haftung Geschäftsleitung | ja (§ 38) | ja |
Zusätzlich kann das BSI Anordnungen erlassen, Tätigkeitsverbote aussprechen und Zertifizierungen widerrufen.
14. BSI-Leitfäden und BaFin-Guidance
Relevante Dokumente:
- BSI Orientierungshilfe zur Umsetzung NIS2 (Stand 2025).
- BSI IT-Grundschutz-Kompendium, Edition 2024.
- BSI Cyber-Sicherheits-Check für Geschäftsleitung.
- BSI Handlungsempfehlungen für die Lieferkette (Supply Chain Security).
- BaFin Merkblatt zu DORA für Finanzinstitute.
- BaFin BAIT/VAIT/KAIT (sektorale Aufsichtsanforderungen).
- ENISA Guidelines on Cybersecurity Risk Management (EU-Ebene).
Wer ISO 27001 oder BSI-Grundschutz bereits implementiert hat, kann diese als Nachweis verwenden.
15. Integration mit bestehenden Standards
NIS2-Umsetzung ist effizienter, wenn vorhandene Standards integriert werden:
- ISO 27001:2022 → ca. 80 % NIS2-Abdeckung.
- BSI IT-Grundschutz Standard-Absicherung → ca. 85 %.
- ISO 22301 (BCM) → ergänzt Resilienz-Anforderungen.
- ISO 27701 (PIMS) → Schnittstelle zu DSGVO.
- TISAX → für Automotive-Lieferanten.
Mapping-Tabellen reduzieren Dokumentations-Aufwand erheblich. Audit-Kombination ISO 27001 + NIS2-Nachweis ist Standardpraxis.
16. Supply-Chain-Implikationen
NIS2 fordert in § 30 explizit Lieferketten-Risikomanagement. Praktische Umsetzung:
- Lieferanteninventar mit Kritikalitäts-Einstufung (A/B/C-Klassen).
- Vertragsklauseln zu Cybersecurity-Mindestanforderungen.
- Audit-Recht bei kritischen Lieferanten.
- Notfall-Übungen mit Schlüssel-Lieferanten.
- Backup-Lieferanten für KRITIS-Funktionen.
- Pflicht zur Meldung von Vorfällen beim Lieferanten innerhalb von 24-72 h.
- Sub-Lieferanten-Transparenz (n-tier visibility).
Kleine Zulieferer geraten dadurch unter indirekten NIS2-Druck — viele KMU werden in 2026 zertifizierungspflichtig durch Kundenverträge.
17. Sektor-spezifische Beispiele
| Sektor | Typischer Anwendungsfall NIS2 | Pflichtige Akteure |
|---|---|---|
| Energie | Smart-Meter-Gateway, Leitstellen | Stadtwerke, Übertragungsnetzbetreiber |
| Wasser | SCADA-Steuerungen, Aufbereitung | Wasserwerke, Abwasser |
| Gesundheit | KIS, PACS, Telematik-Infrastruktur | Krankenhäuser, Praxisnetze |
| Finanz | Core-Banking, Online-Banking | Banken, Zahlungsdienstleister |
| ITK | DNS, Cloud, Rechenzentren | Hoster, Telco, ISPs |
| Transport | Logistik-IT, Buchungssysteme | Bahn, Häfen, Flughäfen |
| Verwaltung | Bürgerportale, ELSTER | Bund, Länder, Kommunen |
| Lebensmittel | Lieferketten-IT | Großhandel, Produktion |
Pflichtige Akteure sollten zusätzlich DSGVO Art. 32 Sicherheit und Datenpannenmeldung (Datenpanne melden) kohärent integrieren.
Fazit
Stadtwerke und Stromversorger stehen 2026 vor doppelter Compliance: NIS2 + DSGVO + EnWG + MsbG — die datenschutzrechtliche Seite behandelt unser Leitfaden zur DSGVO für Energieversorger und Stadtwerke. Mit dokumentiertem ISMS nach ISO 27001 / BSI 200-1 und integriertem Reporting wird es beherrschbar. Personenhaftung Geschäftsführung ist Game-Changer.
Amtliche Quellen
- Richtlinie (EU) 2022/2555 (NIS-2) — Volltext auf EUR-Lex
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
- ENISA — European Union Agency for Cybersecurity
FAQ
Welche Stadtwerke fallen unter NIS2?
Ab 50 Beschäftigten oder 10 Mio. € Umsatz. Praktisch alle größeren Stadtwerke betroffen.
Was ist die 24h-Frühwarnmeldung?
Bei Verdacht eines erheblichen Vorfalls innerhalb von 24h Meldung an BSI mit ersten Informationen.
Haftet der Geschäftsführer persönlich?
Ja, § 38 BSIG-NIS2 sieht persönliche Haftung für Geschäftsleitung explizit vor.
Welche Bußgelder drohen?
Bis 10 Mio. € oder 2% des weltweiten Konzernumsatzes — je nachdem, was höher ist.
Was unterscheidet NIS2 von KRITIS?
NIS2 hat breiteren Geltungsbereich (ab 50 MA). KRITIS-Anforderungen (§ 8a BSIG) zusätzlich für Großversorger.
Welche Sanktionen drohen Geschäftsführern persönlich?
§ 38 NIS2UmsuCG sieht persönliche Haftung der Geschäftsleitung vor — bei Verletzung der Sorgfaltspflichten haftet die Person mit ihrem Privatvermögen für Schäden des Unternehmens. Zusätzlich: Tätigkeitsverbote durch das BSI (§ 39 NIS2UmsuCG). D&O-Versicherungen decken NIS2-Haftung nur eingeschränkt — explizite Cyber-Klausel erforderlich. Pflichtschulung jährlich (§ 38) ist nicht delegierbar.
Wie unterscheiden sich wesentliche und wichtige Einrichtungen?
Wesentliche Einrichtungen (Anhang I NIS2): KRITIS-Sektoren mit hoher Kritikalität — strengere Aufsicht, höhere Sanktionen (bis 10 Mio. € / 2 % Konzernumsatz). Wichtige Einrichtungen (Anhang II): mittlere Kritikalität — reaktive Aufsicht, Sanktionen bis 7 Mio. € / 1,4 %. Größenschwelle: > 250 Mitarbeitende oder > 50 Mio. € Umsatz oder > 43 Mio. € Bilanzsumme. Einstufung obliegt dem BSI nach §§ 28-29 NIS2UmsuCG.
Wie integriere ich NIS2 mit DORA und DSGVO?
DORA (EU-VO 2022/2554) gilt für Finanzsektor und ist lex specialis gegenüber NIS2 — Finanzinstitute brauchen DORA-Compliance, dürfen aber NIS2-Maßnahmen anrechnen. DSGVO Art. 32 fordert TOM, NIS2 fordert Cyber-Sicherheit insgesamt — Überschneidung > 60 %. Beste Praxis: ein integriertes ISMS nach ISO 27001 / BSI-Grundschutz, das alle drei Regelwerke abdeckt.
Welche Meldewege bestehen beim BSI?
Online-Portal “Meldungen” auf bsi.bund.de mit BSI-MeldeAPI. Pflicht: Erstmeldung 24 h (kurze Faktenmeldung), Zwischenbericht 72 h (Ursachen, Auswirkungen), Abschlussbericht 1 Monat (Lessons Learned, Maßnahmen). Bei gleichzeitiger Datenpanne (Datenpanne melden): zusätzlich Meldung an Datenschutzbehörde. Doppelmeldungen sind häufig — getrennte Workflows einrichten.
Wie hoch sind die Implementierungskosten?
Mittleres Unternehmen (250-500 MA): Erstimplementierung 200.000-500.000 €, jährlich 80.000-200.000 €. Großbetrieb (> 5.000 MA): 1-5 Mio. € Erstaufwand, 500.000-2 Mio. € jährlich. Wer ISO 27001 hat, spart 60-70 %. Investitionen amortisieren sich typisch nach 2-3 Jahren über reduzierte Vorfallskosten und niedrigere Versicherungsprämien (10-20 % Rabatt).
Siehe auch: Für Kommunen und Eigenbetriebe lohnt zusätzlich der Leitfaden DSGVO für Kommunen und öffentliche Verwaltung.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial