EnWG und NIS2

EnWG und KRITIS

KRITIS-Betreiber, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind und den Regelungen von §11 unterliegen, müssen nach §8d (2) Nr. 2 BSIG keine KRITIS-Maßnahmen nach §8a BSIG umsetzen. Für diese KRITIS-Betreiber gilt stattdessen das EnWG.

Energiewirtschaftsgesetz (EnWG)

Das Energiewirtschaftsgesetz EnWG regelt in §11 die Pflichten der Betreiber von Energie­anlagen und Energieversorgungsnetzen. Die wichtigsten Regelungen sind:

• Betreiber von Energie­versorgungsnetzen (Strom und Gas) müssen einen ange­messenen Schutz ihrer IT-Systeme gewährleisten, die für einen sicheren Netzbetrieb notwendig sind. Dazu müssen sie den BNetzA IT-Sicherheitskatalog gemäß §11 Abs. 1a umsetzen. Der Katalog regelt neben Sicherheitsmaßnahmen auch das Vorgehen zur regelmäßigen Überprüfung.
• Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung Kritische Infrastruktur sind (d.h., als KRITIS die Schwellenwerte überschreiten) und an ein Energieversorgungsnetz angeschlossen sind, müssen einen angemessenen Schutz ihrer IT-Systeme für einen sicheren Anlagenbetrieb gewährleisten. Dazu müssen sie den BNetzA IT-Sicherheitskatalog gemäß §11 Abs. 1b umsetzen. Der Katalog regelt neben Sicherheitsmaßnahmen auch das Vorgehen zur regelmäßigen Überprüfung.
• Sicherheits­vorfälle mit Auswirkungen sowie Vorfälle mit potentiellen Auswirkungen auf den Betrieb des Energieversorgungsnetzes oder der betreffenden Energieanlage müssen dem BSI gemeldet werden §11 Abs. 1c. Das BSI leitet die Meldung an die BNetzA weiter.
• Betreiber müssen nach §11 Abs. 1d spätestens bis zum 1. April jeden Jahres die von ihnen betriebene Anlage beim BSI registrieren und einen Sicherheits­beauftragen als Kontaktstelle benennen. Das BSI leitet die Registrierung und Kontaktdaten dann an die BNetzA weiter.
• Betreiber müssen Systeme zur Angriffserkennung nach §11 Abs. 1e einsetzen und den Einsatz nach §11 Abs. 1f regelmäßig gegenüber dem BSI nachgewiesen werden. Das BSI leitet die hierfür eingereichten Nachweisdokumente an die BNetzA weiter.
• Die BNetzA legt nach §11 Abs. 1g bis zum 22. Mai 2023 einen weiteren Katalog vor, der die kritischen Komponenten im Sinne des § 2 Abs. 13 S. 1 Nr. 3 a) BSIG sowie die kritischen Funktionen im Sinne des § 2 Abs. 13 S. 1 Nr. 3 b) BSIG definiert. Betreiber müssen die Vorgaben dieses Katalogs spätestens 6 Monate nach Inkrafttreten erfüllen. Der neue Katalog soll mit den bestehenden IT-Sicherheitskatalogen nach §11 Abs. 1a/1b verbunden werden.

EnWG und NIS2 (ab 2025)

Die Mehrfach-Regulierung im Energiesektor bleibt mit NIS2 erhalten. Betreiber fallen nicht nur unter NIS2 und KRITIS, sondern größtenteils unter das neue Energiewirtschaftsgesetz EnWG das durch die NIS2-Umsetzungsgesetz revidiert wird. Es regelt zukünftig in §5c, §5d und §5e die Pflichten der Betreiber von Energieversorgungsnetzen, Energieanlagen und digitalen Energiediensten.

Betroffenheit

NIS2-Einrichtungen, die Betreiber von Energieversorgungsnetzen, Energieanlagen oder digitalen Energiediensten im Sinne des 5c EnWG sind, müssen nach §28 (4) BSIG-E (NIS2UmsuCG) keine NIS2-Maßnahmen nach §§ 30, 31, 32, 35, 36, 38, 39 umsetzen oder prüfen.

Es gelten stattdessen die Anforderungen aus dem EnWG. Die Ausnahme gilt (vermutlich) für alle IT-Systeme, Komponenten und Prozesse, die den Regelungen des §5c EnWG unterliegen. Für das übrige Unternehmen gilt (vermutlich) NIS2.

Energiewirtschaftsgesetz

Der Entwurf des neuen EnWG unterscheidet künftig zwischen vier Gruppen von Betreibern:

NIS2-Anforderungen im EnWG-E (2025)

Das neue EnWG-E (Entwurf NIS2 2025) enthält drei neue Absätze.

Regelungen und Anforderungen aus § 5c IT-Sicherheit im Anlagen- und im Netzbetrieb, Festlegungskompetenz im Detail:

• §5c (1) Nr. 1 Betreiber von Energie­versorgungsnetzen müssen einen ange­messenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten, die für einen sicheren Netzbetrieb notwendig sind. Dieser muss auch die Beschaffung von Anlagengütern und Dienstleistungen betreffen. Dieser Katalog wird den bestehenden IT-Sicherheitskatalog gemäß §11 Abs. 1a EnWG ersetzen und die in §§31, 32, 35 und 39 BSIG-E (NIS2UmsuCG) enthaltenen Anforderungen aufgreifen. Die BNetzA überprüft den IT-Sicherheitskatalog alle zwei Jahre und aktualisiert ihn bei Bedarf.
• §5c (1) Nr. 2 Betreiber von Energieanlagen, die als besonders wichtige oder wichtige Einrichtungen gemäß §28 BSIG gelten und deren Anlagen an ein Netz angeschlossen sind, müssen einen ange­messenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind.
  Dieser Katalog wird den bestehenden IT-Sicherheitskatalog gemäß §11 Abs. 1b EnWG ersetzen und die in §§31, 32, 35 und 39 BSIG-E (NIS2UmsuCG) enthaltenen Anforderungen aufgreifen.
• §5c (1) Nr. 3 Betreiber digitaler Energiedienste, die als besonders wichtige oder wichtige Einrichtungen gemäß §28 BSIG gelten und den digitalen Energiedienst an einer Energieanlage ausüb[...][en], die an ein Energieversorgungsnetz angeschlossen ist, müssen ebenfalls einen ange­messenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind.
• §5c (2) Die BNetzA erstellt im Einvernehmen mit dem BSI einen IT-Sicherheitskatalog (oder mehrere). Der IT-Sicherheitskatalog wird alle 2 Jahre überprüft und bei Bedarf aktualisiert. Mit der Einhaltung des IT-Sicherheitskatalogs durch den Betreiber nach Abs. 1 [...] gilt der angemessene Schutz als eingehalten.
• §5c (3) Der IT-Sicherheitskatalog soll ein Sicherheitsniveau [...] gewährleisten, das dem bestehenden Risiko angemessen ist., und internationale/nationale Normen, die Einhaltung des Stands der Technik sowie Umsetzungskosten berücksichtigen. Maßnahmen müssen im Hinblick auf Risikoexposition, Eintritts­wahrscheinlichkeit, Auswirkungen und Größe des Betreibers angemessen sein.
• §5c (4)Der IT-Sicherheitskatalog muss mindestens die in §30 (2) BSIG-E genannten Themen umfassen, plus Systeme zur Angriffserkennung und kritischen Komponenten nach EU CRA.
• §5c (5)Die BNetzA kann im Sicherheitskatalog auch Anforderungen an die Dokumentation über die Einhaltung der Anforderungen, zur Behebung von Sicherheitsmängeln oder Regelungen zur regelmäßigen Überprüfung der Anforderungserfüllung festlegen.
• §5c (6) Die BNetzA legt in einem separaten Katalog kritische Komponenten im Sinne des § 2 Nr. 23 c) aa) BSIG-E und kritisch bestimmte Funktionen im Sinne des § 2 Nr. 23 c) bb) BSIG-E fest. Die Anforderungen aus diesem Katalog müssen durch Betreiber von Energieversorgungsnetzen oder Energieanlagen (nicht Energiediensten) eingehalten werden, sofern die von ihnen betriebenen Anlagen kritische Anlagen gem. BSIG sind. Die Frist bis zur Einhaltung beträgt 6 Monate.
  Diese Forderung ist bereits jetzt in §11 (1g) EnWG verankert; der Katalog sollte eigentlich bis zum 22. Mai 2023 vorgelegt werden. Die Forderung gilt im Unterschied zu den vorherigen Absätzen nur für Versorgungsnetze und Anlagen, die kritische Anlagen nach §2 Nr. 22 BSIG-E sind.

Regelungen und Anforderungen aus § 5d Dokumentations-, Melde-, Registrierungspflicht:

• §5d (1) Dokumentation und Mängelbeseitigung: Alle nach §5c (1) betroffenen Betreiber müssen die Einhaltung der Anforderungen aus dem IT-Sicherheitskatalog dokumentieren. Betreiber von Energieversorgungsnetzen sowie Energieanlagen- und -dienstebetreiber, die eine besonders wichtige Einrichtung sind, müssen die Dokumentation dem BSI unverzüglich nach der Erstellung übermitteln. Die BNetzA kann die Vorlage des Mängelbeseitigungsplans verlangen und die Beseitigung von Mängeln innerhalb einer festgesetzten Fristen verlangen. Betreiber müssen der BNetzA oder den in deren Auftrag handelnen Personen zum Zweck einer Überprüfung Vor-Ort-Begehungen, Dokumenteneinsicht, Auskunft oder anderweitige Unterstützung gewähren. Gebühren werden nur bei Verdachtsfällen erhoben.
• §5d (2) Überprüfung: Bei Verdacht, dass Betreiber Sicherheitsanforderungen nicht oder nicht richtig umsetzen, kann die BNetzA Informationen anfordern, um die Einhaltung zu überprüfen.
• §5d (3) Erhebliche Sicherheits­vorfälle müssen durch Betreiber an die Meldestelle nach §32 BSIG gemeldet werden. Der Umfang der Meldung entspricht den Vorgaben aus §2 Nr. 11 BSIG-E:
  • Frühmeldung (innerhalb 24h) inkl. Verdachtsbewertung
  • Hauptmeldung (innerhalb 72h) mit Erstbewertung und Indikatoren
  • Zwischenmeldung auf Anforderung
  • Abschlussmeldung (innerhalb eines Monats) mit Ursachenanalyse und Maßnahmen
  Das BSI reagiert auf Meldungen nach §36 BSIG im Benehmen mit der BNetzA.
• §5d (4) Betroffene Betreiber von Energieversorgungsnetzen und Betreiber von Energieanlagen müssen sich je nach Einstufung innerhalb bestimmter Fristen beim BSI registrieren (i.d.R. innerhalb von drei Monaten nach Einstufung oder gesetzlich definierter Frist). Kommt ein Betreiber der Registrierung nicht nach, kann das BSI eine Ersatzregistrierung durchführen. Das BSI übermittelt die Registrierungen und Kontaktdaten an die BNetzA. Betreiber müssen über die benannte Kontaktstelle jederzeit erreichbar sein.
• §5d (5) Das BSI tauscht Informationen über Sicherheitsvorfälle mit Relevanz für die Energieversorgungssicherheit mit der BNetzA aus. Die BNetzA bewertet die Auswirkungen der Sicherheitsvorfälle auf die Energieversorgungssicherheit und übermittelt die Bewertung an das BSI. Die BNetzA kann vom betroffenen Unternehmen die Herausgabe von Informationen einschließlich personenbezogenen Daten verlangen. Diese sind nach Abschluss der Bewertung zu löschen. Die BNetzA kann Betreiber von Übertragungs- und Fernleitungsnetzen einbeziehen und hierzu auch personenbezogene Daten weiterübermitteln.

Regelungen und Anforderungen aus § 5e Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen:

• §5e (1) Geschäftsleiter von Betreibern nach §5c (1) sind verpflichtet, die Sicherheitsanforderungen umzusetzen und die Umsetzung zu überwachen.
• §5c (11) Bei Pflichtverletzung (nach Abs. 1) haften Geschäftsleiter ihrer Einrichtung für einen schuldhaft verursachten Schaden, entweder nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts oder, sofern dort keine Haftungsregeln enthalten sind, nach den Regelungen im EnWG.
• §5c (12) Geschäftsleiter müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken zu erlangen sowie um die Auswirkungen von Risiken und Risikomanagementpraktiken auf die erbrachten Dienste beurteilen zu können.

Im bisherigen §11 EnWG werden die Absätze 1a bis 1g aufgehoben. Verstöße gegen den neuen §5c und §5d EnWG-E werden in §95 (2)-(8) EnWG-E mit gestaffelten Bußgeldern bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes sanktionierbar.

EnWG und KRITIS-DachG (ab 2025+)

Das KRITIS-Dachgesetz (September 2025) verlagert Resilienz-Pflichten ins EnWG für betroffene Energiebetreiber. Das Energiewirtschaftsgesetz EnWG wird mit dem KRITIS-Dachgesetz revidiert und regelt zukünftig in §5f die Nachweispflichten der Betreiber von kritischen Anlagen (KRITIS) im Energiesektor zusätzlich für Resilienz und physische Sicherheit.

Betroffenheit

Die Nachweispflichten aus §16 (1)-(6) KRITIS-DachG gelten nach §16 (7) KRITIS-DachG nicht für Betreiber kritischer Anlagen aus dem Energiesektor.

Es gelten stattdessen die Nachweispflichten aus §5f EnWG. Diese betreffen den Nachweis der Erfüllung der Resilienzpflichten aus dem KRITIS-Dachgesetz – die Resilienzpflichten selbst werden auch für Energiebetreiber weiterhin im KRITIS-Dachgesetz geregelt.

Resilienz im Energiewirtschaftsgesetz

Das EnWG wird durch das KRITIS-Dachgesetz angepasst, der Entwurf enthält die Änderungen in Artikel 2. Dort ist ein neuer §5f EnWG-E vorgesehen, der Resilienz-Nachweispflichten für Betreiber Kritischer Anlagen im Energiesektor definiert.

• §5f (1) Betreiber von KRITIS-Anlagen i.S.d. KRITIS-DachG müssen die Einhaltung der Pflichten nach § 13 (1) KRITIS-DachG dokumentieren und der BNetzA auf Verlangen nachweisen, z. B. durch ein Zertifikat.
• §5f (2) Die BNetzA kann im Benehmen mit dem BSI und dem BBK in einem Sicherheitskatalog für die physische Resilienz festlegen, wie die Einhaltung der Erfüllung der Resilienzpflichten aus dem KRITIS-Dachgesetz nachgewiesen wird. Das umfasst Bestimmungen zur Durchführung einer Zertifizierung einschließlich Audits, zu Anfoderungen an die Zertifizierungsstelle, Ausgestaltung der Nachweise, Behebung von Mängeln u. a.
• §5f (3) Betreiber müssen auf Verlangen der BNetzA die Dokumentation und das Zertifikat über die Einhaltung der Resilienzpflichten übermitteln. Die BNetzA kann auch die Vorlage der durchgeführten Risikoanalysen und -bewertungen sowie den Resilienzplan einfordern. Die Auswahl von Betreibern, die Nachweise einreichen müssen, erfolgt risikobasiert anhand der Risikoexposition, der Größe des Betreibers kritischer Anlagen und der Eintrittswahrscheinlichkeit und Schwere von möglichen Vorfällen.
• §5f (4) Die BNetzA kann die Einhaltung der Resilienzpflichten aus dem KRITIS-DachG jederzeit überprüfen und dabei auch qualifizierte unabhängige Dritte involvieren.
• §5f (5) Betreiber müssen der BNetzA zum Zweck der Überprüfung der Einhaltung der Verpflichtungen das Betreten der Geschäfts- und Betriebsräume sowie Zugang zu Informationen, Systemen und Anlagen im Zusammenhang mit der Erbringung ihrer kritischen Dienstleistung gestatten sowie Unterlagen vorlegen, Auskunft erteilen und die erforderliche Unterstützung gewähren.
• §5f (6) Verletzt ein Betreiber die Resilienzpflichten aus dem KRITIS-DachG, kann die BNetzA die Vorlage eines geeigneten Plans zur Beseitigung der Pflichtverletzung und die Durchführung von Maßnahmen [...] innerhalb einer angemessenen Frist anordnen.
• §5f (7) Die BNetzA muss betroffene Betreiber und betroffene Branchenverbände vor Festlegung des Sicherheitskatalogs beteiligen. Der Sicherheitskatalog soll alle zwei Jahre überprüft und bei Bedarf aktualisiert werden.

EU-Verordnungen

Aufgrund der Bedeutung der Energie­versorgung nicht nur auf nationaler Ebene, sondern grenz­überschreitend im gesamten EU-Raum, regeln zusätzlich diverse EU-Richtlinien und EU-Verordnungen Aspekte zur Energieversorgung in Nationalstaaten.

Die Europäische Kommission hat im Oktober 2023 einen Entwurf für Cybersecurity in der EU-Stromversorgung zur Kommentierung vorgelegt. Der Entwurf ergänzt EU-Verordnung 2019/943 über den Elektrizitäts­binnenmarkt durch die Festlegung eines Netzkodexes mit Vorschriften für Cybersecurity grenz­überschreitender Strom­flüsse. Der Kodex gilt als wichtige Maßnahme zur Verbesserung der Widerstands­fähigkeit kritischer Energie­infrastrukturen und -dienste.

Der Entwurf sieht regelmäßige EU-weite, regionale und nationale Cyber Risk Assessments durch Behörden vor. Auf Basis dieser Assessments sollen periodisch Cyber Risk Mitigation Pläne für Betriebsregionen entwickelt werden. Diese sollen minimale und fortgeschrittene Cybersecurity-Maßnahmen enthalten und verbleibende Cyberrisiken in den Regionen nach Anwendung der definierten Maßnahmen aufzeigen.

Der Netzkodex soll in Zusammenarbeit von Übertragungsnetzbetreibern (TSOs) und Verbänden (ENTSO-E, EU DSO Entity) erarbeitet werden und als Governance-Modell gemeinsame Methoden festlegen, etwa zu:

• einem umfassenden grenzüberschreitenden Risikomanagementverfahren
• Mindest- und fortgeschrittenen Cybersicherheitskontrollen
• dem Austausch von Cybersicherheitsinformationen, um eine rechtzeitige Information und eine rasche und koordinierte Reaktion der einschlägigen Akteure zu gewährleisten;
• Regeln für die Behandlung von Cybersicherheitsvorfällen und das Krisenmanagement;
• einen Rahmen für Cybersicherheitsübungen, um die Bereitschaft aller Betreiber zu stärken;
• Regeln für den Schutz des Informationsaustauschs;
• einen Rahmen für Überwachung, Benchmarking und Berichterstattung.

Der Netzkodex soll für high-risk und critical risk entitiesgelten, die mithilfe der in ECII, dem Electricity Cybersecurity Impact Index, definierten Schwellenwerte ermittelt werden.

Literatur

1. KRITIS-Sektor Energie, OpenKRITIS
2. IT-Sicherheitskataloge BNetzA, OpenKRITIS

Quellen

1. Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie, Regierungsentwurf 25.07.2025, BMI
2. Regierungsentwurf des Bundesregierung: KRITIS-Dachgesetz (KRITISDachG) 10. September 2025, Bundesinnenministerium
3. Übersichtsseite zu LNG-Anlagen, Bundesnetzagentur (BNetzA), o.D.