EnWG und NIS2

EnWG und NIS2

Die Mehrfach-Regulierung im Energiesektor bleibt mit NIS2 erhalten. Betreiber fallen nicht nur unter NIS2 und KRITIS, sondern größtenteils unter das neue Energiewirtschaftsgesetz EnWG, das durch die NIS2-Umsetzungsgesetz revidiert wird. Es regelt zukünftig in §5c §5d und §5e die Pflichten der Betreiber von Energieversorgungsnetzen, Energieanlagen und digitalen Energiediensten.

Betroffenheit

NIS2-Einrichtungen, die Betreiber von Energieversorgungsnetzen, Energieanlagen oder digitalen Energiediensten im Sinne des 5c EnWG sind, fallen unter die Ausnahmeregelung in §28 (5) BSIG und müssen daher keine NIS2-Maßnahmen nach §§ 30, 31, 32, 35, 36, 38, 39, 61 und 62 umsetzen oder prüfen. Es gelten stattdessen die Anforderungen aus dem EnWG.

Die Regulierung im EnWG unterscheidet vier Gruppen von Betreibern:

NIS2-Anforderungen im EnWG

Das neue EnWG von Ende 2025 enthält drei neue Paragraphen. Sofern nicht anders angegeben, gelten die Anforderungen standardmäßig für die Betreibergruppen 1, 2 und 3.

IT-Sicherheit im Anlagen- und im Netzbetrieb

Vorgaben zur Sicherheit in Anlagen und Netzen, sowie Festlegungskompetenz. §5c

• §5c (1) Nr. 1 Betreiber von Energie­versorgungsnetzen 1 müssen einen ange­messenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten, die für einen sicheren Netzbetrieb notwendig sind. Dieser muss auch Beschaffung von Anlagengütern und Dienstleistungen umfassen .
• §5c (1) Nr. 2 Betreiber von Energieanlagen 2, die als besonders wichtige oder wichtige Einrichtungen nach BSIG gelten und an ein Netz angeschlossen sind, müssen einen ange­messenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten, für einen sicheren Anlagenbetrieb.
• §5c (1) Nr. 3 Betreiber digitaler Energiedienste 3, die als besonders wichtige oder wichtige Einrichtungen nach BSIG gelten und den digitalen Energiedienst an einer Energieanlage ausüb[en], die an ein Energieversorgungsnetz angeschlossen ist, müssen einen ange­messenen Schutz gegen Bedrohungen für TK- und EDV-Systeme gewährleisten, für sicheren Anlagenbetrieb.
• §5c (2) Die BNetzA erstellt im Einvernehmen mit dem BSI einen IT-Sicherheitskatalog (oder mehrere). Der IT-Sicherheitskatalog wird alle 2 Jahre überprüft und bei Bedarf aktualisiert.
• §5c (3) Der IT-Sicherheitskatalog soll ein Sicherheitsniveau [...] gewährleisten, das dem bestehenden Risiko angemessen ist. Maßnahmen müssen angemessen für Risikoexposition, Eintritts­wahrscheinlich­keit, Auswirkungen und Größe sein.
• §5c (4) Der IT-Sicherheitskatalog muss mindestens die in §30 (2) BSIG genannten NIS2-Themen umfassen, plus Systeme zur Angriffserkennung und kritische Komponenten.
• §5c (5) Die BNetzA kann im Katalog auch Anforderungen an Dokumentation der Umsetzung, Behebung von Sicherheitsmängeln oder Regelungen zur regelmäßigen Überprüfung festlegen.
• §5c (6) Die BNetzA legt in einem separaten Katalog kritische Komponenten im Sinne des § 2 BSIG und kritische Funktionen fest. Die Anforderungen aus diesem Katalog gelten nur für Betreiber der Gruppe 4 wenn die Anlagen über KRITIS-Schwellenwerten sind.

Dokumentation und Pflichten

• §5d (1) Dokumentation und Mängelbeseitigung: Von §5c (1) betroffene Betreiber müssen die Umsetzung der IT-Sicherheitskataloge dokumentieren. Besonders wichtige Einrichtung müssen die Dokumentation der BNetzA nach Erstellung übermitteln.
  Die BNetzA kann einen Mängelbeseitigungsplan und die Beseitigung von Mängeln innerhalb Fristen verlangen. Betreiber müssen der BNetzA oder in Auftrag handelnden Personen zur Überprüfung Begehungen, Dokumenteneinsicht, Auskunft oder anderweitige Unterstützung gewähren.
• §5d (2) Überprüfung: Bei Verdacht, dass Betreiber Sicherheitsanforderungen nicht oder nicht richtig umsetzen, kann die BNetzA Informationen anfordern, um die Einhaltung zu überprüfen.

Sicherheitsvorfälle

• §5d (3) Erhebliche Sicherheits­vorfälle müssen durch Betreiber an die Meldestelle nach §32 BSIG gemeldet werden. Der Umfang der Meldung entspricht den Vorgaben aus §2 Nr. 11 BSIG:
  • Frühmeldung (innerhalb 24h) inkl. Verdachtsbewertung
  • Hauptmeldung (innerhalb 72h) mit Erstbewertung und Indikatoren
  • Zwischenmeldung auf Anforderung
  • Abschlussmeldung (innerhalb eines Monats) mit Ursachenanalyse und Maßnahmen
  Das BSI reagiert auf Meldungen nach §36 BSIG im Benehmen mit der BNetzA.
• §5d (5) Das BSI tauscht Informationen über Sicherheitsvorfälle mit Relevanz für die Energie­sicherheit mit der BNetzA aus. Die BNetzA kann vom betroffenen Unternehmen die Herausgabe von Informationen einschließlich personenbezogenen Daten verlangen. Die BNetzA kann Betreiber von Übertragungs- und Fernleitungsnetzen einbeziehen.

Registrierung

• §5d (4) Betreiber von Energieversorgungsnetzen, Energieanlagen und Energiediensten müssen sich innerhalb bestimmter Fristen beim BSI registrieren – diese Pflicht stammt originär aus §33. Kommt ein Betreiber der Registrierung nicht nach, kann das BSI eine Ersatzregistrierung durchführen. Betreiber müssen über die benannte Kontaktstelle jederzeit erreichbar sein.
• Betreiber von Energieversorgungsnetzen, die keine originäre NIS2-Einrichtung sind (unter den Grenzen von Mitarbeiter, Umsatz und Bilanzsumme) und nicht unter §33 BSIG fallen, müssen sich auch beim BSI registrieren.

Umsetzung und Überwachung

Vorgaben zu Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen § 5e

• §5e (1) Geschäftsleiter von Betreibern nach §5c (1) sind verpflichtet, die Sicherheitsanforderungen umzusetzen und die Umsetzung zu überwachen.
• §5c (11) Bei Pflichtverletzung (nach Abs. 1) haften Geschäftsleiter ihrer Einrichtung für einen schuldhaft verursachten Schaden, entweder nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts oder nach den Regelungen im EnWG.
• §5c (12) Geschäftsleiter müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken um die Auswirkungen von Risikomanagement auf die erbrachten Dienste beurteilen zu können.

Aus dem bisherigen §11 EnWG (a.F.) werden die Absätze 1a bis 1g aufgehoben. Verstöße gegen den neuen §5c und §5d EnWG werden in §95 (2)-(8) EnWG mit gestaffelten Bußgeldern bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes sanktionierbar.

EnWG und KRITIS-DachG

Das KRITIS-Dachgesetz, das 2026 in Kraft tritt, verlagert Resilienz-Pflichten ins EnWG -Efür betroffene Energiebetreiber. Das Energiewirtschaftsgesetz EnWG wird mit dem KRITIS-Dachgesetz revidiert und regelt zukünftig in §5f die Nachweispflichten der Betreiber von kritischen Anlagen für Resilienz.

Betroffenheit

Die Nachweispflichten aus §16 (1)-(6) gelten nach §16 (7) KRITIS-DachG nicht für Betreiber kritischer Anlagen aus dem Energiesektor. Es gelten stattdessen die Nachweispflichten aus §5f EnWG. Diese betreffen den Nachweis der Resilienzpflichten – die Pflichten selbst bleiben für Energiebetreiber weiterhin im KRITIS-Dachgesetz verbindlich.

Resilienz im Energiewirtschaftsgesetz

Die Nachweispflichten fü Resilienz nach dem KRITIS-Dachgesetz sind in §5f EnWG-E definiert.

• §5f (1) Betreiber von kritischen Anlagen müssen die Einhaltung der Pflichten nach § 13 (1) KRITIS-DachG dokumentieren und der BNetzA auf Verlangen nachweisen, z. B. durch ein Zertifikat.
• §5f (2) Die BNetzA kann im Benehmen mit dem BSI und dem BBK in einem Sicherheitskatalog festlegen, wie die Einhaltung der Resilienzpflichten aus dem KRITIS-Dachgesetz nachgewiesen wird. Das umfasst Bestimmungen zur Durchführung einer Zertifizierung einschließlich Audits, zu Anfoderungen an die Zertifizierungsstelle, Ausgestaltung der Nachweise, Behebung von Mängeln u. a.
• §5f (3) Betreiber müssen auf Verlangen der BNetzA die Dokumentation und das Zertifikat über die Einhaltung der Resilienzpflichten übermitteln. Die BNetzA kann die durchgeführten Risikoanalysen und -bewertungen sowie den Resilienzplan einfordern. Die Auswahl von Betreibern erfolgt risikobasiert.
• §5f (4) Die BNetzA kann die Einhaltung der Resilienzpflichten aus dem KRITIS-DachG jederzeit überprüfen und dabei auch qualifizierte unabhängige Dritte involvieren.
• §5f (5) Betreiber müssen der BNetzA zum Zweck der Überprüfung der Verpflichtungen das Betreten der Geschäfts- und Betriebsräume sowie Zugang zu Informationen, Systemen und Anlagen der kritischen Dienstleistung gestatten sowie Unterlagen vorlegen, Auskunft erteilen.
• §5f (6) Verletzt ein Betreiber die Resilienzpflichten aus dem KRITIS-DachG, kann die BNetzA die Vorlage eines Plans zur Beseitigung der Pflichtverletzung und [...] Maßnahmen [...] anordnen.
• §5f (7) Die BNetzA muss betroffene Betreiber und betroffene Branchenverbände vor Festlegung des Sicherheitskatalogs beteiligen. Der Katalog soll alle zwei Jahre überprüft und aktualisiert werden.

EU Network Code on Cybersecurity

Der Network Code on Cybersecurity (NCCS), EU 2024/1366, ist der EU-spezifische Rahmen für Cybersicherheitsanforderungen im Energiesektor EU NCCS ergänzt NIS2 für grenzüberschreitende Stromanbieter durch spezifische Anforderungen Als EU-Verordnung gilt NCCS unmittelbar für alle betroffenen Energieunternehmen: Übertragungsnetzbetreiber (ÜNB), Verteilnetzbetreiber (VNB), bedeutende Erzeugungsanlagen und IKT-Dienstleister mit hoher oder kritischer Auswirkung.

NCCS legt einen europäischen Standard für die Cybersicherheit grenzüberschreitender Stromflüsse fest. Dazu definiert NCCS Regeln für betroffene Unternehmen zur Bewertung von Cyberrisiken, Mindestanforderungen sowie Überwachung, Berichterstattung und Krisenmanagement. Jeder Mitgliedstaat muss eine nationale zuständige Behörde benennen, welche die Einhaltung der Vorschriften bei Unternehmen mit hohem und kritischem Einfluss identifiziert, überwacht und durchsetzt.

In Deutschland wird diese Funktion durch die Bundesnetzagentur übernommen.

Literatur

1. KRITIS-Sektor Energie, OpenKRITIS
2. IT-Sicherheitskataloge BNetzA, OpenKRITIS

Quellen

1. Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie, Regierungsentwurf 25.07.2025, BMI
2. Regierungsentwurf des Bundesregierung: KRITIS-Dachgesetz (KRITISDachG) 10. September 2025, Bundesinnenministerium
3. Übersichtsseite zu LNG-Anlagen, Bundesnetzagentur (BNetzA), o.D.