Energie

Im Sektor Energie versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit vier kritischen Dienstleistungen – der Versorgung mit Strom, Gas, Kraftstoff und Heizöl und Fernwärme. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS und teilweise auch EnWG und IT-Sicherheitskatalog geschützt werden.

Pflichten
KRITIS-Anlagen
NIS2-Einrichtungen
Sektorgesetze
EnWG
IT-SiKat

KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS und teilweise EnWG-reguliert, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2025 um viele neue Einrichtungen, die als Unternehmen reguliert werden, wenn sie Umsatz und Mitarbeiterzahlen überschreiten.

Nr.	Unternehmen	Scope
	Betreiber kritischer Anlagen	Anlage über Schwellenwert (KRITIS)
	KRITIS-Sektordefinition Energie: Stromversorgung: Erzeugung, Übertragung, Verteilung und Handel Gasversorgung: Förderung, Transport, Verteilung und Handel Kraftstoff-/Heizölversorgung: Förderung, Herstellung, Transport, Verteilung Fernwärmeversorgung: Erzeugung und Verteilung
	Besonders wichtige Einrichtung Sektor Energie (NIS2)	Unternehmen (NIS2) ≥250 Mitarbeiter oder >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanz
	Wichtige Einrichtung Sektor Energie (NIS2)	Unternehmen (NIS2) ≥50 Mitarbeiter oder >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanz
	NIS2-Sektor Energie: Stromversorgung: Lieferanten, Netze, Betreiber, Anlagen Fernwärme und -kälte: Fernwärme und -kälte Kraftstoff/Heizöl: Leitungen, Produktion, Raffination, Aufbereitung, Lager Gasversorgung: Netze, Anlagen, Speicher, Gewinnung, Raffination, Wasserstoff

Regulierte Pflichten

NIS2 und KRITIS

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung. Die Gesetze sind in Arbeit und sollen Oktober 2024 (vermutlich Früjahr 2025) in Kraft treten. Für Betreiber kritischer Anlagen (KRITIS) und neue Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Juli 2024
^ - Geltungsbereich im Unternehmen abhängig von neuen BNetzA-Katalogen
Thema	Betreiber kritischer Anlagen (KRITIS)		Energienetz/Anlage	Einrichtungen
Gesetz	NIS2-Umsetzung	KRITIS-Dachgesetz + §5d EnWG-E	NIS2-Umsetzung in §5c EnWG-E	NIS2-Umsetzung
Fristen	ab 2025	ab 2026	ab 2025	ab 2025
Scope	Kritische Anlage außerhalb EnWG	Kritische Anlage wenn EnWG-reguliert	Energienetz/Anlage^ wenn EnWG-reguliert	Unternehmen außerhalb EnWG
Pflichten	Registrierung Vorfallsmeldungen Sanktionen Prüfungen	Registrierung Vorfallsmeldungen Sanktionen	Registrierung Vorfallsmeldungen Sanktionen Audit IT-SiKat	Registrierung Vorfallsmeldungen Sanktionen
Maßnahmen	Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Angriffserkennung SzA Personal	Resilienz Risikomanagement Physische Sicherheit Personal	Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Angriffserkennung SzA Personal	Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Personal
Nachweise	Prüfungen	IT-Sicherheitskatalog	IT-Sicherheitskatalog	Stichproben
Regulator	BSI	BBK + BNetzA	BSI + BNetzA	BSI

Für bestimmte Betreiber* im Energiesektor gelten stattdessen das EnWG und der Sicherheitskatalog der BNetzA, die die Vorgaben der NIS2-Umsetzung äquivalent abbilden sollen. Es entsteht potenziell Mehrfach-Regulierung mit unterschiedlichen Geltungsbereichen.

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.

KRITIS

Kritische Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Energie in der KRITIS-Verordnung definiert. Betreiben Unternehmen diese kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie zu KRITIS-Betreibern oder EnWG-Betreibern.

aus BSI-KritisV September 2023, Anhang 1
**EnWG** - Anlagen fallen unter EnWG und BNetzA IT-Sicherheitskataloge (Anschluss an Energienetz)
† - EnWG-Regulierung muss geprüft werden
Nr.	Anlage	Beschreibung	Schwellenwert
1.	Stromversorgung (Dienstleistung)
1.1.1	Erzeugungsanlage EnWG	im Sinne §3 Nr. 18d EnWG, auch Speicherung und dezentrale Erzeugung im Sinne §3 Nr. 11 EnWG	104 MW 0 MW 36 MW	Netto-Nennleistung Schwarzstart-Anlage Primärregel
1.1.2	Steuerung/Bündelung elektrischer Leistung EnWG Digitaler Energiedienst (ab 2025 mit NIS2)	im Sinne §3 Nr. 17 EEG	104 MW 0 MW 36 MW	Netto-Nennleistung Schwarzstart-Anlage Primärregel
1.2.1	Übertragungsnetz EnWG	im Sinne §3 Nr. 32 EnWG	3700 GWh/Jahr	Arbeit
1.3.1	Stromverteilernetz EnWG	im Sinne §3 Nr. 37 EnWG	3700 GWh/Jahr	Arbeit
1.4.1	Stromhandel	Anlage/Handelssystem für Spothandel, Terminhandel deutsches Martgebiet	3700 GWh/Jahr	Handelsvolumen
2.	Gasversorgung (Dienstleistung)
2.1.1	Gasförderanlage EnWG	Förderung von Erdgas	5190 GWh/Jahr	gefördertes Gas
2.1.2	Standortübergreifende Steuerung EnWG	Steuerung/Überwachung standortübergreifend anderer Anlagen	5190 GWh/Jahr	gefördertes Gas
2.2.1	Fernleitungsnetz EnWG	im Sinne §3 Nr. 19 EnWG	5190 GWh/Jahr	entnommene Arbeit
2.2.2	Gasgrenzübergabestelle EnWG		5190 GWh/Jahr	durchgeleitete Arbeit
2.2.3	Gasspeicher EnWG	im Sinne §3 Nr. 19c EnWG	5190 GWh/Jahr	durchgeleitete Arbeit
2.2.4	LNG-Anlage EnWG	Verflüssigung von Gas oder Einfuhr, Entladung und Wiederverdampfung von verflüssigtem Gas	5190 GWh/Jahr	Technische Regasifizierungskapazität
2.3.1	Gasverteilernetz EnWG	im Sinne §3 Nr. 37 EnWG	5190 GWh/Jahr	entnommene Arbeit
2.4.1	Gas/Kapazitätshandel	Anlage/Handelssystem für Gashandel	5190 GWh/Jahr	Handelsvolumen Gastransportkapazitäten
3.	Kraftstoff- und Heizölversorgung (Dienstleistung)
3.1.1	Ölförderanlage	Förderung von Rohöl	4.4 Mio t/Jahr	gefördertes Rohöl
3.1.2	Raffinerie	Destillation oder Raffination von Rohöl im Sinne 4.3, Anlage 1 UVPG	420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	erzeugter Kraftstoff Flugkraftstoff Heizöl
3.1.3	Standortübergreifende Steuerung	Steuerung/Überwachung standortübergreifend anderer Anlagen	4.4 Mio t/Jahr 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	gefördertes Rohöl erzeugter Kraftstoff Flugkraftstoff Heizöl
3.2.1	Mineralölfernleitung	Rohrfernleitung im Sinne der RohrFLtgV	4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	umgeschlagenes Rohöl Kraftstoff Flugkraftstoff Heizöl
3.2.2	Öl- und Produktenlager	Lagerung von Rohöl oder Mineralölprodukten	4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	umgeschlagenes Rohöl Kraftstoff Flugkraftstoff Heizöl
3.2.3	Standortübergreifende Steuerung	Steuerung/Überwachung standortübergreifend anderer Anlagen	4.4 Mio t/Jahr 4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	transportiertes Rohöl umgeschlagenes Rohöl Kraftstoff Flugkraftstoff Heizöl
3.3.1	Aggregatoren zum Vertrieb von Kraftstoff und Heizöl	Disposition von Tankkraftwagen, Kesselwagen, Binnenschiffen zum Vertrieb von Kraftstoff und Heizöl	420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	verteilter Kraftstoff Flugkraftstoff Heizöl
3.3.2	Tankstellennetz	Verbindung von Tankstellen, Flugfeldbetankungsanlagen zur zentralen Versorgung mit Kraftstoff	420 Tsd t/Jahr 63,75 Tsd t/J	verteilter Kraftstoff Flugkraftstoff
3.3.3	Standortübergreifende Steuerung	Steuerung/Überwachung standortübergreifend anderer Anlagen	420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	verteilter Kraftstoff Flugkraftstoff Heizöl
3.4.1	Zentrale kommerzielle Steuerung	Steuerung/Betriebsplanung mehrere Anlagen, kommerzielle Abwicklung, Clearing/Kollaboration	4.4 Mio t/Jahr 420 Tsd t/Jahr 63,75 Tsd t/J 620 Tsd t/Jahr	Abgewickeltes Rohöl Kraftstoff Flugkraftstoff Heizöl
4.	Fernwärmeversorgung (Dienstleistung)
4.1.1	Heizwerk	Erzeugung von Wärme zur Belieferung von Endkunden im Sinne der AVBFernwärmeV	2300 GWh/Jahr	ausgeleitete Wärmeenergie
4.1.2	Heizkraftwerk	Erzeugung von elektrischer Energie und Nutzwärme nach §2 Nr. 14 KWKG	2300 GWh/Jahr	ausgeleitete Wärmeenergie
4.2.1	Fernwärmenetz	Versorgung der Allgemeinheit mit Wärme	250 Tsd	angeschlossene Haushalte
4.3.1	Standortübergreifende Steuerung	Steuerung/Überwachung standortübergreifend anderer Anlagen	250 Tsd 2300 GWh/Jahr	angeschlossene Haushalte ausgeleitete Wärmeenergie

Schwellenwerte

Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.

Strom

Der Schwellenwert für Erzeugung (1.1.1) und Steuerung/Bündelung (1.1.2) berechnet sich aus dem angenommenen Durchschnittsverbrauch von 1815 kWh Strom pro Person für 500.000 versorgte Personen:

Netto-Nennleistung von 104 MW
Netto-Nennleistung von 0 MW (Schwarzstartanlage)
Netto-Nennleistung von 36 MW (Erbringung von Primärregelleistung)

Die 36 MW für Primärregelleistung präqualifizierter Anlagen ergeben sich aus EU-Verordnung 2016/631. Der Wert 3.700 GWh/Jahr für die Übertragung und Verteilung (1.2.1, 1.3.1) wird nicht (mehr) hergeleitet.

Der Schwellenwert für Stromhandel (1.4.1) ergibt sich aus dem angenommenen Gesamthandelsvolumen von 600 TWh und durchschnittlichem Handelsvolumen von 7460 KWh pro Person für 500.000 versorgte Personen:

Abgewickeltes Handelsvolumen von 3,7 TWh (3700 GWh) pro Jahr

Gas

Der Schwellenwert für die Anlagen 2.1.1 bis 2.4.1 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 10380 kWh Gas pro Person für 500.000 versorgte Personen:

≈ 5190 GWh Gas pro Jahr

Kraftstoff und Heizöl

Der Schwellenwert für die Anlagen 3.1.1 bis 3.4.1 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 0,84t Kraftstoff, 1,24t leichten Heizöl und 0,1275t Flugkraftstoff pro Person pro Jahr für 500.000 versorgte Personen, mit der Annahme von einer Tonne Rohöl pro 0,14t Heizöl.

420 Tsd Tonnen Kraftstoff pro Jahr
63,75 Tsd Tonnen Flugkraftstoff pro Jahr
620 Tsd Tonnen Heizöl pro Jahr
4400 Tsd Tonnen Rohöl pro Jahr

Fernwärme

Der Schwellenwert für die Anlagen 4.1.1 bis 4.1.2 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 4,528 MWh Energie pro Person für 500.000 versorgte Personen, der Schwellenwert für 4.2.1 direkt über Haushalte.

2300 GWh Wärmeenergie pro Jahr
250 Tsd angeschlossene Haushalte

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren. Bei angeschlossenen Haushalten muss dies zum 30. Juni des Vorjahres ermittelt werden.

NIS2

Einrichtungen

Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.

aus NIS2-Umsetzungsgesetz, Entwurf Dezember 2023
^ - gemeint sind immer ganze Unternehmen als *Betreiber von ...*
Hinweis: Die Verweise auf EnWG-Nummern sind teils alte Fassungen
Nr.	Teilsektor	Einrichtungsart^
Energie (Sektor, Anlage 1)
1.1	Stromversorgung (Teilsektor)
1.1.1		Stromlieferanten §3 Nr. 31a EnWG (§3 Nr. 31d nach n.F.)
1.1.2		Elektrizitätsverteilernetze §3 Nr. 3 EnWG
1.1.3		Übertragungsnetze §3 Nr. 10 EnWG
1.1.4		Erzeugungsanlagen §3 Nr. 18d EnWG
1.1.5		Strommarktbetreiber Art. 2 Nr. 8 (EU) 2019/943
1.1.6		Aggregatoren §3 Nr. 1a EnWG
1.1.7		Energiespeicheranlagen §3 Nr. 15d EnWG
1.1.8		Ausgleichsleistungen §3 Nr. 1b EnWG
1.1.9		Ladepunktbetreiber §2 Nr. 8 LSV
1.2	Fernwärme und -kälte (Teilsektor)
1.2.1		Fernwärme/Fernkälte §3 Nr. 19 und 20 GEG
1.3	Kraftstoff/Heizöl (Teilsektor)
1.3.1		Erdöl-Fernleitungen
1.3.2		Produktion, Raffination, Aufbereitung sowie Erdöllager
1.3.3		Zentrale Bevorratungsstellen im Sinne Art 2 f. 2009/119/EG
1.4	Gasversorgung (Teilsektor)
1.4.1		Gasverteilnetze §3 Nr. 8 EnWG
1.4.2		Fernleitungsnetze §3 Nr. 5 EnWG
1.4.3		Gasspeicheranlagen §3 Nr. 6 EnWG
1.4.4		LNG-Anlagen §3 Nr. 9 EnWG
1.4.5		Gaslieferanten §3 Nr. 19b EnWG
1.4.6		Gewinnung von Erdgas
1.4.7		Raffination und Aufbereitung von Erdgas
1.4.8		Wasserstofferzeugung, -speicherung, -fernleitung

Regulierung und Standards

Gesetze im Energiesektor

Bestimmte Betreiber im Energiesektor fallen neben KRITIS und NIS2 auch unter EnWG und weitere Energie-Regulierung. Dies hängt von betriebenen Anlagen ab, wie Energieanlagen, Energieversorgungsnetzen und weiteren. Es entsteht Mehrfachregulierung für Betreiber.

Betroffenheit

Für Energieunternehmen, die Energieversorgungsnetze oder Energieanlagen betreiben, gilt neben der KRITIS und NIS2-Regulierung möglicherweise auch das EnWG. Je nach konkreter Anlage und Situation gelten dann auch die Sicherheitskataloge der BNetzA und es entsteht eine Mehrfach-Regulierung mit unterschiedlichen Vorgaben je Geltungsbereich.

Unternehmen	Regulierung	Ausschluss	Dafür gilt
Betreiber Energieversorgungsnetze Betreiber Energieanlagen	KRITIS bis 2025	KRITIS-Maßnahmen §8a	EnWG §11 plus SiKat
Betreiber Energieversorgungsnetze Betreiber Energieanlagen Betreiber Energiedienste	NIS2 ab 2025	NIS2-Maßnahmen fast alle	EnWG §5c plus SiKat
Betreiber Energieversorgungsnetze Betreiber Energieanlagen	DachG ab 2025	Resilienznachweise §16 (1-6)	EnWG §5d plus SiKat

Energiewirtschaftsgesetz (EnWG)

Das Energiewirtschaftsgesetz EnWG regelt die Pflichten der Betreiber von Energieanlagen und Energieversorgungsnetzen. Dies ändert sich mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz.

Die wichtigsten Regelungen und Anforderungen für KRITIS und EnWG (bis 2025) sind sicherer Netz- und Anlagenbetrieb nach §11 EnWG, Registrierung BSI/BNetzA, Meldung von Sicherheitsvorfällen, Angriffserkennung und Umsetzung vom BNetzA IT-Sicherheitskatalog (1a oder 1b) mit Zertifikat nach ISO 27001 und ISO 27019.

Mit NIS2 und KRITIS-Dachgesetz erweitern sich die Anforderungen im EnWG ab 2025: sicherer Netz- und Anlagenbetrieb nach §5c EnWG-E, Registrierung BSI/BNetzA, Meldung von Sicherheitsvorfällen, Stand der Technik, NIS2-Maßnahmen, Angriffserkennung, Umsetzung vom BNetzA IT-Sicherheitskatalog (neu) mit Zertifikat nach ISO 27001 und ISO 27019 und deutlich mehr Dokumentations- und Meldepflichten an Behörden.

Aus dem KRITIS-Dachgesetz werden ab 2025 äquivalente Pflichten zum Resilienznachweis in §5d EnWG-E und die neuen Sicherheitskataloge übertragen.

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

Branchenspezifischer Sicherheitsstandard für Anlagen oder Systeme zur Steuerung / Bündelung elektrischer Leistung (B3S Aggregatoren), BDEW, Version 1.2, 5.6.2023 (gültig bis Juli 2025)
Branchenspezifischer Sicherheitsstandard für die Verteilung von Fernwärme (Fernwärmenetze), BDEW, Version 1.2, 2023 (gültig bis Januar 2027)
IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG, Bundesnetzagentur (BNetzA), Stand August 2015
IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG, Bundesnetzagentur (BNetzA), Stand Dezember 2018

Industrienormen

ISO/IEC 27019:2017 ist eine Empfehlung für Energieversorger, die Controls mit Schwerpunkt Prozesssteuerung, PLCs, Kommunikation, Smart Meters, Energie-Management, Smart Grids und angepasste Risiko-Methodiken enthält.

Weitere Informationen

Quellen

Festlegung - Erstellung eines IT-Sicherheitskataloges nach &11 Abs. 1a und 1b EnWG Konsultationsverfahren, 07.05.2025, Bundesnetzagentur
Vierte Verordnung zur Änderung der BSI-Kritisverordnung vom 29. November 2023, BGBl. 2023 I Nr. 339 vom 06.12.2023
Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 29. November 2023 (BGBl. 2023 I Nr. 339) geändert worden ist
Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 9 des Gesetzes vom 22. März 2023 (BGBl. 2023 I Nr. 88) geändert worden ist
Gesetz für die Erhaltung, die Modernisierung und den Ausbau der Kraft-Wärme-Kopplung (Kraft-Wärme-Kopplungsgesetz - KWKG) vom 21. Dezember 2015 (BGBl. I S. 2498), das zuletzt durch Artikel 7 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818) geändert worden ist
Gesetz für den Ausbau erneuerbarer Energien (Erneuerbare-Energien-Gesetz - EEG 2017) vom 21. Juli 2014 (BGBl. I S. 1066), das zuletzt durch Artikel 6 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818) geändert worden ist
Gesetz über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen (Messstellenbetriebsgesetz - MsbG) vom 29. August 2016 (BGBl. I S. 2034), das zuletzt durch Artikel 90 des Gesetzes vom 20. November 2019 (BGBl. I S. 1626) geändert worden ist"
Gesetz über die Umweltverträglichkeitsprüfung (UVPG) in der Fassung der Bekanntmachung vom 24. Februar 2010 (BGBl. I S. 94), das zuletzt durch Artikel 117 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
Verordnung über Rohrfernleitungsanlagen (Rohrfernleitungsverordnung) vom 27. September 2002 (BGBl. I S. 3777, 3809), die zuletzt durch Artikel 224 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
Verordnung über Allgemeine Bedingungen für die Versorgung mit Fernwärme (AVBFernwärmeV) vom 20. Juni 1980 (BGBl. I S. 742), die zuletzt durch Artikel 16 des Gesetzes vom 25. Juli 2013 (BGBl. I S. 2722) geändert worden ist
IT-Sicherheit im Energiesektor, Überblick und Bibliothek der relevanten Dokumente, Bundesnetzagentur (BNetzA)
EU Electricity Supply, EU electricity supply – sector-specific rules on cybersecurity (network code), European Commission
Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, Referentenentwurf, Innenministerium, 22.07.2024
Referentenentwurf KRITIS-Dachgesetz – KRITIS-DachG April 2024, intrapol, August 2024