Kritische Komponenten im Energiesektor: 5G-Moment?

Regulierung in NIS2 und KRITIS

Mit der überfälligen Umsetzung der NIS-2-Richtlinie in deutsches Recht erweitert sich der Kreis der betroffenen KRITIS-Betreiber sowie der nach NIS-2 erfassten wesentlichen und wichtigen Einrichtungen jenseits der klassischen KRITIS deutlich. Ex ante rechnet das BMI mit rund 30.000 betroffenen Unternehmen. Neben neuen Meldepflichten, Sanktionsmöglichkeiten und Risikomanagement-Pflichten weist das deutsche NIS2-Umsetzungsgesetz einige Besonderheiten auf.

Dazu zählt § 41 BSIG-E. Inhaltlich folgt er § 9b BSIG und sieht die Möglichkeit des sektorübergreifenden Ausschlusses kritischer Komponenten vor. Die Novellierung von § 9b BSIG und die Ausweitung auf alle KRITIS-Sektoren verleihen der Debatte um einseitige Abhängigkeiten und Sicherheitsrisiken neues Gewicht. Gerade im Energiesektor wirft die Generalklausel des § 41 BSIG-E neue Fragen der Governance, Beschaffung sowie der Rechts- und Planungssicherheit auf.

Gegenüber § 9b BSIG setzt § 41 BSIG-E weitgehend auf Kontinuität: Hersteller kritischer Komponenten sind weiterhin verpflichtet, gegenüber dem KRITIS-Betreiber eine Garantieerklärung abzugeben, die an den unveränderten Prüfmaßstab (Vertrauenswürdigkeit und möglicher Drittstaateneinfluss) sowie das fortgeltende Verfahren (Anzeige beim BMI, Fristenprüfung, mögliche – auch nachträgliche – Untersagung) anknüpft. Neu ist vor allem die deutlich breitere Betroffenheit durch die erweiterte Definition der kritischen Komponente nach § 2 Nr. 23 BSIG-E.

Gerade im Energiesektor dürfte die erweiterte Betroffenheit besonders ins Gewicht fallen. Die Vielzahl beteiligter Akteure (ÜNB, VNB, Erzeuger, Zulieferer) führt zu mehr Anzeigen an das Bundesinnenministerium (BMI), höheren Integrations- und Sicherheitsaufwänden und einem anspruchsvolleren Vollzug. Ergänzend hat die Bundesnetzagentur 2025 erstmals einen Katalog zur Bestimmung kritischer Funktionen per Allgemeinverfügung nach § 11 (1g) EnWG festgelegt.

Dieser Katalog präzisiert, welche Funktionen im Energiesektor als kritisch gelten und verknüpft damit die Anzeigepflichten für den erstmaligen Einsatz kritischer Komponenten. Der vorgelegte Katalog kritischer Funktionen ist weitreichend und reicht vom Betrieb und der Steuerung von Netzen und Anlagen bis hin zu Engpassmanagement sowie den betriebsnotwendigen IKT- und Kommunikationsdiensten der Leitstellen.

Ausgangslage Energiesektor

Vor diesem Hintergrund stellen sich Fragen zum Umgang mit der erweiterten Betroffenheit sowie zum Zusammenwirken von Herstellern, Betreibern und Behörden. Im Rahmen einer Forschungsarbeit haben wir untersucht, wie Betreiber und Hersteller auf die veränderte Gesetzeslage reagieren. Im Mittelpunkt stand die Untersuchung, wie vormals apolitische oder technische Fragen zunehmend durch die Linse (nationaler) Sicherheit betrachtet werden, sodass die Trennlinie zwischen technischer Debatte und sicherheitspolitischen Logiken verwischt.

Anders als Staaten, die mit unternehmensbezogenen Ansätzen den Marktzugang ausländischer Technologieanbieter beschränken (z. B. durch Blacklists), erlaubt das deutsche Recht Eingriffe auf Ebene einzelner Hardware- oder Softwarekomponenten, sofern diese für den sicheren Betrieb Kritischer Infrastrukturen wesentlich sind. Zugleich wächst im Energiesektor mit seiner zunehmenden Abhängigkeit von digitalen Technologien die Sorge vor Lieferkettenverwundbarkeiten, Cyberbedrohungen und potenziell manipulierten Kommunikationskomponenten, die – so die Befürchtung – für großflächige Stromausfälle oder Kill-Switch-Szenarien ausgenutzt werden könnten.

Forschungsfragen

Daraus ergaben sich folgende Forschungsfragen:

1. Ist im Kontext der deutschen NIS2-Umsetzung und § 41 BSIG-E im deutschen Energiesektor eine Versicherheitlichung erwartbar?
   Die erste Forschungsfrage prüft, ob der Energiesektor analoge Dynamiken zum 5G Moment erkennt. In den Expertengesprächen wurde eine Versicherheitlichung des Energiesektors nicht verworfen. Jedoch reichen die Einschätzungen von einem unmittelbar bevorstehenden neuen 5G-Moment bis zu einer abgeschwächten Wiederholung des Zyklus.
2. Inwiefern beeinflusst die Versicherheitlichung kritischer Komponenten die Entscheidungen deutscher KRITIS-Betreiber im Energiebereich?
   Für die zweite Forschungsfrage waren Einschätzungen von Herstellern und KRITIS-Betreibern zentral. Unsere Daten zeigen eine Debatte auf zwei verflochtenen Ebenen – technisch und politisch. Die Industrie verortet das Thema im technischen Risikomanagement und nachweisbarer Compliance, Politik und Verwaltung setzen es in den Kontext von Souveränität, Abhängigkeiten und strategischer Autonomie.

Versicherheitlichung

Frage 1: Ist eine Versicherheitlichung im Kontext der deutschen NIS2-Umsetzung und § 41 BSIG-E im deutschen Energiesektor erwartbar?

Das theoretische Gerüst bildet die Securitization Theory (Versicherheitlichungstheorie) der Kopenhagener Schule (B. Buzan, O. Wæver, 1990er). Im Sinne der Theorie markierte der 5G-Moment die Verschiebung des Telekommunikationssektors aus einem primär technischen in einen sicherheitspolitischen Kontext.

Als Prüfraster für die Frage, ob der Energiesektor einem mit der Versicherheitlichung von 5G vergleichbaren Prozess unterliegt, haben wir im Rahmen einer Literaturrecherche herausgearbeitet, welche Faktoren das 5G-Moment getragen haben.

Transatlantischer Kontext

Im Fall des 5G-Moments fungierte der Systemwettbewerb zwischen den USA und China als externer Beschleuniger. Mehrere Interviewte sehen diesen Rückenwind heute deutlich schwächer. Anders als unter der Vorgängerregierung ist energiepolitisch für die derzeitige US-Administration vor allem wichtig, dass europäische Länder US-Energieträger in großem Umfang abnimmt.

Mangels transatlantischen Erwartungsdrucks hinsichtlich Green Tech und asymmetrischer Abhängigkeiten müsste Legitimation und Antrieb einer Versicherheitlichung des Energiesektors aus Europa heraus entstehen.

Europäischer Bezugsrahmen

Der europäische Rahmen für KRITIS und Cybersicherheit bot im Kontext der 5G-Versicherheitlichung mit der EU-5G-Toolbox vor allem einen politischen Koordinationsrahmen, der die Abstimmung nationaler Maßnahmen erleichtern sollte.

Obwohl vergleichbare Forderungen (z.B. nach einer EU-Solar-Toolbox) in Brüssel von Industrieverbänden angeregt werden, ist bislang keine mit dem 5G-Moment vergleichbare Dringlichkeit zum Ausschluss nicht-europäischer Hersteller erkennbar.

Marktausschlüsse und Diskurse

Die Interviews weiteten den Rahmen wiederholt über den Energiesektor hinaus aus, insbesondere hin zum Automobilbereich und zu vernetzten Fahrzeugen. Eine Mehrheit der Gesprächspartner erwartet, dass Versicherheitlichungen auch in anderen Sektoren wahrscheinlich seien.

Versicherheitlichung

Im Sinne der Versicherheitlichungstheorie nach Buzan und Wæver deutet die Ausweitung über einzelne Sektoren hinaus darauf hin, dass ein übergreifendes Narrativ entsteht, eine „Makroversicherheitlichung“ (etwa: „chinesische Komponenten“ als Querschnittsrisiko für Kritische Infrastrukturen und technologische Souveränität). Diese steht im Gegensatz zur spezifischeren „Mikroversicherheitlichung“ des 5G-Moments.

Auswirkungen auf Betreiber

Frage 2: Inwiefern beeinflusst die Versicherheitlichung kritischer Komponenten Entscheidungen deutscher KRITIS-Betreiber im Energiebereich?

Was heißt das für Betreiber und Hersteller? Welche Verfahren schaffen Planungssicherheit, und wo entstehen neue Konfliktlinien über Zuständigkeit und Zumutbarkeit? Der folgende Überblick fasst zentrale Beobachtungen aus unseren Gesprächen zusammen und zeigt, wo die Praxis bereits vorwegläuft und wo Leitplanken am dringendsten gebraucht werden.

Zuweisung von Verantwortung

In den Gesprächen zeigte sich ein Verantwortungskonflikt bei kritischen Komponenten. Die einen verorten Verantwortung primär bei der Industrie, die anderen bei Staat und Behörden. Nuanciertere Stimmen plädierten für ein geteiltes, institutionell verankertes Modell, in dem KRITIS-Schutz und Cybersicherheit über belastbare Public-Private-Partnerships gemeinschaftlich getragen werden.

• Haftung bei Betreibern: Behörden- und regierungsnahe Gesprächspartner plädieren dafür, die Haftung entlang der Lieferkette bei Betreibern zu verankern (Beschaffungen als Betreiberrisiko).
• Ruf nach staatlicher Vorentscheidung: Betreiber und Verbände fordern klare, generalisierbare Kriterien und Listen. Der Staat müsse die Grundsatzentscheidung treffen und Haftung strukturieren.
• Herstellerunsicherheit: Hersteller rechnen mit steigenden KRITIS-Anforderungen trotz vergleichsweise geringer unmittelbarer gesetzlicher Pflichten auf Herstellerseite.

Rechts- und Planungsunsicherheit

Unklare Betroffenheit und offene Definitionen erzeugen Rechts- und Planungsunsicherheit und lösen eine Veranwortlichkeitskaskade entlang der Lieferkette aus. KRITIS-Betreiber verlangen Zusicherungen von Hestellern, diese wehren sich aber mangels klarer gesetzlicher Vorgaben und Kriterien und fehlender (gesetzlich verankerter) Betroffenheit.

Betreiber preisen Rechtsrisiken (wie die Möglichkeit des rückwirkenden Ausbaus kritischer Komponenten nach § 41) bereits in Beschaffung und Betrieb ein. Konsequenz sind präventive Compliance und risikoaverse Beschaffung, etwa das Meiden von Lieferantenoptionen oder die Forderung (im Energiesektor bislang) nicht gesetzlich geforderter Garantieerklärungen. Nicht-europäische Hersteller prüfen die Betroffenheit ihrer Angebote und gehen u.a. Partnerschaften mit europäischen Unternehmen ein, um zu vermeiden, dass Komponenten als kritisch eingestuft werden.

Bürokratisierung

Mehrere Interviewte bezeichnen § 41 BSIG-E als Bürokratiemonster. Ohne klare Kataloge sei systematisches Compliance-Mapping praktisch nicht möglich. Gefordert wird ein transparenter, standardisierter Prüfablauf (inkl. Do/Don’t-Listen), um Planungssicherheit zu schaffen (z. B. durch ein im § 41 verankertes Vertrauenswürdigkeitsverfahren).

Derzeit können Betreiber nicht absehen, ob heutige Entscheidungen später non-konform werden, und Lieferanten nicht, welche Eigenschaften sie disqualifizieren.

Bedarf einer differenzierten Risikodebatte

Die öffentliche und politische Debatte vermengt technische mit prinzipiellen Risiken. Technisch gilt 100% Sicherheit als kaum erreichbar. Gefordert wird eine evidenzbasierte Risikobetrachtung.

Tiefe der Betroffenheit

Deutsche Hersteller sind in globale Vorlieferketten eingebettet. Je weiter die Vertrauensprüfung greift, desto häufiger werden ausländische Komponenten sichtbar. Unklar ist: Wer fällt unter § 41 BSIG-E, und bis auf welche Ebene muss geprüft werden?

Fazit

Ein neuer 5G-Moment ist im Energiesektor derzeit nicht absehbar. Vielmehr erwartbar ist eine schrittweise, funktionsbezogene Versicherheitlichung mit selektiven Eingriffen und höheren Nachweispflichten. Jedoch schloss keiner unserer Gesprächspartner neue Versicherheitlichungsdynamiken in weiteren Sektoren jenseits des Telekommunikationssektors kategorisch aus.

Darüber hinaus gewähren die Ergebnisse Einblicke in den Maschinenraum deutscher Energiebetreiber und ihrer nachgelagerten Lieferanten und zeigen, wie beide Seiten die Novellierung der Regulierung zu kritischen Komponenten in Deutschland bewerten.

Prägend sind vor allem Rechts- und Planungsunsicherheit in der Debatte um § 41 BSIG-E. Zugleich besteht 2025 in der Industrie weitgehender Konsens, dass KRITIS-Schutz und Cybersicherheit institutionalisiert werden müssen. So fordern Hersteller wie Betreiber klarere staatliche Vorgaben.

Besonders aufschlussreich sind die Anpassungsmechanismen, mit denen diese unterschiedlichen Akteure das derzeitige Regulierungsvakuum zu überbrücken versuchen. Energiebetreiber ergreifen Maßnahmen, um Risiken in Beschaffungsprozessen zu mindern, etwa indem sie (noch) nicht gesetzlich geforderte Garantieerklärungen einholen. Nicht-europäische Hersteller beziehen absehbare Hindernisse im Einkauf ein und schärfen ihre Angebote, etwa durch die Zusammenarbeit mit nicht-kritischen europäischen Partnern, um den Marktzugang zu sichern.

Quellen

1. Masterarbeit "Chinese Critical Components in Germany´s Renewable Energy Sector: Is Germany Facing Its Next '5G Moment'?", King's College London, Jakob Nischan (2025)