Sobald die europäische NIS-2-Richtlinie zum Schutz von Netzwerk- und Informationssystemen (NIS) in deutsches Recht überführt ist, ändert sich für Betreiber von Wind- und Solaranlagen mehr als nur ein Randaspekt ihres Geschäfts. Plötzlich stehen nicht mehr nur Einspeisevergütung, Flächennutzung oder Genehmigungsdauer im Fokus, sondern auch – mehr als je zuvor – die digitale Sicherheit. Neue Cybersicherheitsvorgaben, verschärfte Meldepflichten und umfassende Prüfstandards treffen die Branche frontal, die bislang wenig mit IT-Sicherheitsaudits konfrontiert war. Der jüngste Referentenentwurf zum NIS-2-Umsetzungsgesetz zieht somit einen neuen regulatorischen Rahmen um zentrale Akteure der Energiewende.
Künftig sind auch kleinere Unternehmen der Erneuerbare-Energien-Branche zu umfassenden Sicherheitsmaßnahmen verpflichtet. Betroffen sind Betreiber von Wind-, Solar- und Biogasanlagen, sofern sie bestimmte Schwellenwerte überschreiten oder Teil kritischer Infrastruktur sind. Interessantes Detail: Die Einstufung als wichtige Einrichtung müssen die Unternehmen selbst vornehmen – eine automatische Zuweisung durch die Behörden ist nicht vorgesehen. Wer das verpasst oder sein Unternehmen falsch einstuft, riskiert Bußgelder oder behördliche Sanktionen.
Der Bundesverband Erneuerbare Energie (BEE) begrüßt zwar grundsätzlich die Zielrichtung der Richtlinie. Man sei sich einig, dass die digitale Resilienz der Energiewirtschaft erhöht werden müsse – nicht zuletzt angesichts wachsender geopolitischer Risiken. Doch die praktische Umsetzung sei hochproblematisch. „Die Pflicht zur Selbsteinordnung mag auf dem Papier gut aussehen, überfordert in der Praxis aber gerade kleine Betreiber“, warnt der Verband in einer aktuellen Stellungnahme zum Entwurf. Die Unternehmen seien gezwungen, binnen kurzer Zeit zu klären, ob sie unter die Regelungen fallen – und welche Konsequenzen sich daraus ergeben.
Richtlinie braucht noch Nacharbeit
Auch der Bundesverband WindEnergie (BWE) schließt sich dieser Einschätzung weitgehend an. In einer Stellungnahme hatte der Verband Ende Mai vor allem die schwammigen Kriterien dafür kritisiert, welche Anlagenbetreiber davon betroffen sind. Es fehle an rechtssicheren Vorgaben, wann ein Windpark als eigenständig einzustufen sei oder ob eine Einbindung in eine Konzernstruktur zu einer Einstufung als kritische Einrichtung führe. Zudem moniert der BWE, dass bei Betreibermodellen mit externen Dienstleistern nicht ausreichend geregelt sei, wie Betreiberpflichten sachgerecht übertragen werden können. Der Verband fordert daher eine Einzelfallprüfung statt pauschaler Annahmen.
Die Forderung ist nicht unbegründet. Betreiber müssen ein wirksames Risikomanagementsystem einführen, technische und organisatorische Maßnahmen zum Schutz vor Cyberangriffen umsetzen und im Fall eines Sicherheitsvorfalls binnen 24 Stunden eine Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) abgeben. Auch Anforderungen an Notfallkommunikation, Personalqualifikation, Lieferkettensicherheit und Verschlüsselung gehören zum Pflichtenpaket. Viele dieser Vorgaben leiten sich direkt aus Paragraf 5c des novellierten Energiewirtschaftsgesetzes (EnWG) ab – einer Art operativen Übersetzung der NIS-2-Anforderungen für den Energiesektor.
Wer von NIS 2 betroffen ist
Was tun, wenn ich betroffen bin?
- ISMS einführen: Aufbau eines Informationssicherheits-Managementsystems (z. B. nach ISO 27001)
- Risikoanalyse: Identifikation von Schwachstellen in Steuerung, Netzanschluss, Monitoring
- Technische Maßnahmen: Firewalls, Zugangskontrolle, Segmentierung, Backup, Verschlüsselung
- Verantwortliche benennen: Zuständigkeiten für Cybersicherheit, Meldungen und Dokumentation
- Vorfallmanagement aufbauen: interne Reaktionspläne, Meldekette zum BSI/BNetzA
- Fristen einhalten: Erstmeldung: innerhalb von 24 Stunden, Abschlussbericht: innerhalb von 72 Stunden
- Dokumentation: Nachweisführung über Maßnahmen, Regelungen, Zuständigkeiten
- Lieferketten prüfen: Welche Anbieter greifen auf kritische Systeme zu?
- Dienstleister-Verträge prüfen: Pflichtenübertragung vertraglich regeln
- Personalüberprüfung: Sicherheitsüberprüfung für Schlüsselpersonal (sofern nötig)
Zeitplan und Fristen
- Inkrafttreten des Gesetzes: voraussichtlich Ende 2025 oder Anfang 2026
- Selbsteinstufung und Registrierung: innerhalb von sechs Monaten nach Inkrafttreten des Gesetzes
- Umsetzung der Anforderungen: ab Inkrafttreten
Doch gerade bei ausgelagerten Betriebsmodellen – etwa bei Windparks, die durch Dienstleister fernüberwacht werden – bleiben wichtige Fragen offen: Wer trägt bei einem Sicherheitsvorfall die Verantwortung? Wie lassen sich die Anforderungen wirksam vertraglich übertragen? Der BEE fordert daher eine Ergänzung des Gesetzes um klare Vorgaben für Betreiberpflichten. Auch für die Meldepflichten brauche es praxisnahe Leitlinien. „Die Betreiber müssen die Möglichkeit haben, vorläufige Einschätzungen weiterzugeben, ohne sich haftbar zu machen“, heißt es vonseiten des Verbands. Andernfalls drohe ein Verlust an Transparenz.
Zwar erkennt der Entwurf die besonderen Bedingungen im Energiesektor an: Die Bundesnetzagentur (BNetzA) soll künftig die Aufsicht über Betreiber wahrnehmen, während das BSI die Rolle der zentralen Cybersicherheitsbehörde behält. Diese Doppelstruktur wird vom BEE grundsätzlich unterstützt – vorausgesetzt, die Zuständigkeiten werden klar geregelt und abgestimmt. Genau hier liegt nach Einschätzung vieler Fachleute aber ein Risiko. Denn unklare Schnittstellen zwischen Bundesbehörden können in der Praxis zu Zuständigkeitskonflikten, Verzögerungen oder doppelter Berichtspflicht führen – gerade in kritischen Situationen.
Hinzu kommt die wirtschaftliche Belastung: Viele mittelständische Betreiber haben weder eigene IT-Abteilungen noch Erfahrungen im Aufbau komplexer Sicherheitsstrukturen. Die Einführung von Informationssicherheits-Managementsystemen (ISMS), die Schulung des Personals, die Umsetzung von Notfallplänen und die Anbindung an digitale Meldesysteme erzeugen nicht nur Aufwand, sondern auch Kosten – die bisher in keiner EEG-Vergütung vorgesehen sind. „Zertifizierung, Personal, Technik – das ist für viele in der Fläche einfach nicht leistbar“, sagt ein Geschäftsführer eines Solarunternehmens aus Rheinland-Pfalz. Der Gesetzesentwurf sieht bislang keine abgestuften Anforderungen für Unternehmen mit besonders niedriger Risikostruktur vor.
Der BWE warnt zudem vor einer Ausweitung der Zertifizierungspflichten: Es müsse eindeutig geregelt sein, dass nur solche Anlagen eine verpflichtende Zertifizierung durchlaufen müssen, die im Sinne der BSI-Kritis-Verordnung als kritisch gelten. Für kleinere und mittlere Betreiber müsse es Ausnahmen geben – andernfalls drohe eine Überforderung der Branche und eine Verlangsamung des Ausbaus. Auch die vorgesehenen Sicherheitsüberprüfungen für Schlüsselpersonal hält der Verband für zu unkonkret. Umfang, Inhalt und Ablauf seien bislang nicht nachvollziehbar geregelt.
Mit der NIS-2-Richtlinie der EU kommen deutlich verschärfte Anforderungen an die Cybersicherheit auf Betreiber erneuerbarer Energieanlagen zu. Ziel der Richtlinie ist es, die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber digitalen Angriffen zu stärken – und zwar weit über die bisherigen Kritis-Vorgaben hinaus. Erstmals geraten damit auch kleinere Betreiber von Wind- und Solarparks, Batteriespeichern und virtuellen Kraftwerken in den Fokus, sofern sie eine bestimmte Größe oder Relevanz für die Versorgungssicherheit erreichen. Die Einteilung erfolgt in „wesentliche“ und „wichtige Einrichtungen“, wobei beide Kategorien umfassende Pflichten zur Prävention, Reaktion und Dokumentation erfüllen müssen.
Konkret verlangt NIS 2 die Einführung eines Informationssicherheits-Managementsystems (ISMS), die Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden, regelmäßige Risikoanalysen, technische Schutzmaßnahmen und das Schaffen klarer Verantwortlichkeiten – bis hin zur Geschäftsleitung, die persönlich haftbar gemacht werden kann. Die Umsetzung betrifft nicht nur die IT, sondern alle sicherheitsrelevanten Prozesse im Unternehmen: vom Fernzugriff auf Anlagen bis zur Kommunikation mit Dienstleistern. Gerade in der mittelständisch geprägten Branche der erneuerbaren Energien bringt das erhebliche Herausforderungen mit sich, denn vielerorts fehlen Personal, Knowhow und Ressourcen, um komplexe Anforderungen zu erfüllen.
Zugleich wächst der Handlungsdruck: Cyberattacken auf Energieinfrastruktur nehmen zu, ebenso wie die Erwartung von Politik, Öffentlichkeit und Versicherern, dass Betreiber ihre Systeme aktiv schützen. Lösungen, die standardisierte, wartbare und auditfähige Strukturen bieten, gewinnen deshalb an Bedeutung.
Mehr Verantwortung für Unternehmen
Positiv hebt der BEE hervor, dass die Nutzung gemeinsamer Informationsmanagementsysteme – etwa nach ISO 27001 – mit Partnerunternehmen ausdrücklich erlaubt bleibt. Auch dass sich Betreiber mit identischen Dienstleistern in Teilen zusammenschließen dürfen, um Melde- und Managementpflichten zu erfüllen, wird als Fortschritt gewertet. Doch die grundsätzliche Richtung bleibt: Die NIS-2-Richtlinie verlagert die Verantwortung für Cybersicherheit deutlich stärker auf die Unternehmensseite – und trifft die Branche, die bislang vor allem mit Genehmigungen, Flächenverfügbarkeiten und Förderfragen beschäftigt war, relativ unvorbereitet.
Es ist kein Zufall, dass beide Verbände in ihren Stellungnahmen auf die Notwendigkeit von Entlastungen hinweisen. Gefordert werden unter anderem praxistaugliche Ausnahme- und Vereinfachungsregelungen für Betreiber kleinerer Anlagen, Musterverträge zur Aufgabenübertragung auf Dienstleister sowie eine zentrale Koordinierungsstelle für Einstufung und Meldewesen. Zudem brauche es den politischen Willen, bei der konkreten Umsetzung zwischen Hochrisikoinfrastruktur und dezentralen Erzeugungseinheiten zu differenzieren – und nicht mit einem Sicherheitsmaßstab gießkannenartig über alle hinwegzugehen.
Während auf Bundes- und EU-Ebene über Resilienz, Redundanz und Reaktionsketten diskutiert wird, stehen viele Unternehmen der Erneuerbare-Energien-Branche vor einem tiefgreifenden Umbruch. Ob Windpark, Photovoltaik- oder Biogasanlage: Wer künftig Strom einspeist, muss digitale Verteidigung mitdenken. Die Herausforderung liegt dabei nicht nur in der Technik, sondern in der Frage, wie regulatorische Sicherheit mit wirtschaftlicher Zumutbarkeit und klimapolitischem Ehrgeiz zusammengebracht werden kann.