Die NIS-2-Richtlinie bringt weitreichende Veränderungen für Betreiber kritischer Infrastrukturen in der EU – insbesondere durch die deutlich ausgeweitete Zahl betroffener Unternehmen. In Deutschland, wie auch in einigen anderen Mitgliedstaaten, hinkt die Umsetzung allerdings hinterher. Aktuell liegt ein Referentenentwurf vom Juni 2025 vor: das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Es baut in weiten Teilen auf dem Entwurf der vorherigen Bundesregierung auf und soll bis Jahresende verabschiedet werden.
Der Gesetzgeber bleibt dabei seiner Linie treu – nun allerdings in etwas entschärfter und jedenfalls weniger evident EU-rechtswidriger Weise – nebensächliche Geschäftstätigkeiten aus dem Geltungsbereich auszuklammern. Gerade für den Energiesektor ist das eine sinnvolle Klarstellung. Denn für Einrichtungen wie Erzeugungsanlagen oder Ladestationen ist es unerheblich, ob sie dem Hauptwirtschaftszweck eines Unternehmens dienen. Ohne eine solche Einschränkung könnte etwa jede einzelne Photovoltaikanlage auf einem Unternehmensdach oder jede Ladesäule auf einem Mitarbeiterparkplatz in den Anwendungsbereich der Regulierung fallen – und das, obwohl es sich um rein nebensächliche Tätigkeiten handelt.
Zugleich bleibt die Regulierung im Energiesektor unnötig komplex. Das liegt vor allem daran, dass der deutsche Gesetzgeber auch nach Umsetzung der NIS-2-Vorgaben am Konzept des Betreibers kritischer Anlagen festhält – zusätzlich zur systemischen Perspektive auf Unternehmen als „wesentliche“ oder „wichtige“ Einrichtungen, wie es die Richtlinie vorsieht. Für betroffene Energieunternehmen bedeutet das: Sie unterliegen entweder dem reformierten Energiewirtschaftsgesetz (EnWG), dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) – oder womöglich beiden Regelwerken. Damit drohen unterschiedliche Anforderungen an die Umsetzung von Sicherheitsmaßnahmen. Unklar bleibt zudem, wen künftig die Zertifizierungspflicht nach dem von der Bundesnetzagentur (BNetzA) entwickelten IT-Sicherheitskatalog konkret treffen wird.
Trotz dieser noch offenen Detailfragen sollten Unternehmen nicht auf eine endgültige Klärung durch den Gesetzgeber warten. Vielmehr bietet der aktuelle Entwurf – gerade im Energiesektor – bereits jetzt eine solide Grundlage, um sich vorzubereiten: Unternehmen können zuverlässig prüfen, ob sie unter die neue Regulierung fallen und welche Pflichten oder technischen Maßnahmen damit verbunden sind. Bei diesen Kernpunkten ist im weiteren Gesetzgebungsverfahren kaum noch mit wesentlichen Änderungen zu rechnen.
Das gilt ebenso für Betreiber kritischer Anlagen im Sinne der Kritis-Verordnung. Auch sie wird im Zuge der NIS-2-Umsetzung angepasst. Es ist jedoch nicht zu erwarten, dass der Gesetzgeber – oder das BSI – größere Anlagentypen ausnehmen oder Schwellenwerte nennenswert anheben wird. Die derzeit gültige Kritis-Verordnung bietet daher ausreichend Orientierung, um fundierte Betroffenheitsanalysen durchzuführen und gegebenenfalls notwendige Compliance-Maßnahmen frühzeitig zu ergreifen.
*An dieser Stelle lesen Sie einen Gastbeitrag, der nicht notwendigerweise die Meinung der Redaktion wiedergibt. Für den Inhalt sind die jeweiligen Autoren verantwortlich.