Cybersicherheit in der Energiewirtschaft: Branchenverbände sehen Fortschritte, fordern aber Nachbesserungen

Cybersicherheit-in-der-Energiewirtschaft

Cybersicherheit in der Energiewirtschaft: Branchenverbände sehen Fortschritte, fordern aber Nachbesserungen

Der Schutz kritischer Infrastrukturen ist eines der zentralen Themen der digitalen Transformation. Die Bundesregierung hat kürzlich einen Entwurf zur Umsetzung der EU-weiten NIS-2-Richtlinie vorgelegt, die europaweit einheitliche Standards für die Cybersicherheit in besonders sensiblen Sektoren schaffen soll. Branchenverbände wie der Bundesverband Erneuerbare Energie (BEE) und der Bundesverband der Energie- und Wasserwirtschaft (BDEW) begrüßen diesen Schritt grundsätzlich – mahnen jedoch an mehreren Stellen Nachbesserungen für die Cybersicherheit in der Energiewirtschaft an.

Die NIS-2-Richtlinie

Die NIS-2-Richtlinie (Network and Information Security) verpflichtet Unternehmen aus kritischen Sektoren wie Energie, Wasser, Gesundheit und Transport dazu, ihre IT-Systeme besser gegen Angriffe zu schützen. Sie schreibt verbindliche Sicherheitsstandards vor und soll europaweit für mehr Einheitlichkeit sorgen. Damit reagiert die EU auf die wachsende Zahl und Professionalität von Cyberangriffen, die nicht nur einzelne Firmen, sondern ganze Versorgungssysteme gefährden können. Der aktuelle Gesetzesentwurf der Bundesregierung legt fest, wie diese Vorgaben in deutsches Recht übertragen werden sollen.

Ein wesentlicher Unterschied zur Vorgängerrichtlinie NIS-1 ist die deutlich breitere Anwendung: Unter NIS-2 fallen künftig nicht nur große Konzerne, sondern auch viele mittelständische Unternehmen, die bisher nicht erfasst waren. Sie müssen unter anderem ein systematisches Risikomanagement einführen, regelmäßige Sicherheitsüberprüfungen dokumentieren und schwerwiegende Vorfälle innerhalb von 24 Stunden melden. Verstöße können mit erheblichen Bußgeldern geahndet werden – ein Signal, dass Cybersicherheit künftig als Pflichtaufgabe auf höchster Ebene verankert werden muss.

Kommentar des Bundesverbands Erneuerbare Energie zur Cybersicherheit in der Energiewirtschaft

Insbesondere begrüßte BEE-Präsidentin Simone Peter die geplante Bündelung der behördlichen Zuständigkeit bei der Bundesnetzagentur (BNetzA). Zudem seien die verpflichtenden Risikomaßnahmen für kritische Anlagen verbunden mit der Möglichkeit, gemeinsame Systeme zum Informationsmanagement bei verbundenen Unternehmen einzuführen, aus BEE-Sicht durchaus sinnvoll.

„Die Bundesregierung geht mit dem Entwurf einen wichtigen Schritt in Richtung besserer Cybersicherheit“, erklärt Simone Peter. „Aber gerade für kleinere Betreiber kritischer Infrastruktur müssen die Anforderungen umsetzbar und verhältnismäßig bleiben.“

Der BEE betont insbesondere die Rolle der erneuerbaren Energien in einem zunehmend dezentralen Energiesystem. Viele der betroffenen Unternehmen seien kleinere oder mittelständische Betriebe, die nicht über dieselben Ressourcen verfügen wie große Konzerne. Zu strenge oder kurzfristige Anforderungen könnten in der Praxis kontraproduktiv wirken und bestehende Sicherheitsstrukturen sogar schwächen.

Bundesverband der Energie- und Wasserwirtschaft schließt sich an

Auch der BDEW teilt diese Einschätzung. Der Verband fordert realistische Übergangsfristen und einen klaren rechtlichen Rahmen, der Spielraum für technische Innovation lässt. „Cybersicherheit darf nicht durch Bürokratie ausgebremst werden“, heißt es in einer Stellungnahme des Verbands. Besonders wichtig sei eine praxisnahe Ausgestaltung der Meldepflichten und Sicherheitsstandards, die sich an realen Betriebsprozessen orientieren.

Cybersicherheit in der Energiewirtschaft – engere Einbindung der Branchen

Zudem fordern beide Verbände eine engere Einbindung der Branchen in die Ausgestaltung der Detailregelungen. Sie sprechen sich für einen strukturierten Dialog zwischen Behörden, Wissenschaft und Wirtschaft aus, um tragfähige und effiziente Lösungen zu entwickeln. Nur durch eine partnerschaftliche Zusammenarbeit könnten die ambitionierten Ziele der NIS-2-Richtlinie erreicht werden.

Finanzierbarkeit sicherstellen

Ein weiteres Thema ist die Finanzierung der neuen Sicherheitsmaßnahmen. Sowohl BEE als auch BDEW weisen darauf hin, dass insbesondere kleinere Unternehmen bei der Umsetzung der technischen und organisatorischen Maßnahmen unterstützt werden müssen – etwa durch Förderprogramme, Beratung oder Standardisierungshilfen.

Aus Sicht der Verbände ist klar: Die Bedrohung durch Cyberangriffe ist real und nimmt stetig zu. Gleichzeitig dürfe eine Verschärfung der gesetzlichen Anforderungen nicht zu einem Rückschritt in der Digitalisierung führen. Der Gesetzgeber sei nun gefordert, einen ausgewogenen Rahmen zu schaffen, der sowohl Sicherheit als auch Innovationskraft stärkt.

Der Hintergrund

Die NIS-2-Richtlinie ersetzt die bisherige NIS-Richtlinie aus dem Jahr 2016 und weitet den Anwendungsbereich deutlich aus. Künftig sollen deutlich mehr Unternehmen unter die neuen Regelungen fallen – darunter auch viele Mittelständler, die bislang nicht in den Geltungsbereich fielen. Der aktuelle Gesetzentwurf befindet sich derzeit in der Verbändeanhörung.

Im Fokus stehen dabei vor allem Betreiber sogenannter „wesentlicher“ und „wichtiger“ Einrichtungen, die künftig verpflichtend Mindeststandards in der Cybersicherheit einführen und schwerwiegende Sicherheitsvorfälle binnen 24 Stunden melden müssen. Die Einordnung erfolgt branchenübergreifend anhand von Schwellenwerten wie Unternehmensgröße oder Umsatz – unabhängig davon, ob bereits ein konkretes Risiko identifiziert wurde. Für viele Betriebe bedeutet das einen erheblichen organisatorischen und finanziellen Mehraufwand.

Schreibe einen Kommentar

DSGVO Cookie Consent mit Real Cookie Banner