Ab wann gilt ein Energieversorger als NIS2-pflichtig?

Energieversorger fallen unter NIS2 Anhang I Nr. 1 (Energie) als Wesentliche Einrichtungen, sobald sie Strom, Gas, Fernwärme oder Öl in einer Weise liefern, die für die gesellschaftliche Versorgung relevant ist. Netzbetreiber (Übertragungs- und Verteilernetze) unterliegen NIS2 unabhängig von der Unternehmensgröße; Erzeuger und Lieferanten ab mittlerer Größe (50 MA oder 10 Mio. EUR Umsatz nach KMU-Empfehlung 2003/361/EG Art. 2). Die genaue Einstufung hängt von der Tätigkeit (Erzeugung, Übertragung, Verteilung, Lieferung) ab.

Was ist der Unterschied zwischen NIS2 und KRITIS für Energieversorger?

NIS2 (Anhang I Nr. 1) gilt für Energieversorger ab mittlerer Unternehmensgröße oder als Netzbetreiber ohne Größenschwelle. KRITIS nach BSI-KritisV § 2 Anhang 1 greift bei Strom ab 420 MW installierter Erzeugungsleistung bzw. 3.700 GWh/Jahr Netzentnahme, bei Gas ab 5.190 GWh/Jahr. Energieversorgung ist ein Sektor, in dem NIS2 und KRITIS regelmäßig gleichzeitig gelten; Übertragungsnetzbetreiber unterliegen beiden Regimen. Zusätzlich gilt § 11 EnWG mit IT-Sicherheitspflichten für Netzbetreiber.

Welche OT/SCADA-Schutzpflichten gelten für Energieversorger nach NIS2?

§ 30 BSIG-neu verlangt für Energieversorger insbesondere den Schutz von Netzleitsystemen (EMS/DMS), Fernwirkanlagen (RTU, IED) und SCADA-Infrastruktur. Pflichtmaßnahmen umfassen: Netzwerksegmentierung OT/IT, Schutz von Kommunikationsprotokollen (IEC 60870-5-104, IEC 61850), Patch-Management für Feldgeräte und Notfallpläne für Versorgungsunterbrechungen. Das BSI-IT-Sicherheitskatalog der Bundesnetzagentur enthält ergänzende Anforderungen für Netzbetreiber.

Welche Bußgelder drohen Energieversorgern bei NIS2-Verstößen?

Als Wesentliche Einrichtungen nach Anhang I riskieren Energieversorger nach § 65 BSIG-neu Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für KRITIS-Betreiber können zusätzlich Zwangsgelder nach § 53 BSIG-neu verhängt werden. Netzbetreiber können außerdem nach EnWG § 95 mit Bußgeldern belegt werden, wenn IT-Sicherheitspflichten nach § 11 EnWG verletzt wurden.

Was bedeuten NIS2-Lieferkettenpflichten für Energieversorger?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet Energieversorger zur Absicherung der Lieferkette. Betroffen sind Anbieter von Netzleittechnik (z. B. Siemens, ABB, Schneider Electric), SCADA-Systemen, Smart-Meter-Infrastruktur und Fernwartungsdienstleister. Lieferverträge müssen Sicherheitsanforderungen, Schwachstellenmanagement und Auditrechte enthalten. Die BDEW-Whitepaper zu Anforderungen an sichere Steuerungs- und Telekommunikationssysteme liefern ergänzende Vorgaben.

Wann müssen Energieversorger beim BSI registrieren?

§ 33 BSIG-neu verlangt die Registrierung innerhalb von drei Monaten nach Feststellung der NIS2-Betroffenheit. Netzbetreiber und andere Wesentliche Einrichtungen nach Anhang I sind i. d. R. ab Inkrafttreten des BSIG-neu direkt registrierungspflichtig. KRITIS-Betreiber müssen sich zusätzlich nach § 8a BSIG beim BSI als Betreiber kritischer Infrastruktur registrieren; diese Registrierung erfolgt über einen eigenen BSI-Prozess.

Haften Geschäftsführer von Energieversorgern persönlich für NIS2?

§ 38 BSIG-neu verpflichtet Geschäftsleitungen zur Billigung, Überwachung und Schulung bei Cybersicherheitsmaßnahmen. Bei schuldhafter Verletzung droht persönliche Haftung. Für Netzbetreiber erhöht sich das Risiko durch parallele Pflichten nach EnWG und BSIG-neu; Überschneidungen zwischen IT-Sicherheitskatalog der Bundesnetzagentur und NIS2 sollten in einem integrierten Compliance-Management-System koordiniert werden.

Branchengenauer Self-Check

Ist mein Energieversorger von NIS2 betroffen?

Strom, Gas, Fernwärme, Öl: NIS2 greift unter Anhang I. KRITIS-Schwellen unterscheiden sich pro Sparte - dieser Rechner prüft alle.

Schritt 1 / 2

Versorgungsart und Betriebsstruktur

NIS2 Anhang I Nr. 1 erfasst Energieversorger und Netzbetreiber. Kreuze an, was auf deinen Betrieb zutrifft.

Versorgung von Endkunden mit Strom, Gas, Fernwärme oder MineralölHaushalte, Gewerbe, Industrie - direkter Vertriebs-/VerteilbetriebBetrieb von Übertragungs- oder VerteilnetzenStromnetz, Gasnetz, Fernwärmeleitungen, Öl-Pipelines - inkl. SCADA/LeitwarteEigene Erzeugung oder ImportKraftwerke, Gasspeicher, Heizkraftwerke, RaffinerienVersorgung von über 10.000 AnschlussnehmernIndikator für überregionale Versorgungsrelevanz

Schritt 2 / 2

Unternehmensgröße und spartenspezifische Kennzahlen

Energieversorger: Der vollständige NIS2-Leitfaden

Energieversorger - Strom, Gas, Fernwärme, Öl - sind nach NIS2-Anhang I Nr. 1 (Energie) als Wesentliche Einrichtung eingestuft, wenn sie die KRITIS-Schwellen der BSI-KritisV überschreiten. Unterhalb dieser Schwellen fallen Energieversorger unter Anhang II. Die Regulierungsdichte ist in diesem Sektor besonders hoch: NIS2, EnWG und der BSI-IT-Sicherheitskatalog überlagern sich. Dieser Leitfaden richtet sich an Compliance-Verantwortliche, IT-Leiter und Geschäftsführer bei Energieversorgungsunternehmen.

Wer ist betroffen?

Stromnetzbetreiber, Gasnetzbetreiber, Stromproduzenten und Energiehändler fallen unter NIS2-Anhang I Nr. 1 (Energie), wenn sie KRITIS-Schwellen der BSI-KritisV erreichen: Für Strom ca. 420.000 Einwohner im Versorgungsgebiet oder 36 MW Nennleistung.

Unterhalb dieser Schwellen - oder ohne Netzbetrieb - fallen Energieversorger unter NIS2-Anhang II Nr. 1 und sind Wichtige Einrichtung, wenn sie 50+ Mitarbeitende oder 10+ Mio. EUR Umsatz haben.

Ein regionaler Stadtwerke-Betrieb mit 150 Mitarbeitenden, Stromnetz und Fernwärmeversorgung einer Stadt mit 80.000 Einwohnern ist Wesentliche Einrichtung nach NIS2-Anhang I.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu fordert sieben Pflichtkategorien, die für Energieversorger mit ihrer Kombination aus IT und Betriebstechnik (OT) besonders relevant sind:

Risikoanalyse und -management: SCADA-Systeme, Netzleittechnik (EMS/DMS), Fernwirktechnik, Smart-Meter-Infrastruktur und kaufmännische IT müssen ganzheitlich bewertet werden.
Incident Handling: Netzausfälle durch Cyberangriffe sind hochprioritäre Vorfälle. Koordination mit Bundesnetzagentur, BSI und bei Bedarf BKA ist vorzubereiten.
Business Continuity: Wesentliche und kritische Einrichtungen müssen 24/7-Notfallbetrieb sicherstellen können. Manuelle Netzführungsverfahren für SCADA-Ausfall sind zu testen.
Supply-Chain-Sicherheit: Lieferanten von Netzleittechnik, Smart-Meter-Systemen, Fernwirktechnik und Cloud-Diensten müssen auf Sicherheitsstandards bewertet werden.
Zugangskontrolle und MFA: Zugang zu Leitstellensystemen, Fernwirktechnik und kaufmännischen Systemen muss durch MFA abgesichert sein. Besonders: Remote-Zugriffe auf Umspannwerke und Netzknoten.
Verschlüsselung: Netzwerkprotokolle in der OT-Kommunikation müssen gesichert sein. Smart-Meter-Kommunikation (SMGW) ist nach BSI TR-03109 verschlüsselt.
Schulung und Awareness: Netzführungspersonal, IT-Mitarbeitende und Verwaltung müssen regelmäßig geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu binnen drei Monaten. Für Sicherheitsvorfälle nach § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Energieversorger im KRITIS-Bereich hatten bereits nach IT-SiG 1.0 Meldepflichten gegenüber dem BSI. Diese Pflichten werden durch NIS2 verschärft und auf mehr Einrichtungen ausgeweitet.

Bußgelder und persönliche Haftung

Wesentliche Einrichtung (Anhang I): bis 10 Mio. EUR oder 2 % Umsatz. Wichtige Einrichtung (Anhang II): bis 7 Mio. EUR oder 1,4 % Umsatz.

§ 38 BSIG-neu: Persönliche Haftung der Geschäftsleitung. Dazu kommen energierechtliche Sanktionen bei Netzausfällen und Regulierungsrisiken durch die Bundesnetzagentur.

BSI-KritisV-Schwellen und EnWG § 11 IT-Sicherheitskatalog kombiniert anwenden

§ 11 Abs. 1a EnWG verpflichtet Netzbetreiber dazu, "angemessene organisatorische und technische Vorkehrungen" zur IT-Sicherheit zu treffen. Das BSI hat dazu den IT-Sicherheitskatalog für Energie herausgegeben, der auf ISO 27001 als Grundlage verweist.

Die Überschneidung mit NIS2: Der IT-Sicherheitskatalog deckt viele technisch-organisatorische Maßnahmen ab, die auch § 30 BSIG-neu verlangt. Wer den IT-Sicherheitskatalog bereits umgesetzt hat, erfüllt damit Kernteile von NIS2.

Was NIS2 zusätzlich bringt: Strengere Meldepflichten (24-Stunden-Erstmeldung), persönliche Geschäftsführerhaftung (§ 38 BSIG-neu) und erweiterte Lieferkettenpflichten (§ 30 Abs. 2 Nr. 4 BSIG-neu). Energieversorger, die den IT-Sicherheitskatalog umgesetzt haben, sollten eine Gap-Analyse für die spezifisch NIS2-bedingten Erweiterungen durchführen.

Erste Schritte

Bestimme deine Einstufung: Wesentliche Einrichtung (Anhang I, KRITIS-Schwelle) oder Wichtige Einrichtung (Anhang II)?
Führe eine Gap-Analyse zwischen bestehendem IT-Sicherheitskatalog-Status und NIS2-Anforderungen durch.
Prüfe alle Fernzugriffe auf Netzleittechnik und Umspannwerke.
Kartiere alle OT-Systeme und deren Netzwerkanbindung.
Erstelle einen Incident-Response-Plan, der BSI, Bundesnetzagentur und CERT-Koordination einschließt.
Prüfe alle Lieferantenverträge für Netzleittechnik und OT-Systeme auf Sicherheitsklauseln.
Registriere dich beim BSI.

Typische Fehler vermeiden

OT-Systeme separat von IT-Sicherheitsmanagement behandelt: IT-SiKat und NIS2 erfordern ein integriertes ISMS, das OT und IT umfasst.

Smart-Meter-Infrastruktur nicht bewertet: Das Smart Meter Gateway (SMGW) und die zugehörige Kommunikationsinfrastruktur sind NIS2-relevante Systeme.

Meldepflichten beim IT-SiKat ≠ NIS2-Meldepflichten: Die NIS2-Meldekette (24h/72h/30d) ist strenger als bisherige Meldepflichten nach IT-SiG 1.0.

Lieferantenanforderungen nicht auf OT-Hersteller ausgedehnt: Netzleittechnik-Hersteller und SCADA-Anbieter sind kritische Lieferanten nach § 30 Abs. 2 Nr. 4 BSIG-neu.

Bilaterale Meldepflichten nicht koordiniert: Bei Vorfällen müssen BSI, Bundesnetzagentur und ggf. CERT-Energie koordiniert informiert werden. Wer nur eine Stelle meldet, erfüllt seine Pflichten nicht vollständig.

Besonderheit: Dezentrale Erzeugung und neue Angriffsflächen

Die Energiewende verändert die Angriffsfläche für Energieversorger erheblich. Dezentrale Erzeugungsanlagen (PV, Wind, Batteriespeicher), virtuelle Kraftwerke und Smart-Grid-Infrastruktur erzeugen neue IT-Verbindungen, die in vielen bestehenden Sicherheitskonzepten noch nicht adressiert sind.

Konkret: Ein Aggregator, der Tausende Heimspeicher über eine Cloud-Plattform steuert, schafft eine riesige Angriffsfläche. Ein Angreifer, der die Aggregator-Plattform kompromittiert, kann koordinierte Laständerungen auslösen, die die Netzstabilität gefährden.

§ 30 BSIG-neu verlangt dafür eine umfassende Risikoanalyse, die auch neue Geschäftsmodelle und dezentrale Ressourcen einbezieht. Der IT-Sicherheitskatalog des BSI wird voraussichtlich für dezentrale Systeme angepasst werden. Energieversorger, die heute schon dezentrale Ressourcen aggregieren, sollten diese proaktiv in ihre NIS2-Risikoanalyse aufnehmen.

Nutze den branchengenauen NIS2-Rechner für Energieversorger, um deine Einstufung zu klären.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist mein Energieversorger von NIS2 betroffen?

Energieversorger: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

BSI-KritisV-Schwellen und EnWG § 11 IT-Sicherheitskatalog kombiniert anwenden

Erste Schritte

Typische Fehler vermeiden

Besonderheit: Dezentrale Erzeugung und neue Angriffsflächen

Häufig gestellte Fragen

01Ab wann gilt ein Energieversorger als NIS2-pflichtig?

02Was ist der Unterschied zwischen NIS2 und KRITIS für Energieversorger?

03Welche OT/SCADA-Schutzpflichten gelten für Energieversorger nach NIS2?

04Welche Bußgelder drohen Energieversorgern bei NIS2-Verstößen?

05Was bedeuten NIS2-Lieferkettenpflichten für Energieversorger?

06Wann müssen Energieversorger beim BSI registrieren?

07Haften Geschäftsführer von Energieversorgern persönlich für NIS2?