NIS2 für KRITIS-Betreiber

Warum NIS2 Stadtwerke und Versorger betrifft

Mit der NIS2-Richtlinie (EU 2022/2555) hat die Europäische Union den Anwendungsbereich der Cybersicherheitsregulierung massiv erweitert. Während die ursprüngliche NIS-Richtlinie von 2016 in Deutschland nur eine überschaubare Zahl von KRITIS-Betreibern erfasste, zieht NIS2 den Kreis deutlich weiter. Für Stadtwerke, Energieversorger, Wasserwerke und Entsorgungsbetriebe bedeutet das: Die Wahrscheinlichkeit, unter die neuen Pflichten zu fallen, ist erheblich gestiegen.

NIS2 unterscheidet zwischen zwei Kategorien: "besonders wichtige Einrichtungen" und "wichtige Einrichtungen". Die Einstufung hängt von Sektor, Unternehmensgröße und gesellschaftlicher Bedeutung ab. Besonders wichtige Einrichtungen unterliegen einer proaktiven Aufsicht durch das BSI, während wichtige Einrichtungen einer reaktiven Aufsicht unterliegen, also erst bei konkreten Anhaltspunkten geprüft werden. Beide Kategorien müssen jedoch dieselben technischen und organisatorischen Maßnahmen umsetzen.

Für kommunale Versorger ist die Betroffenheit oft unklar. Viele Stadtwerke fallen mit ihren Sparten Strom, Gas, Wasser und Fernwärme in mehrere NIS2-Sektoren gleichzeitig. Selbst kleinere Betriebe mit 50 bis 249 Beschäftigten können als wichtige Einrichtung eingestuft werden, wenn sie in einem der erfassten Sektoren tätig sind. Die bisherige KRITIS-Schwellenwertlogik (z. B. 500.000 versorgte Personen bei Strom) gilt für NIS2 nicht mehr. NIS2 arbeitet mit der sogenannten Size-Cap-Regel: Ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz bist du grundsätzlich im Anwendungsbereich.

NIS2-Anforderungen im Detail

Die NIS2-Richtlinie definiert in Artikel 21 einen umfangreichen Katalog von Maßnahmen, die betroffene Einrichtungen umsetzen müssen. Diese Anforderungen gehen weit über die bisherigen KRITIS-Pflichten hinaus und betreffen sowohl technische als auch organisatorische Aspekte der Cybersicherheit.

Risikomanagement nach Art. 21

Im Kern verlangt NIS2 ein risikobasiertes Cybersicherheitsmanagement. Für Stadtwerke bedeutet das: Du musst systematisch erfassen, welche IT- und OT-Systeme für deine Versorgungsleistung kritisch sind, welche Bedrohungen auf diese Systeme einwirken und welche Maßnahmen du dagegen ergriffen hast. Das betrifft Leitsysteme in der Energieversorgung ebenso wie kaufmännische IT-Systeme, Fernwirktechnik und Netzleitstellen. Ein dokumentiertes Risikomanagementsystem ist keine optionale Empfehlung mehr, sondern gesetzliche Pflicht. Die Risikobewertung muss regelmäßig aktualisiert und an veränderte Bedrohungslagen angepasst werden.

Meldepflichten: 24 Stunden, 72 Stunden, 1 Monat

NIS2 verschärft die Meldepflichten bei Sicherheitsvorfällen erheblich. Das dreistufige Meldesystem sieht vor:

• Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls. Diese Erstmeldung muss angeben, ob der Vorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und ob grenzüberschreitende Auswirkungen zu erwarten sind.
• Vorfallmeldung innerhalb von 72 Stunden mit einer ersten Bewertung des Vorfalls, seiner Schwere und Auswirkungen sowie, soweit verfügbar, der Kompromittierungsindikatoren (Indicators of Compromise).
• Abschlussbericht innerhalb eines Monats mit detaillierter Beschreibung des Vorfalls, der Ursachenanalyse, der ergriffenen Gegenmaßnahmen und der grenzüberschreitenden Auswirkungen.

Für ein Stadtwerk, das möglicherweise am Wochenende einen Ransomware-Angriff auf die Netzleitstelle erlebt, sind diese Fristen extrem ambitioniert. Ohne vorbereitete Meldeprozesse und klare interne Zuständigkeiten wirst du die 24-Stunden-Frist nicht einhalten können. Ein strukturiertes Incident-Management-System mit vordefinierten Meldewegen ist hier unverzichtbar.

Supply-Chain-Security

Artikel 21 Absatz 2 Buchstabe d verlangt die Sicherheit der Lieferkette. Für Stadtwerke und Versorger heißt das konkret: Du musst die Cybersicherheitsrisiken bewerten, die von deinen IT-Dienstleistern, Softwareanbietern, OT-Lieferanten und Cloud-Providern ausgehen. Das betrifft den Anbieter deiner Leitsystemsoftware ebenso wie den IT-Dienstleister, der dein Netzwerk betreut, oder den Cloud-Service für deine Kundenkommunikation. Ein zentrales Dienstleister-Management mit dokumentierter Risikobewertung jedes Lieferanten ist notwendig. Verträge müssen Sicherheitsanforderungen, Auditrechte und Meldepflichten enthalten.

Business Continuity und Krisenmanagement

NIS2 verlangt Maßnahmen zur Aufrechterhaltung des Betriebs (Business Continuity Management) und zur Bewältigung von Krisen. Für einen Energieversorger bedeutet das: Du brauchst dokumentierte Notfallpläne für den Ausfall kritischer IT- und OT-Systeme, regelmäßige Tests dieser Pläne (z. B. Tabletop-Übungen oder Notfallsimulationen) und definierte Wiederherstellungsziele (RTO/RPO) für jedes kritische System. Die Geschäftsleitung muss diese Pläne kennen, freigeben und an Übungen teilnehmen. Business Continuity ist keine reine IT-Aufgabe, sondern eine Leitungsverantwortung.

Schwellenwerte und Betroffenheit: Fällst du unter NIS2?

Die Betroffenheitsanalyse ist der erste und wichtigste Schritt. NIS2 erfasst Unternehmen in 18 Sektoren, von denen mehrere für kommunale Versorger und Infrastrukturbetreiber relevant sind:

• Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff): Betreiber von Verteilnetzen, Erzeugungsanlagen, Speichern und Ladepunkten
• Trinkwasser: Betreiber von Wasserversorgungsanlagen, Aufbereitungsanlagen und Verteilnetzen
• Abwasser: Betreiber von Kläranlagen und Abwasserinfrastruktur
• Abfallwirtschaft: Entsorgungsbetriebe und Betreiber von Verwertungsanlagen
• Transport und Verkehr: ÖPNV-Betreiber, Straßenverkehrsmanagement, Hafenbetreiber

Die Size-Cap-Regel bestimmt die grundsätzliche Betroffenheit: Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von mindestens 10 Mio. EUR, die in einem der genannten Sektoren tätig sind, fallen unter NIS2. Für die Einstufung als besonders wichtige Einrichtung gelten höhere Schwellen: ab 250 Beschäftigten oder ab 50 Mio. EUR Umsatz. Wichtig: Ein Stadtwerk mit 80 Mitarbeitenden, das Strom und Wasser liefert, ist mit hoher Wahrscheinlichkeit mindestens eine "wichtige Einrichtung" im Sinne der NIS2.

Unabhängig von der Größe können Unternehmen auch dann unter NIS2 fallen, wenn sie als einziger Anbieter einer wesentlichen Dienstleistung in einem Mitgliedstaat gelten oder wenn ein Sicherheitsvorfall erhebliche Auswirkungen auf die öffentliche Ordnung oder Sicherheit hätte. Für kommunale Wasserversorger in ländlichen Regionen kann das relevant sein, selbst wenn sie die Size-Cap-Schwelle nicht erreichen.

NIS2 vs. KRITIS (IT-SiG 2.0): Was gilt parallel?

Für Betreiber kritischer Infrastrukturen in Deutschland entsteht durch NIS2 eine Doppelregulierung. Die bestehende KRITIS-Regulierung nach dem BSI-Gesetz (BSIG) und der BSI-Kritisverordnung gilt weiterhin. NIS2 wurde durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) seit dem 06.12.2025 in deutsches Recht überführt und ergänzt die bestehende KRITIS-Regulierung. Beide Regelwerke existieren parallel.

Die wichtigsten Überlappungen und Unterschiede:

• Schwellenwerte: KRITIS arbeitet mit versorgungsbezogenen Schwellenwerten (z. B. 500.000 versorgte Personen bei Strom). NIS2 nutzt die Size-Cap-Regel (Unternehmensgröße). Beide Systeme können gleichzeitig greifen.
• Meldepflichten: KRITIS kennt eine unverzügliche Meldung an das BSI. NIS2 führt das dreistufige Meldesystem ein (24h/72h/1 Monat). Betreiber, die unter beide Regelwerke fallen, müssen beide Meldewege bedienen.
• Nachweispflicht: KRITIS verlangt alle zwei Jahre einen Nachweis nach BSIG Paragraf 8a (z. B. durch ISO 27001-Zertifizierung oder BSI IT-Grundschutz). NIS2 kennt keine vergleichbare periodische Nachweispflicht, sondern setzt auf die Aufsicht durch das BSI.
• Maßnahmenkatalog: Die inhaltlichen Anforderungen an technische und organisatorische Maßnahmen überlappen stark. Wer bereits KRITIS-konform aufgestellt ist, hat einen Großteil der NIS2-Anforderungen bereits erfüllt.

Die praktische Konsequenz: Wenn du bereits als KRITIS-Betreiber reguliert bist, kommen durch NIS2 vor allem die erweiterten Meldepflichten, die Supply-Chain-Anforderungen und die Geschäftsführerhaftung hinzu. Wenn du bisher nicht als KRITIS eingestuft warst, aber die NIS2-Schwellenwerte erreichst, musst du ein vollständiges Informationssicherheits-Managementsystem aufbauen. Der BSI IT-Grundschutz bietet dafür einen bewährten Umsetzungsrahmen.

Umsetzungsfahrplan für Stadtwerke

Die Umsetzung der NIS2-Anforderungen ist kein Sprint, sondern ein strukturierter Prozess. Für Stadtwerke und Versorger empfiehlt sich ein pragmatischer Fahrplan in fünf Phasen:

Phase 1: Betroffenheitsanalyse (jetzt verpflichtend)

Kläre zuerst, ob und in welcher Kategorie du unter NIS2 fällst. Prüfe alle Sparten deines Stadtwerks einzeln: Strom, Gas, Wasser, Fernwärme, Abwasser, Abfallentsorgung. Dokumentiere Mitarbeiterzahlen, Umsätze und die versorgten Gebiete. Wenn du bereits KRITIS-Betreiber bist, halte fest, welche zusätzlichen NIS2-Pflichten hinzukommen. Diese Analyse bildet die Grundlage für alle weiteren Schritte.

Phase 2: Gap-Analyse (Monat 1 bis 3)

Vergleiche deinen aktuellen Sicherheitsstand mit den NIS2-Anforderungen aus Artikel 21. Nutze den NIS2-Anforderungskatalog als Checkliste und identifiziere Lücken. Typische Schwachstellen bei Stadtwerken sind: fehlendes OT-Risikomanagement, keine dokumentierten Meldeprozesse, unvollständige Lieferantenbewertungen und fehlende Business-Continuity-Tests. Die Gap-Analyse sollte sowohl IT- als auch OT-Systeme umfassen, denn NIS2 unterscheidet nicht zwischen klassischer IT und operativer Technologie.

Phase 3: Maßnahmenplanung (Monat 3 bis 6)

Priorisiere die identifizierten Lücken nach Risiko und Umsetzungsaufwand. Beginne mit den Maßnahmen, die den größten Sicherheitsgewinn bei vertretbarem Aufwand bringen: Etablierung eines Risikomanagementprozesses, Einrichtung von Meldewegen, Dokumentation der Asset-Landschaft. Erstelle einen realistischen Umsetzungsplan mit Verantwortlichkeiten, Meilensteinen und Budget. Stelle sicher, dass die Geschäftsleitung diesen Plan kennt und freigibt.

Phase 4: Umsetzung (Monat 6 bis 18)

Setze die geplanten Maßnahmen um. Das umfasst typischerweise: Aufbau oder Verbesserung des ISMS, Implementierung eines Risikomanagement-Tools, Einrichtung von Incident-Response-Prozessen, Schulung der Mitarbeitenden, Durchführung von Business-Continuity-Tests und Aufbau eines Lieferanten-Risikomanagements. Dokumentiere jeden Schritt sorgfältig, denn die Nachweisfähigkeit ist ein zentrales Element der NIS2-Compliance. Ein Tool wie Kopexa kann diesen Prozess erheblich beschleunigen, weil es alle Nachweise zentral zusammenführt und den Umsetzungsstand transparent macht.

Phase 5: Kontinuierliche Verbesserung (fortlaufend)

NIS2-Compliance ist kein Zustand, sondern ein Prozess. Regelmäßige Risikobewertungen, Audits, Tests und Schulungen sind notwendig, um das Sicherheitsniveau zu halten und an neue Bedrohungen anzupassen. Nutze Vorfälle und Beinahe-Vorfälle als Lernmöglichkeiten und fließe die Erkenntnisse in die Verbesserung deiner Maßnahmen ein.

Bußgelder und persönliche Haftung der Geschäftsleitung

NIS2 gibt den nationalen Aufsichtsbehörden deutlich schärfere Sanktionsinstrumente als die bisherige KRITIS-Regulierung. Die Bußgeldrahmen unterscheiden sich je nach Einstufung:

• Besonders wichtige Einrichtungen: Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
• Wichtige Einrichtungen: Bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Besonders brisant ist die persönliche Haftung der Geschäftsleitung. NIS2 macht die Leitungsorgane explizit verantwortlich für die Genehmigung und Überwachung der Cybersicherheitsmaßnahmen. Die Geschäftsleitung muss an Schulungen teilnehmen und kann bei Pflichtverletzungen persönlich haftbar gemacht werden. Für Geschäftsführer kommunaler Stadtwerke ist das eine neue Dimension: Cybersicherheit ist nicht mehr nur ein technisches Thema, das an die IT-Abteilung delegiert werden kann, sondern eine persönliche Leitungspflicht mit individuellen Haftungsfolgen.

Neben finanziellen Sanktionen kann das BSI als zuständige Aufsichtsbehörde auch Anordnungen erlassen: Umsetzung bestimmter Maßnahmen, Durchführung von Audits oder im Extremfall die vorübergehende Untersagung der Leitungsfunktion für verantwortliche Personen. Die Sanktionsregeln machen deutlich: NIS2 ist kein weiches Regelwerk, dessen Nichteinhaltung folgenlos bleibt.

Kopexa für NIS2-Compliance in der Versorgungswirtschaft

Die Umsetzung der NIS2-Anforderungen ist für Stadtwerke und Versorger eine erhebliche Aufgabe. Kopexa wurde entwickelt, um genau diese Aufgabe handhabbar zu machen. Die Plattform enthält ein fertiges NIS2-Framework, das alle Anforderungen aus Artikel 21 der Richtlinie als umsetzbare Controls abbildet. Du startest nicht bei null, sondern arbeitest direkt mit einem strukturierten Anforderungskatalog (ab 249 EUR/Monat). Kopexa unterstützt dich bei der systematischen Umsetzung, Dokumentation und Nachweisführung.

Cross-Mapping: NIS2, KRITIS und BSI IT-Grundschutz in einem System

Die größte Herausforderung für Versorger, die sowohl unter KRITIS als auch unter NIS2 fallen, ist die Frage: Welche Anforderung habe ich bereits erfüllt, und wo besteht noch Handlungsbedarf? Kopexa löst dieses Problem durch automatisiertes Cross-Mapping. Die Plattform zeigt dir auf einen Blick, welche NIS2-Anforderungen durch bestehende KRITIS-Maßnahmen bereits abgedeckt sind und welche BSI IT-Grundschutz-Bausteine du zur Umsetzung heranziehen kannst. So vermeidest du Doppelarbeit und nutzt bestehende Dokumentation maximal.

Automatisierte Meldeprozesse

Die dreistufigen Meldepflichten (24h/72h/1 Monat) erfordern strukturierte Prozesse, die im Ernstfall zuverlässig funktionieren. Kopexa bietet ein integriertes Incident-Management, das dich durch den gesamten Meldeprozess führt: von der Ersterfassung über die Klassifizierung bis zur fristgerechten Meldung. Vorlagen und Workflows stellen sicher, dass im Stressfall nichts vergessen wird und alle Fristen eingehalten werden.

Lieferanten-Risikomanagement

Die Supply-Chain-Security-Anforderungen von NIS2 verlangen eine systematische Bewertung aller IT- und OT-Dienstleister. Mit dem Vendor-Management von Kopexa erfasst du alle relevanten Lieferanten, bewertest deren Sicherheitsniveau, dokumentierst vertragliche Vereinbarungen und trackst Maßnahmen bei identifizierten Risiken. Die Ergebnisse fließen direkt in dein NIS2-Risikoregister ein.

Risikomanagement und Nachweisführung

Kopexa bietet ein vollständiges Risikomanagement, das die NIS2-Anforderungen abbildet: Risikoidentifikation, Risikobewertung, Maßnahmenplanung und kontinuierliche Überwachung. Alle Nachweise werden zentral gespeichert, sodass du bei einer BSI-Prüfung sofort auskunftsfähig bist. Der aktuelle Umsetzungsstand ist jederzeit transparent, von der Geschäftsführerebene bis zum einzelnen technischen Kontrollziel.

Nächste Schritte

Du möchtest tiefer in die NIS2-Umsetzung für Versorger einsteigen? Hier findest du weiterführende Inhalte, die dir bei der Planung und Umsetzung helfen:

• NIS2-Anforderungskatalog mit allen Artikeln, Umsetzungshinweisen und Cross-Mappings zu bestehenden Standards
• KRITIS-Anforderungen nach IT-SiG 2.0 mit Schwellenwerten, Nachweispflichten und dem Zusammenspiel mit NIS2
• BSI IT-Grundschutz als Umsetzungsrahmen für ein ISMS, das sowohl KRITIS- als auch NIS2-Anforderungen erfüllt
• Risikomanagement in Kopexa für das NIS2-konforme ICT-Risikoregister und Maßnahmen-Tracking
• Incident-Management für die fristgerechte Umsetzung der NIS2-Meldepflichten
• Vendor-Management für die Supply-Chain-Security-Anforderungen nach Art. 21