NIS-2: ÜBERBLICK UND EINHALTUNG

Mit dieser Seite bieten wir Ihnen einen Überblick zu den Grundlagen des NIS-2-Umsetzungsgesetzes.

Die Inhalte erheben weder den Anspruch noch können Sie eine professionelle rechtliche Beratung ersetzen.

Als Netzbetreiber stehen Sie vor der Herausforderung, die Digitalisierung des Verteilnetzes NIS-2-konform umzusetzen. Auf dieser Seite erhalten Sie einen Überblick über die Anforderungen des NIS-2-Umsetzungsgesetzes, was als Netzbetreiber in Ihren Verantwortungsbereich fällt und wie GridCal Sie dabei unterstützt, eine cybersichere und rechtskonforme Netzdigitalisierung zu realisieren.

WARUM CYBERSICHERHEIT FÜR NETZBETREIBER ESSENZIELL IST

Die NIS-2-Richtlinie (Network and Information Security) ist eine der wichtigsten rechtlichen Säulen, um die Cyberabwehr von Unternehmen und Institutionen in der Europäischen Union umfassend zu stärken. Die Notwendigkeit ist offensichtlich: Europa, und insbesondere Deutschland als größte Volkswirtschaft, ist zunehmend Zielscheibe von hochprofessionellen Cyberangriffen, die mitunter von staatlichen Akteuren (Stichwort Cyberwarfare) durchgeführt werden. Dies bestätigt auch die aktuelle Studie „Wirtschaftsschutz 2024“ des Digitalverbands Bitkom.

Mit der fortschreitenden Vernetzung und der Einbindung von vormals analogen Anlagen (OT) in IT-Systeme, rücken diese Bereiche – insbesondere die kritischen Infrastrukturen (KRITIS) – stärker in den Fokus von Angreifern. Als Netzbetreiber zählen Sie dazu. Angesichts der Digitalisierung der Netzinfrastruktur im Zuge der Energiewende erhöht sich nicht nur die Gefahr, sondern auch Ihre Verantwortung, einen sicheren und geschützten Netzbetrieb zu gewährleisten.

NIS-2: VON NIS-1 ZUR KLAREN EU-WEITEN VORGABE

Der Vorgänger von NIS-2 war die EU-Richtlinie 2016/1148, bekannt als NIS-1. Sie definierte erste Mindeststandards für die Cybersicherheit in der EU, war jedoch in ihrem Anwendungsbereich eingeschränkt und in den Vorgaben ungenau.

Die steigende Abhängigkeit von digitalen Technologien, beschleunigt durch Ereignisse wie die Corona-Pandemie, führte 2022 zur Verabschiedung der EU-Richtlinie 2022/2555 – der NIS-2-Richtlinie. Ihr Ziel ist eine signifikante Erhöhung und klare Vereinheitlichung der Cybersicherheit innerhalb der EU.

NIS-2 bringt folgende zentrale Neuerungen mit sich:

Erweiterung des Anwendungsbereichs: Ein deutlich größerer Kreis betroffener Unternehmen und öffentlicher Institutionen.
Klar definierte Anforderungen: Einheitliche Vorgaben für Risikomanagement, einschließlich der Berücksichtigung der Lieferketten.
Governance: Klare Festlegung von Verantwortlichkeiten, Haftung und Sanktionen.
Harmonisierte Aufsicht: Ausbau der Zusammenarbeit und Koordination zwischen EU-Mitgliedsstaaten.
Meldepflichten: Vereinheitlichte und verpflichtende Melde- und Berichtswesen für Sicherheitsvorfälle.

Ziel: Höhere und EU-weit vereinheitlichte Anforderungen sollen die Cybersicherheit und damit die digitale Souveränität innerhalb der Europäischen Union verbessern.

DIE UMSETZUNG IN DEUTSCHLAND: NIS-2-UMSETZUNGSGESETZ

Die EU-Richtlinie hätte ursprünglich bis zum 17. Oktober 2024 in deutsches Recht umgesetzt werden müssen. Mit Veröffentlichung im Bundesgesetzblatt am 5. Dezember 2025 trat das GESETZ ZUR UMSETZUNG DER NIS-2-RICHTLINIE UND ZUR REGELUNG WESENTLICHER GRUNDZÜGE DES INFORMATIONSSICHERHEITSMANAGEMENTS IN DER BUNDESVERWALTUNG (NIS-2-Umsetzungsgesetz) am 6. Dezember 2025 offiziell in Kraft.

Die deutsche Umsetzung übernimmt die meisten Punkte aus der EU-Vorlage, geht aber in einigen Bereichen darüber hinaus:

Anwendungsbereich: Mehr betroffene Unternehmen und Institutionen, die unter die Kategorien „besonders wichtige“ und „wichtige Einrichtungen“ fallen.
Risikomanagement und Sicherheit: Konkretisierung der Anforderungen und Maßnahmen mit einer Mindestliste, verdeutlichte Governance-Anforderungen an die Geschäftsführung und die Vorgabe eines ISMS (Information Security Management System).
Melde- und Reportingpflichten: Klarere Vorgaben für Meldung und Dokumentation von Vorfällen in einem gestuften Meldeverfahren.
Aufsicht und Sanktionen: Zentralere Rolle des BSI (Bundesamt für Sicherheit in der Informationstechnik) und höhere Bußgelder.

KONKRETE ANFORDERUNGEN AN NETZBETREIBER

Das NIS-2-Umsetzungsgesetz und die für den Energiesektor geltende Erweiterung EnWG-E setzen für Netzbetreiber ein Bündel an organisatorischen und technischen Maßnahmen zur Einhaltung vor. Als Netzbetreiber unterliegen Sie hier insgesamt einer Mehrfachregulierung aus NIS-2, KRITIS-DG und EnWG.

Die Erweiterung EnWG-E übernimmt und erweitert die bestehenden Vorgaben auf Basis der IT-Sicherheitskataloge der Bundesnetzagentur (BNetzA) und stärkt die Rolle des BSI als zentrale Cybersicherheitsbehörde im Energiesektor.

Im EnWG-E sind folgende Paragrafen entscheidend:

§5c EnWG-E: Regelungen und Anforderungen an die IT-Sicherheit im Anlagen- und Netzbetrieb.
§5d EnWG-E: Regelungen und Anforderungen zu Dokumentations-, Melde- und Registrierungspflichten.
§5e EnWG-E: Regelungen und Anforderungen zu Umsetzungs-, Überwachungs- und Schulungspflichten für die Geschäftsleitung.

CHECKLISTE: ERSTE SCHRITTE ZUR NIS-2-KONFORMITÄT

1. Klassifizierung prüfen:

„Besonders wichtige Einrichtung“:
≥250 Mitarbeiter oder >50 Mio. Euro Umsatz und >43 Mio. Euro Bilanz.
„Wichtige Einrichtung“:
≥50 Mitarbeiter oder >10 Mio. Euro Umsatz und >10 Mio. Euro Bilanz.

2. Registrierung beim BSI:

Muss nach §5d (4) EnWG-E innerhalb von drei Monaten nach Inkrafttreten von NIS-2 erfolgen.

3. Risikomanagement und Sicherheitskonzept:

Umsetzung von geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen nach §5c EnWG-E und nach §§30, 31, 32, 35 und 39 NIS-2. Dies umfasst auch die Beschaffung von Anlagengütern und Dienstleistungen.

4. Implementierung eines ISMS:

Umsetzung der Maßnahmen des von BNetzA und BSI definierten IT-Sicherheitskatalogs. Der Mindestumfang orientiert sich an §30 (2) NIS-2 und umfasst u. a.:

Risikoanalyse, -management und Bewertung der Effektivität von Cybersicherheit inkl. Backup-Management und Schulungen
Lieferketten-, Anbieter- und Dienstleister-Sicherheit
Kryptografische Verfahren, Zugriffskontrollen und Sicherheit der (Notfall-)Kommunikation
Zusätzlich Anforderungen nach EU-CRA (EU Cyber Resilience Act) für Systeme zur Angriffserkennung und kritische Komponenten

5. Einhaltung der Meldepflichten: Gestuftes Verfahren bei Sicherheitsvorfällen an das BSI:

Innerhalb 24 Stunden: Erstmeldung
Innerhalb 72 Stunden: Hauptmeldung (detailliert)

Innerhalb 30 Tage: Abschlussmeldung

BESONDERE UNTERSCHIEDE IN DER REGULIERUNG

Die Vorgaben bei Kontrolle, Aufsicht und Sanktionen unterscheiden sich teilweise stark zwischen den Kategorien der betroffenen Unternehmen.

	Besonders wichtige Einrichtungen	Wichtige Einrichtungen
Aufsichtsbehörde	BNetzA + BSI mit proaktiver Aufsicht	BNetzA + BSI mit anlassbezogener Aufsicht
Meldepflichten	Gestufte Meldungen – unverzügliche Erstmeldung innerhalb von 24h; zwingende Prüfung durch BSI	Gleiche Meldepflichten; primär anlassbezogene Prüfung durch BSI
Prüf- und Nachweispflichten	Regelmäßige Überprüfung (Audits/Zertifizierungen) auf behördliche Anordnung oder stichprobenartig	Anlassbezogene Prüfung (z. B. nach Vorfall oder Hinweis)
Behördliche Maßnahmen	Neben Prüfungen, Nachweisen und Sicherheitsbewertungen auch direkte behördliche Anordnungen. Bußgelder bis 10 Mio. Euro oder 2 % des Umsatzes	Ähnlich, aber mit geringerer Eingriffstiefe. Bußgelder bis 7 Mio. Euro oder 1,4 % des Umsatzes
Lieferanten/Dienstleister	Höhere Dokumentationspflicht über Cyberrisiken in der Lieferkette; erweiterte Anforderungen an die Vertragsgestaltung	Gleichhohes Schutzniveau, aber geringere Berichtstiefe
Verantwortung der GF	Pflicht zur aktiven Aufsicht und Schulung (Cybersicherheit); persönliche Haftung	Gleichhoher Umfang an Pflichten, aber geringere Kontrolle
Kontrolle und Dokumentation	Jederzeit nachweispflichtig bezüglich wirksamer Umsetzung von ISMS, Risikomanagement und Meldeverfahren	Nur bei direkter Anfrage oder konkretem Anlass

NIS-2: MIT GRIDCAL AUF DEM WEG ZUR KONFORMITÄT

Das NIS-2-Umsetzungsgesetz und die Erweiterungen im EnWG-E stellen hohe Anforderungen an Netzbetreiber. Die Pflicht zur Einhaltung umfasst auch die sorgfältige Auswahl von Lieferanten und Dienstleistern, deren Komponenten und Services Auswirkungen auf Ihre Cybersicherheit haben.

Gerade bei der Digitalisierung Ihrer Verteilnetze stehen Sie mit den Lösungen von GridCal auf der sicheren Seite.

Dank unserer Ansätze „Made in Germany“ und „IT-Security-by-Design“ integrieren wir Sicherheitsfeatures ab Werk. Dies schützt nicht nur Ihre Daten und Kommunikationswege, sondern ermöglicht Ihnen auch Software- und Hardware-Offenheit für Ihre Unabhängigkeit und Datensouveränität.

Mit GridCal Core & Nexus bieten wir zudem ein Full-Service-Technologiepaket, das eine neue Generation cyber-physischer Infrastruktur einführt. Darin enthalten: Ein von der Datenplattform Nexus bereitgestellter einzigartiger IT-Security-Layer, der Ihre IT-Sicherheit auf ein bislang unerreichtes Niveau hebt.

FÜR DIE NIS-2-KONFORME DIGITALISIERUNG IHRES NETZES SETZT GRIDCAL AUF FOLGENDE FORTSCHRITTLICHE SICHERHEITSMASSNAHMEN

Single-Sign-On (SSO)

Einmalige Authentifizierung über Token für den sicheren Zugriff auf mehrere Dienste und Anwendungen.

Ende-zu-Ende-Verschlüsselung

Kontinuierliche Verschlüsselung (TLS, WireGuard) über den kompletten Transportweg.

Role-Based Access Control (RBAC)

Rollenbasierte Zugriffskontrolle, die sich an Ihren definierten Arbeitsprozessen orientiert.

Automatisiertes Schlüsselmanagement

Automatisches System zur Generierung, Verwaltung und Verteilung kryptografischer Schlüssel.

Integriertes SIEM (Security Information & Event Management)

Kombiniertes Sicherheitskonzept zur zeitnahen Analyse von Logdateien und Datenströmen zur Angriffserkennung.

Zero-Trust

Durchgängige Überprüfung und Authentifizierung jedes Nutzers und Geräts, unabhängig vom Standort.

Security-Audit

Umfassende Maßnahmen zur dauerhaften Risiko- und Schwachstellenanalyse.

Zero-Configuration

Automatische Gerätekonfiguration ohne aufwendige manuelle Netzwerkeinrichtung.

Post-Quantum-Ready

Rückgriff auf kryptografische Verfahren, die selbst vor hochleistungsstarken Quantencomputern geschützt sind.

Hard- und Software-Offenheit

Open-Source, Dockertechnologie und modulare Hardware ermöglichen Systemoffenheit, was zu höherer Flexibilität und Unabhängigkeit etwa bei Lieferketten führt.

Die nächste Generation Cyber-Physischer Infrastrukturlösungen

Entdecken Sie mit Core, Gateway GCX & Nexus das neue Full-Service-Paket von GridCal.

Jetzt PDF downloaden

Die hybride Systemlösung von der Station bis zum Netzcockpit

Digitalisieren Sie Ihr Verteilnetz dank GridCal Node und GridCal Operator sicher und wirtschaftlich von Ende zu Ende.