NIS-2 für Energieversorger: Cybersicherheit in der Energiewirtschaft

Wenn der Strom ausfällt, fällt alles aus. Das Telefon, das Wasser aus der Leitung, die Kühlung im Krankenhaus, die Ampeln, die Tankstellen. Der Energiesektor ist das Rückgrat, auf dem alle anderen Sektoren stehen. Entsprechend ernst nimmt NIS-2 diesen Bereich.

Wer im Energiesektor unter NIS-2 fällt

Der Energiesektor gehört zu den Sektoren mit hoher Kritikalität – das ist die strengere Kategorie. Und er umfasst mehr, als man vielleicht denkt.

Bei der Elektrizität sind es nicht nur die großen Kraftwerksbetreiber. Verteilernetzbetreiber, die den Strom zu Ihnen nach Hause bringen. Übertragungsnetzbetreiber, die das Höchstspannungsnetz verantworten. Strommarktbetreiber und Aggregatoren, die Flexibilität bündeln. Sogar Betreiber von Ladepunkten ab einer bestimmten Größe und Speicheranlagenbetreiber.

Beim Erdgas dasselbe Bild: Versorgungsunternehmen, Verteilernetzbetreiber, Fernleitungsnetzbetreiber, Speicherbetreiber, LNG-Terminals.

Beim Erdöl: Pipeline-Betreiber, Raffinerien, Lagereinrichtungen.

Neu dabei: Wasserstoff. Elektrolyseure, Wasserstoffspeicher, Transportinfrastruktur. Die Energiewende bringt neue kritische Akteure.

Und auch Fernwärme- und Fernkältenetze fallen unter die Richtlinie.

Warum der Energiesektor so besonders ist

Ein Stromausfall ist keine isolierte Störung. Er zieht Kreise. Die Telekommunikation fällt aus – keine Handys, kein Internet. Die Wasserversorgung bricht zusammen – die Pumpen laufen nicht mehr. Krankenhäuser müssen auf Notstrom umschalten, der nur begrenzt reicht. Der Verkehr kollabiert ohne Ampeln und Bahnsignale. Banken und Bezahlterminals funktionieren nicht mehr.

Die Energiewende macht das Ganze nicht einfacher. Früher: wenige große Kraftwerke, klare Strukturen. Heute: dezentrale Erzeugung aus tausenden Solaranlagen und Windparks, Smart Grids, virtuelle Kraftwerke, Sektorkopplung. Mehr Vernetzung bedeutet mehr Angriffsfläche.

Und Energieversorger sind attraktive Ziele. Staatliche Akteure, die geopolitische Ziele verfolgen. Cyberkriminelle, die wissen, dass Versorger unter Druck schnell zahlen. Hacktivisten mit politischen Botschaften.

Die Angriffe auf ukrainische Stromnetze 2015 und 2016 haben gezeigt: Das sind keine theoretischen Szenarien. Das passiert.

Was Sie wahrscheinlich schon haben

Die gute Nachricht: Der Energiesektor ist nicht neu in der Regulierung.

Der IT-Sicherheitskatalog der Bundesnetzagentur stellt bereits Anforderungen an Netzbetreiber. Die KRITIS-Verordnung hat viele Energieunternehmen schon erfasst. Die europäischen Netzwerkcodes enthalten ebenfalls Cybersicherheitsanforderungen.

Wenn Sie diese Anforderungen erfüllen, haben Sie eine solide Basis. NIS-2 erweitert und harmonisiert – aber Sie starten nicht bei null.

Die besondere Herausforderung: OT-Sicherheit

Was Energieversorger von den meisten anderen Branchen unterscheidet: Sie betreiben nicht nur klassische IT, sondern auch Operational Technology. SCADA-Systeme, die Netze und Anlagen steuern. Leittechnik in Kraftwerken. Smart Meter in Millionen Haushalten. Remote Terminal Units in Umspannwerken.

Die Absicherung von OT ist anders als IT-Sicherheit. Verfügbarkeit hat höchste Priorität – ein Neustart ist nicht einfach möglich, wenn gerade das Netz gesteuert werden muss. Viele Protokolle wurden in einer Zeit entwickelt, als Cybersicherheit kein Thema war. Die Systeme laufen oft 20 oder 30 Jahre – mit allen Schwachstellen, die sich über die Zeit ansammeln. Und physische Sicherheit muss mitgedacht werden: Ein Umspannwerk steht irgendwo auf einem Feld, nicht in einem bewachten Rechenzentrum.

Die zehn NIS-2-Maßnahmen im Energiekontext

Wie übersetzen sich die allgemeinen NIS-2-Anforderungen in die Energiebranche?

Bei der Risikoanalyse müssen Sie OT-spezifische Risiken einbeziehen. Nicht nur “Server wird gehackt”, sondern “Was passiert, wenn jemand die Leittechnik manipuliert?” Physische und cyber-physische Szenarien gehören dazu. Bestehende Sicherheitsmaßnahmen sind die Basis, müssen aber um NIS-2-spezifische Anforderungen erweitert werden.

Beim Incident Response müssen IT und OT koordiniert arbeiten. Wer entscheidet, ob ein System abgeschaltet wird, wenn gleichzeitig das Netz stabil gehalten werden muss? Die Abstimmung mit Übertragungsnetzbetreibern muss klar sein. Notfallpläne für Netzstörungen durch Cyberangriffe brauchen Sie.

Bei Business Continuity geht es um Schwarzstartfähigkeit – wie starten Sie das Netz neu, wenn alles dunkel ist? Inselbetrieb, Redundanzen in kritischen Systemen.

Lieferkettensicherheit bedeutet: Komponentenlieferanten überprüfen. Sichere Fernwartung durch Hersteller – die haben oft vollen Zugriff auf Ihre kritischsten Systeme. Software Bill of Materials werden wichtiger.

Bei sicherer Entwicklung geht es um sichere Konfiguration von Leittechnik, Change Management in OT-Umgebungen (wo jede Änderung kritisch sein kann), Schwachstellenmanagement für Industriekomponenten.

Wirksamkeitsprüfung in OT ist heikel. Penetrationstests in Produktivumgebungen können gefährlich sein. Tabletop-Übungen sind oft besser. Regelmäßige Audits und Überprüfungen geben Sicherheit.

Cyberhygiene betrifft auch Techniker und Ingenieure, nicht nur Büromitarbeiter. Social Engineering funktioniert überall. Und sichere Fernzugriffe sind essenziell.

Kryptographie, wo möglich – viele OT-Protokolle unterstützen keine Verschlüsselung, aber wo es geht, sollten Sie sie nutzen. Sichere Authentifizierung in SCADA-Systemen. Zertifikatsmanagement.

Zugriffskontrolle: Strikte Trennung von IT und OT-Netzwerken. Least Privilege auch in Leitsystemen – nicht jeder Admin braucht überall Vollzugriff. Logging und Monitoring aller Aktivitäten.

Multi-Faktor-Authentifizierung für Fernzugriffe auf OT. Bei der Authentifizierung an Leittechnik vor Ort wird es schwieriger, aber es gibt Lösungen. Und: Notfallzugriffe müssen geregelt sein.

Ein Standard, der hilft: IEC 62443

Wenn Sie nach einer strukturierten Herangehensweise suchen, schauen Sie sich IEC 62443 an. Die internationale Normenreihe für Industrial Cybersecurity deckt vieles ab: Anforderungen an ein IACS Security Management System, technische Sicherheitsanforderungen, Anforderungen an Komponenten.

Die Umsetzung von IEC 62443 hilft, viele NIS-2-Anforderungen zu erfüllen – und ist in der Branche anerkannt.

Erneuerbare Energien und die neuen Herausforderungen

Die Energiewende bringt neue Fragen. Größere Wind- und Solarparks fallen unter NIS-2, wenn sie die Schwellen überschreiten oder direkt ins Übertragungsnetz einspeisen. Betreiber virtueller Kraftwerke müssen die Cybersicherheit ihrer verteilten Anlagen gewährleisten – und die können hunderte oder tausende sein.

Die dezentrale Erzeugung schafft eine andere Bedrohungslage: Viele kleine Akteure, oft über unsichere Protokolle vernetzt, und die Aggregation erhöht das Risiko. Wenn ein Angreifer nicht ein Kraftwerk, sondern tausend Solaranlagen gleichzeitig kontrolliert, kann er das Netz trotzdem destabilisieren.

Smart Grid – Smart Risks

Intelligente Stromzähler sind potenzielle Angriffspunkte. Gateway-Administratoren fallen unter NIS-2. Die BSI-Technische Richtlinie TR-03109 bleibt relevant, muss aber ins ISMS integriert werden.

Demand-Response-Systeme, die Last steuern, können missbraucht werden. Koordinierte Lastspitzen könnten das Netz ins Wanken bringen. Die Kommunikation zwischen Aggregatoren und Verbrauchern muss sicher sein. Steuerbefehle müssen authentifiziert werden.

Was Sie konkret tun sollten

Für Netzbetreiber: Nutzen Sie Ihr bestehendes ISMS als Basis. Integrieren Sie OT-Security, idealerweise nach IEC 62443. Setzen Sie strikte Netzwerksegmentierung zwischen IT und OT um. Bauen Sie ein Security Operations Center auf, das auch OT versteht. Erweitern Sie Ihre Notfallpläne um Cyber-Szenarien.

Für Erzeuger: Bewerten Sie, welche Ihrer Anlagen kritisch sind. Sichern Sie Fernzugriffe ab – MFA, VPN, Logging. Prüfen Sie Ihre Lieferanten auf Cybersicherheit. Schaffen Sie Redundanzen, damit der Ausfall einzelner Systeme kompensiert werden kann.

Für Versorger: Schützen Sie Kundendaten – DSGVO und NIS-2 greifen hier beide. Sichern Sie Abrechnungssysteme gegen Manipulation. Verschlüsseln und authentifizieren Sie Ihre Kommunikation.

Am Ende

Der Energiesektor ist zu Recht ein Schwerpunkt von NIS-2. Die Herausforderungen sind erheblich: komplexe OT-Umgebungen, dezentrale Strukturen, eine sich schnell wandelnde Bedrohungslage.

Aber die Branche hat Vorsprung. Bestehende Regulierung hat bereits Grundlagen geschaffen. IEC 62443 bietet ein etabliertes Framework für OT-Sicherheit. Es geht nicht darum, bei null anzufangen, sondern das Bestehende zu erweitern und mit NIS-2 zu harmonisieren.

Die Schlüssel: IT- und OT-Security integrieren. Etablierte Standards nutzen. Risikobasiert priorisieren. Kontinuierlich verbessern.

Die Energiewende und die zunehmende Digitalisierung machen Cybersicherheit zum zentralen Erfolgsfaktor. Nicht nur für Compliance, sondern für die Versorgungssicherheit aller.