20. Dezember 2022
Veröffentlichungsreihe – 26 von 32 Insights
NIS2: Bedeutung der neuen Richtlinie zur Netz- und Informationssicherheit für die Energiewirtschaft
Der Rat der EU hat Ende November 2022 die Rechtsvorschriften zur Sicherung eines „hohen gemeinsamen Cybersicherheitsniveaus in der gesamten Union“ angenommen. Die neuen Rechtsvorschriften sollen die Resilienz und die Kapazitäten zur Reaktion auf Sicherheitsvorfälle sowohl des öffentlichen als auch des privaten Sektors und der EU als Ganzes weiter verbessern. Kern dieses Vorhabens ist die neue Richtlinie mit der Bezeichnung „NIS2“, welche die derzeit geltende Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) ersetzt. Die Mitgliedstaaten müssen die Vorschriften der Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen. Unter anderem hat die NIS2-Richtlinie Auswirkungen auf Energieerzeuger. Unser Experte Dr. Paul Voigt (IT- und Datenschutzrecht) erläutert, welche Vorgaben NIS2 für Energieerzeuger beinhaltet.
Frage: Für wen gilt die Richtlinie?
Antwort: Die neuen Vorgaben gelten für verschiedene Sektoren, u.a. für Energieerzeuger (i.S.d. Art. 2 Nr. 38 der RL 2019/944), Netzbetreiber, Strommarktbetreiber und diverse weitere Energieunternehmen. Die „Eintrittshürde“, um von den NIS-Vorgaben erfasst zu werden, wird im Vergleich zur aktuell geltenden Rechtslage deutlich abgesenkt: Zur Anwendbarkeit genügt es, wenn die erfassten Unternehmen mindestens 50 Beschäftigte haben oder einen Jahresumsatz von mehr als 10 Mio. Euro.
Frage: Welche Verpflichtungen bestehen bei Anwendbarkeit der Richtlinie?
Antwort: Es besteht u.a. die Pflicht zur Ergreifung technischer, operativer und organisatorischer Maßnahmen, um die Risiken für die Sicherheit der Netz- und IT-Systeme, die für den Betrieb oder die Erbringung der Dienste genutzt werden, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger der Dienste zu verringern. Die NIS2-Richtlinie gibt (anders als unter aktuell geltendem Recht) konkrete Maßnahmen vor, die umzusetzen sind, wie beispielsweise
- die Erstellung von Risikokonzepten,
- Maßnahmen zur Bewältigung von Sicherheitsvorfällen,
- Maßnahmen zur Herstellung der Lieferkettensicherheit,
- Maßnahmen zur Betriebskontinuität und
- Maßnahmen zum Krisenmanagement etc.
Überdies wird die Verantwortlichkeit der Leitungsorgane der Unternehmen stärker geregelt; es gibt eine ausdrückliche Überwachungspflicht und eine Haftung der Geschäftsführung. Diese muss außerdem an Schulungen teilnehmen, um ausreichende Kenntnisse zur Erkennung und Bewertung von Cyberrisiken zu erwerben.
Daneben gibt es Meldepflichten bei Sicherheitsvorfällen ggü. Behörden und Diensteempfängern (eine Frühwarnung ist bereits innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls vorzunehmen).
Bei Nichterfüllung der Pflichten können die betroffenen Unternehmen Bußgelder von bis zu 10 Mio. Euro bzw. zwei Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes treffen.
Frage: Wie geht es weiter?
Antwort: Die NIS2-Richtlinie muss nun noch im Gesetzblatt der EU veröffentlicht werden um Geltung zu erlangen. Sie tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft. Danach haben die Mitgliedstaaten 21 Monate Zeit, die Regelungen in das nationale Recht zu übertragen. Wenngleich die konkreten Regelungen noch von der Umsetzung des deutschen Gesetzgebers abhängig sind (und gerade Detailfragen noch zu klären sind), stehen jedenfalls die Grundzüge der Neuregelung nun fest. Im Vergleich zu den aktuell in Deutschland geltenden Rahmenbedingungen ist nach Umsetzung der NIS2-Richtlinie in deutsches Recht aufgrund der aktuell geltenden sektorspezifischen Schwellenwerte (lesen Sie hierzu unsere Broschüre Erneuerbare Energien Anlagen als Kritische Infrastruktur – Anforderungen an den IT-Schutz) und der dann relevanten Mitarbeiter- und Umsatzzahlen eine Ausweitung der Anzahl an Unternehmen zu erwarten, für die NIS2 bzw. die nationalen Regelungen gelten. Zwar haben Unternehmen derzeit noch nichts zu befürchten, angesichts drohender Bußgelder sollten sie die weiteren Entwicklungen jedoch wachsam verfolgen, um rechtzeitig die zur NIS2-Compliance erforderlichen Schritte einleiten zu können.
In dieser Serie
Übersichtsseite – Q&A Serie: Energy & Infrastructure
von mehreren Autoren
Hot Topics im Energiebereich 2021: EEG-Novelle, Wasserstoff und BEHG
Q&A Serie: Energy & Infrastructure
21. January 2021
von mehreren Autoren
Fokus EEG – Erneuerbare Energien Gesetz
Q&A Serie: Energy & Infrastructure
9. March 2021
Fokus PV: Agri-PV- und Floating-PV-Anlagen
Q&A Serie: Energy & Infrastructure
23. March 2021
Wasserstoff-Infrastruktur: Power-to-Hydrogen
Q&A Serie: Energy & Infrastructure
29. March 2021
Artenschutzrechtliche Ausnahme – Bedeutung für die Windenergie
Q&A Serie: Energy & Infrastructure
25. May 2021
Schwimmende Fundamente für Offshore-Windparks
Q&A Serie: Energy & Infrastructure
8. June 2021
Renewable Energy Wrap-Up – Deutschland
Q&A Serie: Energy & Infrastructure
12. July 2021
von Carsten Bartholl
Renewable Energy Wrap-Up – Österreich
Q&A Serie: Energy & Infrastructure
18. August 2021
Renewable Energy Wrap-Up – Poland
Q&A Serie: Energy & Infrastructure
21. September 2021
von Olav Nemling
Renewable Energy Wrap-Up – Netherlands
Q&A series: Energy & Infrastructure
2. December 2021
Fit for 55 – Wasserstoff und die Reform des Europäischen Gasmarktes
Q&A Serie: Energy & Infrastructure
6. January 2022
Preisspaltung in der Grundversorgung – was Grundversorger jetzt beachten müssen
Q&A Serie: Energy & Infrastructure
4. February 2022
von Dr. Markus Böhme, LL.M (Nottingham), Dr. Stefan Horn, LL.B.
Gebäudeenergieeffizienz: Neufassung der Richtlinie über die Gesamtenergieeffizienz von Gebäuden
Q&A Serie: Energy & Infrastructure
14. February 2022
Renewable Energy Wrap-Up - Großbritannien
Q&A Serie: Energy & Infrastructure
15. March 2022
Finanzielle Beteiligung von Kommunen im Rahmen von Wind- und Photovoltaik-Projekten: § 6 EEG 2021 und das „Osterpaket“ des BMWK
Q&A Serie: Energy & Infrastructure
5. May 2022
Liquefied Natural Gas-Vorhaben in Deutschland: Das LNG-Beschleunigungsgesetz
Q&A Serie: Energy & Infrastructure
10. June 2022
KritisV: Erneuerbare-Energien-Anlagen als Kritische Infrastruktur und Anforderungen an den IT-Schutz
Q&A Serie: Energy & Infrastructure
4. July 2022
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E, Dr. Markus Böhme, LL.M (Nottingham)
Verabschiedung des Osterpakets – Was ändert sich für den Bereich der Windenergie?
Teil 1: Windenergie an Land
21. July 2022
von Dr. Markus Böhme, LL.M (Nottingham), Dr. Christian Ertel
Verabschiedung des Osterpakets – Was ändert sich für den Bereich der Windenergie?
Teil 2: Windenergie auf See (WindSeeG)
26. August 2022
von Dr. Markus Böhme, LL.M (Nottingham), Dr. Christian Ertel
Neue Offenlegungspflichten für EU- und Nicht-EU-Unternehmen:
Die EU-Richtlinie zur Nachhaltigkeitsberichterstattung von Unternehmen
29. November 2022
Herausforderungen für Datencenterbetreiber? Referentenentwurf des BMWK für ein Energieeffizienzgesetz
Die wesentlichen Aspekte des Referentenentwurfs und eine Einordung der Anforderungen an die Betreiber von Datencentern
7. December 2022
von mehreren Autoren
Neustart der Digitalisierung der Energiewende – Gesetzentwurf zum Smart Meter Rollout
Dr. André Lippert informiert über wesentliche Aspekte des Referentenentwurfs zum Rollout von intelligenten Messsystemen (Smart Meter)
13. December 2022
NIS2: Bedeutung der neuen Richtlinie zur Netz- und Informationssicherheit für die Energiewirtschaft
20. December 2022
Der Energiecharta-Vertrag im Lichte der „Strompreisbremse“: Eine Klagemöglichkeit für Investoren?
20. December 2022
Neustart der Digitalisierung der Energiewende – Gesetz zum Smart Meter Rollout
17. January 2023
Ein Monat Strom- und Gaspreisbremse – Teil 1
Q&A Serie: Energy & Infrastructure | Aktuelle Erfahrungen aus der Beratungspraxis von EVUs und Industrieunternehmen
27. January 2023
Ein Monat Strom- und Gaspreisbremse – Teil 2
Q&A Serie: Energy & Infrastructure | Aktuelle Erfahrungen aus der Beratungspraxis
31. January 2023
Die Umsetzung der EU-Notfall-Verordnung: Neue Rahmenbedingungen für Windenergie, Photovoltaik und Stromnetze
Q&A Serie: Energy & Infrastructure | Aktuelle Erfahrungen aus der Beratungspraxis
10. March 2023
Kriterien für die Erzeugung von grünem Wasserstoff – die delegierten Rechtsakte der EU-Kommission
Q&A Serie: Energy & Infrastructure | Aktuelle Erfahrungen aus der Beratungspraxis
10. March 2023
