- Home
- News & Insights
- Insights
- Weitreichende Neuerungen
- Auf dieser Seite
1. September 2023
Veröffentlichungsreihe – 36 von 78 Insights
Weitreichende Neuerungen für IT-Sicherheitsanforderungen im Energiesektor
- Briefing
Ende 2022 hat die EU mit der „NIS2“-Richtlinie wichtige Regelungen zum Schutz der Netz- und Informationssicherheit in „kritischen Sektoren“ getroffen. Auch der Sektor Energie wird als „kritischer Sektor“ eingestuft. So soll der Schutz von bestimmten Einrichtungen und Diensten vor Cybergefahren verstärkt werden. In Deutschland wird die Richtlinie durch das NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt. Dabei geht der Gesetzesentwurf über die EU-Vorgaben hinaus und bewirkt somit vielzählige Neuerungen im nationalen Cybersicherheitsrecht.
Das NIS2UmsuCG soll bis Mitte 2024 verabschiedet werden. Die mit ihm einhergehenden Pflichten sollen ab dem 1. Oktober 2024 gelten.
Geltungsbereich
Deutlich mehr Unternehmen als bisher werden durch das Kernstück des NIS2UmsuCG - die Anpassung des BSI-Gesetzes (BSIG-E) - in das IT-Sicherheitsregime einbezogen. Unterschieden wird dabei zwischen „wichtigen“ und „besonders wichtigen Einrichtungen“ sowie „kritischen Anlagen“ (vgl. § 28 Abs. 3, 6, 7 BSIG-E). Alle Normadressaten müssen eine Reihe von Pflichten erfüllen. Dies betrifft nicht nur Unternehmen, die bisher schon als KRITIS anerkannt waren.
Mit ihrer Einbeziehung in das neue Sicherheitsregime müssen auch Unternehmen rechnen, die im Sektor Energie tätig sind (vgl. § 57 Abs. 1 BSIG-E).
Welche Unternehmen konkret erfasst sein werden, kann abschließend erst nach Erlass einer ergänzenden Rechtsverordnung bestimmt werden, in der entsprechende Schwellenwerte (z.B. Unternehmensgröße, Anzahl der Nutzer) festgelegt werden. Es wird jedoch erwartet, dass deutlich mehr Unternehmen in den Anwendungsbereich des BSIG-E fallen werden, als unter bisherigen Gesetzen. So wird für den Sektor Energie erwartet, dass neben den Unternehmen, die Energie erzeugen, liefern oder regulieren auch die weitere Lieferkette umfasst wird.
Der Anhang I der NIS 2-Richtlinie gibt jedoch bereits eine Liste „kritischer Einrichtungen“ vor, die sich entsprechend auch in der Rechtsverordnung wiederfinden muss. So weist Anhang I Ziffer 1 der Richtlinie den Sektor Energie als Sektor mit hoher Kritikalität aus. Dabei erstreckt sich der Anwendungsbereich auf die Teilsektoren Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas und Wasserstoff. Die in diesen Teilsektoren erfassten Einrichtungen erstrecken sich unter anderem auf bestimmte Elektrizitätsunternehmen, Netzbetreiber, Anlagenbetreiber sowie Versorgungsunternehmen.
Risikomanagement, Melde-, Registrierungs-, Nachweis und Unterrichtungspflichten
Die erfassten Unternehmen sowie deren Leitungsorgane treffen nach dem BSIG-E eine Reihe von Pflichten. Diese hängen im Einzelnen davon ab, ob es sich um eine „kritische Anlage“ oder um eine „wichtige“ oder „besonders wichtige Einrichtung“ handelt. Bestimmte Unternehmen der Energiewirtschaft werden dabei von den Risikomanagementmaßnahmen nach § 30 sowie den Meldepflichten nach § 31 BSIG-E ausgenommen und sektorspezifischen Regelungen unterworfen (§ 28 Abs. 8 BSIG-E).
Risikomanagement: Sicherheitsmaßnahmen und Risikobewertung (§ 30 BSIG-E)
Sämtliche Einrichtungen sind verpflichtet, technische und organisatorische Maßnahmen zum Schutz ihrer IT-Systeme und -Prozesse zu treffen. Diese Maßnahmen sollen dem aktuellen Stand der Technik entsprechen und das Risiko eines Schadenseintritts angemessen berücksichtigen, wobei Faktoren wie die Größe der Einrichtung und potenzielle Sicherheitsvorfälle zu berücksichtigen sind. Die Hauptverantwortung für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen liegt bei den Geschäftsführern. Sie haften auch für Verstöße und sollen regelmäßig an Schulungen teilnehmen (§ 38 BSIG-E).
Meldepflichten (§ 31 BSIG-E)
Bei einem Sicherheitsvorfall haben die Einrichtungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verschiedene Meldungen zu erstatten, darunter eine Erstmeldung innerhalb von 24 Stunden und eine Detailmeldung innerhalb von 72 Stunden, sowie eine Abschlussmeldung. Als Sicherheitsvorfälle gelten dabei Ereignisse, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten oder von Diensten, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigen (§ 2 Abs. 1 Nr. 37 BSIG-E).
Weitere Pflichten
Die Einhaltung der Sicherheitsanforderungen muss gegenüber dem BSI regelmäßig nachgewiesen werden. Bei Sicherheitsmängeln kann das BSI Abhilfemaßnahmen verlangen (§ 34 BSIG-E). Darüber hinaus sind alle Einrichtungenverpflichtet, sich beim BSI zu registrieren und relevante Informationen zur Verfügung zu stellen (§§ 32, 33 BSIG-E). Bei erheblichen Sicherheitsvorfällen können sie verpflichtet werden, ihre Kunden über diese zu informieren (§§ 35, 36 BSIG-E).
|
Pflicht |
Betreiber kritischer |
Besonders wichtige |
Wichtige |
|
Maßnahmen Risikomanagement § 30 BSIG-E |
+ |
+ |
+ |
|
Höhere Maßstäbe für KRITIS§ 30 Abs. 3 BSIG-E |
+ |
||
|
System zur Angriffserkennung§ 39 BSIG-E |
+ |
||
|
Registrierung beim BSI§ 32, 33 BSIG-E |
+ |
+ |
+ |
|
Meldepflichten§ 31 BSIG-E |
+ |
+ |
+ |
|
Nachweiserbringung§ 34 BSIG-E |
+ |
+ |
|
|
Informationsaustausch§ 35, 36 BSIG-E |
+ |
+ |
+ |
|
Verantwortung der Leitungsorgane §38 BSIG-E |
+ |
+ |
+ |
Durchsetzung und Sanktionen:
Die Überprüfung der Einhaltung und Durchsetzung der genannten Pflichten obliegt dem BSI (§§ 62-65 BSIG-E). Es kann dabei direkt auf die Unternehmen einwirken und Maßnahmen ergreifen. Diese bleiben so lange in Kraft, bis die Einrichtung den Anordnungen der Behörde nachgekommen ist. Bei Zuwiderhandlung drohen empfindliche Geldbußen (§ 64 BSIG-E). Diese können laut Gesetzestext bis zu zwanzig Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Umsatzes des betroffenen Unternehmens im vorangegangenen Geschäftsjahr betragen.
Was nun zu tun ist – Vorbereitung auf das NIS 2 Umsetzungsgesetz
Die umfassten Betreiber des Energiesektors müssen u.a. geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie zur Erbringung ihrer Dienste nutzen, zu verhindern und Auswirkungen von Sicherheitsvorfällen auf ihre Dienste oder auf andere Dienste zu verhindern oder so gering wie möglich zu halten. Der Gesetzentwurf ist noch nicht endgültig. Die Anforderungen werden sich aber voraussichtlich nicht grundlegend ändern. Unternehmen sollten sich daher auf jeden Fall mit folgenden Themenbereichen befassen:
- Erstellen von Konzepten in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
- Bewältigung von Sicherheitsvorfällen,
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
- Sicherheit der Lieferkette,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Erstellen von Konzepten und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
- Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
- Erstellen von Konzepten und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
In dieser Serie
Auf einen Blick: nach EuGH-Urteil nun BGH-Beschluss zur Kundenanlage nach § 3 Nr. 24a EnWG
20. May 2025
von Dr. Markus Böhme, LL.M. (Nottingham), Dr. Christian Ertel
Netzentgeltreform – Diskussionspapier der Bundesnetzagentur zur Bildung der Stromnetzentgelte
15. May 2025
von mehreren Autoren
Gas geben für die Energiewende – Die Pläne der neuen Bundesregierung zu Gas- und Dampfkraftwerken und das Ringen um die richtige Technologie bei erneuerbarer Energie
8. May 2025
von mehreren Autoren
Update: Regierungswechsel als Türöffner für Carbon Capture and Storage und Carbon Capture and Utilization
17. April 2025
von mehreren Autoren
Das Sondervermögen Infrastruktur & Klimaschutz – wie geht es weiter?
2. April 2025
von mehreren Autoren
Auswirkung des EuGH-Urteils zur Kundenanlage nach § 3 Nr. 24a EnWG auf den Ausbau erneuerbarer Energien
31. March 2025
von Dr. Christian Ertel, Dr. Markus Böhme, LL.M. (Nottingham)
Die Rolle von Wärmesonden in der Energiewende: Genehmigungsverfahren und Potenziale
12. February 2025
Auf einen Blick: EuGH-Urteil zur Kundenanlage nach § 3 Nr. 24a EnWG
10. March 2025
von Dr. Markus Böhme, LL.M. (Nottingham), Dr. Christian Ertel
Regierungswechsel als Türöffner für Carbon Capture and Storage?
26. February 2025
von mehreren Autoren
Abwärme von Rechenzentren – neue Meldepflichten durch das EnEfG
29. January 2025
von mehreren Autoren
Tag der Entscheidung(en): Netzentgeltfreiheit in Kundenanlagen und Energiepreisbremse auf dem Prüfstand
28. November 2024
von Dr. Christian Ertel, Dr. Markus Böhme, LL.M. (Nottingham)
BGH: Bilanzielle Zuordnung von Stromentnahmen in höheren Spannungsebenen bei Ausfall des Lieferanten - Eine Handlungsempfehlung für Netzbetreiber
Power Play: Renewable Energy Update
11. November 2024
Wasserstoff-Kernnetz – Die Strategie der Bundesnetzagentur für die Energiewende
Power Play: Renewable Energy Update
30. October 2024
von mehreren Autoren
EnWG-Novelle: Änderungen für Energieversorgungsunternehmen sowie Netz- und Anlagenbetreiber
18. September 2024
von mehreren Autoren
Standardessentielle Patente: Eine neue Herausforderung für die IoT und Smart Meter Welt
10. September 2024
von Tobias Baus, LL.M., Dipl.-Ing., Dr. Thomas Pattloch, LL.M.Eur
Flächenakquise und Datenschutz: Die Bedeutung der DSGVO bei der Abfrage von Eigentümerdaten durch Projektentwickler
18. July 2024
von Dr. Patrick Vincent Zurheide, LL.M. (Aberdeen), Dr. Julia Wulff
Ertragsbeteiligung von Kommunen an Windenergieanlagen und Photovoltaik-Freiflächenanlagen
11. July 2024
von mehreren Autoren
Solarpaket I – Änderungen bei Freiflächen-PV und Gebäude-PV im Überblick
21. May 2024
Bundesregierung gibt Startschuss für Klimaschutzverträge
Power Play: Renewable Energy Update
18. March 2024
von mehreren Autoren
Verpflichtende Sonderabgabe für Photovoltaik-Freiflächenanlagen in Brandenburg
Power Play: Renewable Energy Update
15. February 2024
von mehreren Autoren
Erhebung von Baukostenzuschüssen beim Netzanschluss von Batteriespeichern
Power Play: Renewable Energy Update
16. January 2024
Effizienzvorgaben für Rechenzentren
Power Play: Renewable Energy Update
28. December 2023
von mehreren Autoren
Stromspeicher – Die Strategie des BMWK für die Energiewende
Power Play: Renewable Energy Update
20. December 2023
CBAM (Carbon Border Adjustment Mechanism): Der neue CO2-Grenzausgleichsmechanismus – Erste Berichtspflichten bereits im Januar 2024
Power Play: Renewable Energy Update
17. November 2023
EU-Rat einigt sich auf Reform des Strommarktes – Welche Folgen hat die Reform für die Industrie?
Power Play: Renewable Energy Update
21. December 2023
OLG Düsseldorf: Bilanzielle Zuordnung von Stromentnahme in der Mittelspannungsebene – kein konkludenter Vertragsschluss durch Realofferte: Eine Handlungsempfehlung für Netzbetreiber
Power Play: Renewable Energy Update
16. October 2023
von mehreren Autoren
Verabschiedung des Energieeffizienzgesetzes im Bundestag – Pflichten für Betreiber und Entwickler von Rechenzentren
Power Play: Renewable Energy Update
4. October 2023
von mehreren Autoren
Änderung der Differenzbetragsanpassungsverordnung (DBAV) ab dem 1. Oktober 2023
Power Play: Renewable Energy Update
29. September 2023
ZuFinG – Investitionsmöglichkeiten für offene Immobilienfonds in Erneuerbare-Energien-Anlagen? Ein Update zum Regierungsentwurf
Power Play: Renewable Energy Update
12. September 2023
Weitreichende Neuerungen für IT-Sicherheitsanforderungen im Energiesektor
Power Play: Renewable Energy Update
1. September 2023
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E, Alexander Schmalenberger, LL.B.
Ein Jahr § 2 EEG: Beschleunigungsfaktor oder viel Lärm um nichts?
Power Play: Renewable Energy Update
25. August 2023
von Dr. Julia Wulff
Fortschreibung der Nationalen Wasserstoffstrategie
Power Play: Renewable Energy Update
24. August 2023
von Dr. Niels L. Lange, LL.M. (Stellenbosch), Dr. Janina Pochhammer
Behindert der Denkmalschutz den Ausbau erneuerbarer Energien?
Power Play: Renewable Energy Update
18. August 2023
Rechtsprechung zum Waldrecht zeigt Grenze des § 2 EEG auf
Power Play: Renewable Energy Update
9. August 2023
von Birte Zeitner
Erleichterter Umgang mit natur- und artenschutzrechtlichen Konflikten beim Ausbau erneuerbarer Energien durch § 2 EEG 2023
Power Play: Renewable Energy Update
2. August 2023
von Birte Zeitner
Happy Birthday § 2 EEG! Was kann die Vorschrift und wann kommt sie zur Anwendung?
Power Play: Renewable Energy Update
26. July 2023
von Dr. Julia Wulff
Das Solarpaket I als erster Umsetzungsakt zur Solarstrategie der Bundesregierung
Power Play: Renewable Energy Update
12. July 2023
Das Änderungsgesetz zur Stärkung der Digitalisierung im Bauleitplanverfahren und den weiteren Ausbau erneuerbarer Energien
Power Play: Renewable Energy Update
6. July 2023
Kriterien für die Erzeugung von grünem Wasserstoff – die delegierten Rechtsakte der EU-Kommission
Power Play: Renewable Energy Update
20. June 2023
von Dr. Markus Böhme, LL.M. (Nottingham), Dr. Christian Ertel
ZuFinG – Investitionsmöglichkeiten für offene Immobilienfonds in Erneuerbare-Energien-Anlagen?
Power Play: Renewable Energy Update
12. May 2023
Das Zukunftsfinanzierungsgesetz – Vorgaben für offene Immobilienfonds in Bezug auf Investitionen in Energieanlagen
Power Play: Renewable Energy Update
5. May 2023
Herausforderungen für Datencenterbetreiber - Referentenentwurf der Bunderegierung für ein Energieeffizienzgesetz
Power Play: Renewable Energy Update
4. April 2023
von mehreren Autoren
Die Umsetzung der EU-Notfall-Verordnung: Neue Rahmenbedingungen für Windenergie, Photovoltaik und Stromnetze
Power Play: Renewable Energy Update
10. March 2023
Ein Monat Strom- und Gaspreisbremse – Teil 2
Power Play: Renewable Energy Update
31. January 2023
Ein Monat Strom- und Gaspreisbremse – Teil 1
Power Play: Renewable Energy Update
27. January 2023
Neustart der Digitalisierung der Energiewende – Gesetz zum Smart Meter Rollout
Power Play: Renewable Energy Update
17. January 2023
Der Energiecharta-Vertrag im Lichte der „Strompreisbremse“: Eine Klagemöglichkeit für Investoren?
Power Play: Renewable Energy Update
20. December 2022
NIS2: Bedeutung der neuen Richtlinie zur Netz- und Informationssicherheit für die Energiewirtschaft
Power Play: Renewable Energy Update
20. December 2022
Neustart der Digitalisierung der Energiewende – Gesetzentwurf zum Smart Meter Rollout
Power Play: Renewable Energy Update
13. December 2022
Herausforderungen für Datencenterbetreiber? Referentenentwurf des BMWK für ein Energieeffizienzgesetz
Power Play: Renewable Energy Update
7. December 2022
von mehreren Autoren
Neue Offenlegungspflichten für EU- und Nicht-EU-Unternehmen:
Power Play: Renewable Energy Update
29. November 2022
Verabschiedung des Osterpakets – Was ändert sich für den Bereich der Windenergie?
Power Play: Renewable Energy Update
26. August 2022
von Dr. Markus Böhme, LL.M. (Nottingham), Dr. Christian Ertel
Verabschiedung des Osterpakets – Was ändert sich für den Bereich der Windenergie?
Power Play: Renewable Energy Update
21. July 2022
von Dr. Markus Böhme, LL.M. (Nottingham), Dr. Christian Ertel
KritisV: Erneuerbare-Energien-Anlagen als Kritische Infrastruktur und Anforderungen an den IT-Schutz
Power Play: Renewable Energy Update
4. July 2022
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E, Dr. Markus Böhme, LL.M. (Nottingham)
Liquefied Natural Gas-Vorhaben in Deutschland: Das LNG-Beschleunigungsgesetz
Power Play: Renewable Energy Update
10. June 2022
Finanzielle Beteiligung von Kommunen im Rahmen von Wind- und Photovoltaik-Projekten: § 6 EEG 2021 und das „Osterpaket“ des BMWK
Power Play: Renewable Energy Update
5. May 2022
Renewable Energy Wrap-Up - Großbritannien
Power Play: Renewable Energy Update
15. March 2022
Gebäudeenergieeffizienz: Neufassung der Richtlinie über die Gesamtenergieeffizienz von Gebäuden
Power Play: Renewable Energy Update
14. February 2022
Preisspaltung in der Grundversorgung – was Grundversorger jetzt beachten müssen
Power Play: Renewable Energy Update
4. February 2022
von Dr. Markus Böhme, LL.M. (Nottingham), Dr. Stefan Horn, LL.B.
Fit for 55 – Wasserstoff und die Reform des Europäischen Gasmarktes
Power Play: Renewable Energy Update
6. January 2022
Renewable Energy Wrap-Up – Netherlands
Power Play: Renewable Energy Update
2. December 2021
Renewable Energy Wrap-Up – Poland
Power Play: Renewable Energy Update
21. September 2021
von Olav Nemling
Renewable Energy Wrap-Up – Österreich
Power Play: Renewable Energy Update
18. August 2021
Renewable Energy Wrap-Up – Deutschland
Power Play: Renewable Energy Update
12. July 2021
von Carsten Bartholl
Schwimmende Fundamente für Offshore-Windparks
Power Play: Renewable Energy Update
8. June 2021
Artenschutzrechtliche Ausnahme – Bedeutung für die Windenergie
Power Play: Renewable Energy Update
25. May 2021
Wasserstoff-Infrastruktur: Power-to-Hydrogen
Power Play: Renewable Energy Update
29. March 2021
Fokus PV: Agri-PV- und Floating-PV-Anlagen
Power Play: Renewable Energy Update
23. March 2021
Fokus EEG – Erneuerbare Energien Gesetz
Power Play: Renewable Energy Update
9. March 2021
Hot Topics im Energiebereich 2021: EEG-Novelle, Wasserstoff und BEHG
Power Play: Renewable Energy Update
21. January 2021
Related Insights
NIS2: Bedeutung der neuen Richtlinie zur Netz- und Informationssicherheit für die Energiewirtschaft
Power Play: Renewable Energy Update