Der Schutz kritischer Infrastrukturen ist ein zentrales Anliegen der deutschen Regierung und der EU. Mit dem verabschiedeten NIS2-Gesetz wird der Bereich der IT-Sicherheit im Energiesektor erweitert. Deutlich mehr Geschäftsbereiche und Abläufe in Ihrem Unternehmen sind betroffen. IT-Security darf dabei nicht als lästige Pflicht abgehakt werden, sondern sollte als Cyber-Resilienz in die DNA Ihres Unternehmens aufgehen.
Drei Fragen und Antworten:
Warum sollten sich Unternehmen der Energiewirtschaft jetzt mit NIS2, CRA und dem KRITISDach-Gesetz auseinandersetzen?
Der deutsche Gesetzgeber hat das NIS2-Gesetz sehr spät auf den Weg gebracht. NIS2 ist jedoch nur ein Baustein in einer Reihe von Gesetzen und Verordnungen. Inzwischen gibt es den Cyber Resilience Act (CRA) und Anfang 2026 ist das KRITISDach-Gesetz in Kraft getreten. Welche Anforderungen auf die Unternehmen der Energiewirtschaft zukommen, ist nun weitgehend klar.
IT-Security, Informationssicherheit und Cyber-Resilienz lassen sich jedoch nur über einen längeren Veränderungsprozess erreichen.
Ich befürchte viel neue Bürokratie und Verwaltungsaufwand durch das NIS2-Gesetz und die anderen Regularien! Worauf müssen wir uns einstellen?
Der gesetzliche Rahmen des NIS2-Gesetzes ist für uns alle neu und die Regelungen müssen noch an die Anforderungen des Unternehmensalltags angepasst werden. Wir sehen aber, dass die verantwortlichen Behörden (insbesondere das BSI) niedrigschwellige Angebote zur Unterstützung der Unternehmen bei der „Bürokratie” vorbereiten. Dabei handelt es sich häufig um sehr pragmatische und einfach umzusetzende Lösungen, die auch in KMU (kleinen und mittleren Unternehmen) funktionieren.
Natürlich ist es einfacher, wenn Sie bereits KRITIS-Geschäftsbereiche in Ihrem Unternehmen haben. Die größere Herausforderung bleibt jedoch, die Akzeptanz für Cyber-Resilienz im Unternehmen zu schaffen. Die Einrichtung und der Betrieb von IT-Security-Tools gelingen nur, wenn die Organisation diese Maßnahmen unterstützt. Die Pflichtmeldungen und das Berichtswesen erfolgen dann in der Regel automatisiert über diese IT-Security-Tools.
Die physische Sicherheit (Schutz der technischen Anlagen und Einrichtungen) und die Operational Technology (OT) sind in Deutschland in den letzten Monaten in den Fokus gerückt. Bei diesen „Hardware“-Themen gibt es aber immer auch eine „Software“-Seite. Cyber-Resilienz ist das Rückgrat der physischen Sicherheit und verbindet OT und IT.
Wie können wir unser Unternehmen am besten vor Cyber-Attacken schützen?
In unserem Seminar gehen wir auf verschiedene Vorgehensweisen, geeignete IT-Services und Kooperationsmöglichkeiten ein. Letztendlich hängt die Vorgehensweise sehr von Ihrer Unternehmensstrategie und Ihren internen Kapazitäten ab. Die Zusammenarbeit mit spezialisierten IT-Dienstleistern bietet sich an, da IT-Security branchenübergreifend ähnlich ausgestaltet werden kann.
Die spezifischen Anforderungen des Energiesektors sind jedoch gesondert zu betrachten und erfordern die Zusammenarbeit verschiedener Geschäftsbereiche in Ihrem Unternehmen (Netz, Energiedienstleistungen, MSB, IT, OT, Prozessmanagement, Risikomanagement). Es gibt Besonderheiten wie spezielle Angriffsvektoren und das Zusammenwirken unterschiedlicher Regelungen zur IT-Security in den Lieferketten.