Wir sind kein KRITIS-Betreiber. Sind wir NIS-2-betroffen?

Wahrscheinlich ja, wenn Sie mindestens 250 Mitarbeitende oder 50 Millionen Euro Umsatz haben und in den Energie-Untergruppen (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff) tätig sind. NIS-2 setzt nicht auf KRITIS-Schwellen, sondern auf Unternehmensgröße und Sektor-Zugehörigkeit. Die rechtliche Bewertung bleibt einer Kanzlei vorbehalten. Wir liefern die fachliche Einordnung im Risiko-Check.

Was ist der Unterschied zwischen NIS-2 und KRITIS-VO für uns?

NIS-2 ist Sektor-breit angelegt (verschiedene Energie-Untergruppen), KRITIS-VO ist anlagen-orientiert (z. B. Versorgungs-Anlagen ab bestimmten Schwellen). Wer KRITIS-Betreiber ist, ist meist auch NIS-2-betroffen. Wer NIS-2-betroffen ist, ist nicht automatisch KRITIS. Die Pflichten überlappen, sind aber unterschiedlich detailliert. Die Cybervize-Plattform mappt beide Kontroll-Sets gemeinsam.

Müssen wir spezielle Pflichten für Smart-Meter-Gateways einhalten?

Ja, Smart-Meter-Gateways unterliegen zusätzlich der Schutzprofil-Pflicht nach BSI TR-03109 und §52 MsbG. Das ist eine eigene Regulierungs-Schicht neben NIS-2 und KRITIS. Im NIS-2-Kontext sind Smart-Meter-Infrastrukturen Teil der Risiko-Analyse und brauchen dokumentierte Krypto-Konzepte.

Welche Meldewege sind für uns relevant?

Bei einem Cybersicherheits-Vorfall: 24 Stunden Erstmeldung an das BSI, 72 Stunden Folgemeldung, ein Monat Abschlussbericht. KRITIS-Betreiber haben zusätzlich Meldepflichten nach §8b BSIG. Bei Energie-spezifischen Vorfällen kommen Pflichten gegenüber Bundesnetzagentur dazu. Mehrgleisige Meldepflichten brauchen ein Reporting-System, das die Wege parallel bedient.

Wie lange dauert die NIS-2- und KRITIS-Vorbereitung?

Bei Versorgern mit einer Erzeugungs- und einer Netz-Infrastruktur typisch 12 bis 16 Wochen für eine prüffähige NIS-2-Readiness, abhängig von OT-Komplexität und KRITIS-Status. Multi-Anlagen-Betreiber brauchen 20 bis 26 Wochen. Die genaue Aufwandsschätzung kommt aus dem Risiko-Check.

NIS-2 für Energieversorger

Energie ist Anhang I. Wesentliche Einrichtung. Höchste Pflicht.

Anhang I des NIS2UmsuCG erfasst Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff) als wesentliche Einrichtung. Ab 250 Mitarbeitenden oder 50 Millionen Euro Umsatz greifen die Pflichten. Für KRITIS-Betreiber kommen Schwellen-VO und BSIG-Pflichten hinzu. Die Cybervize-Plattform deckt ISMS, OT-Assessment und KRITIS-Reporting in einer Lösung ab.

NIS-2-Risiko-Check buchen

Cybervize-Plattform Reifegrad-Report nach ISO 27001 als Beleg branchenuebergreifender Beratungskompetenz

Was NIS-2 für Energieversorger konkret bedeutet

Strom-, Gas-, Wärme- und Wasserstoff-Versorger gehören grundsätzlich zu NIS-2-Anhang I als „besonders wichtige Einrichtung"; zusätzlich greift häufig die KRITIS-Verordnung, sobald anlagen-bezogene Schwellen überschritten werden. Vier Konsequenzen aus dieser Klassifikation für den typischen Energieversorger. Sektor allein reicht nicht: KRITIS-Eigenschaft und NIS-2-Klassifikation hängen zusätzlich von Größenwerten und konkretem Versorgungsumfang ab. Die rechtliche Bewertung bleibt einer spezialisierten Kanzlei vorbehalten.

01 · Scope

Wesentliche Einrichtung mit proaktiver Aufsicht

Anhang I bedeutet höchste Sanktionsstufe, aktive BSI-Aufsicht und schnellere Eingriffsrechte. Bei Mängeln wird das BSI nicht nur informiert, es kommt vor Ort.

02 · Scope

KRITIS-VO als zweite Regelschicht

Wer KRITIS-Schwellen überschreitet (etwa 500.000 versorgte Personen bei Strom), wird zusätzlich KRITIS-Betreiber. Die Pflichten überlappen sich, sind aber nicht identisch. NIS-2 ist breiter im Sektor-Scope, KRITIS-VO tiefer bei den Anlagen-Anforderungen.

03 · Scope

Erweiterte Meldepflichten an das BSI

Bei wesentlichen Einrichtungen verkürzen sich teilweise die Reaktionsfristen, und der Inhalt der Meldungen wird stärker reguliert. Erstmeldung 24 Stunden, Folgemeldung 72 Stunden, Abschlussbericht spätestens nach einem Monat plus mögliche Unterrichtungs-Pflichten gegenüber Kundinnen.

04 · Scope

OT-Schwerpunkt: Leitwarten, SCADA, Smart-Grid

Operational Technology ist im Energie-Sektor der dominierende Angriffspunkt. Leitwarten, SCADA-Anbindungen, Smart-Meter-Gateway-Infrastruktur und Wartungs-Zugänge brauchen segmentierte Architektur und kontinuierliches Monitoring.

Fünf NIS-2-Mindestmaßnahmen am Energie-Beispiel

Fünf der zehn Mindestmaßnahmen nach §30 NIS2UmsuCG, übersetzt in Energie-Praxis.

Risikoanalyse und Sicherheit für Informationssysteme

OT- und IT-Risiken integriert bewertet, mit Smart-Grid-Anbindungen, Leitwarten und Erzeugungs-Anlagen. Smart Metering und Marktkommunikation kommen als eigenständige Risikolandschaft hinzu.

Kryptographie und Verschlüsselung

BSI-konforme Krypto-Konzepte für Smart-Meter-Gateways, Steuerungs-Kommunikation und Fernwartungs-Tunnel. Schlüsselmanagement zentral und auditierbar.

Sicherheit beim Erwerb und Wartung

Lieferanten-Audits für SCADA-Hersteller und Wartungs-Dienstleister. Fernwartungs-Zugänge dokumentiert, Patch-Management für Steuerungen mit Wartungsfenstern abgestimmt.

Multi-Faktor-Authentifizierung und Zugriffskontrolle

MFA für Leitwarten-Zugänge, privilegierte Konten gesondert, Rollen-Modell für OT separat vom Office-IT-RBAC. Notfall-Zugänge dokumentiert.

Business Continuity und Krisenmanagement

BCM-Pläne für Erzeugungs-Ausfälle, Netz-Wiederaufbau-Übungen, Schwarzstart-Fähigkeit. Plus Krisenkommunikation an Regulator und Endkundinnen.

Cybervize-Bausteine für Energieversorger

Die Cybervize-Plattform deckt ISMS, BCM, Assessment und Lieferantenrisiko in einer Lösung ab. Für Energie-Versorger zusätzlich KRITIS-Reporting und OT-Module relevant.

Service 01

NIS-2-Risiko-Check

Kostenloses 30-Minuten-Erstgespräch mit indikativer NIS-2-Einordnung, Top-5-Lücken und Pfad-Empfehlung.

Mehr erfahren Service 02

Cybervize-Plattform

ISMS, Compliance und Nachweisführung aus einer Plattform. Multi-Entity, Multi-Country, KI-gestützt.

Mehr erfahren Service 03

Virtual CISO

Plattform plus dauerhafte CISO-Funktion. Für Häuser ohne eigenen CISO.

Mehr erfahren Service 04

NIS-2-Einführungsprojekt

Gap-Assessment, Roadmap, Implementierung über die Plattform. Festpreis ab 4.500 Euro.

Mehr erfahren

Selbst-Check verfügbar

NIS-2-Reifegrad-Check: 30 Fragen, 10 Pflichtbereiche aus §30 BSIG, Sofort-Ampel

Kostenfrei, ohne Anmeldung, etwa 5 Minuten. Detail-Auswertung optional per Email.

Check starten

Warum Cybervize für die Energiebranche passt

Branchen-Erfahrung in Energie und KRITIS aus 25 Jahren ISMS-Praxis bei PwC, Deloitte und KPMG. ISO 27001 Lead Auditor seit 2006, BSI IT-Grundschutz Auditor. Methodik vorrangig auf auditfähige Nachweisführung gegenüber BSI ausgelegt.

KRITIS: BSIG- und KRITIS-VO-Coverage
OT: SCADA-, Leitwarten-, Smart-Grid-Erfahrung
2006: ISO 27001 Lead Auditor seit
24/72h: BSI-Meldewege dokumentiert

Häufige Fragen aus der Energiebranche

NIS-2 und KRITIS in 30 Minuten einordnen

Kostenloser Risiko-Check mit indikativer NIS-2-Einordnung, KRITIS-Schwellen-Indikator, Top-5-Lücken und Pfad-Empfehlung. Idealerweise dabei: CISO oder IT-Sicherheits-Leitung plus Geschäftsführung.

NIS-2-Risiko-Check buchen

Mitgliedschaften, Programme und Partnerschaften

Energie ist Anhang I. Wesentliche Einrichtung. Höchste Pflicht.

Was NIS-2 für Energieversorger konkret bedeutet