NIS-2 Umsetzungsgesetz in Deutschland vor Inkrafttreten – Auswirkungen auf Erneuerbare-Energie-Unternehmen

Die Umsetzung der NIS-2-Richtlinie in Deutschland steht unmittelbar bevor. Die NIS-2 Richtlinie wird in Deutschland durch das NIS-2-Umsetzungsgesetz umgesetzt. Dieses bildet wesentliche Pflichten im neu gefassten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG-E) ab, behält zugleich aber die bisherigen spezialgesetzlichen Regelungen – auch für den Energiesektor – bei, jedoch in modifizierter Form (EnWG-E).

Für Unternehmen, die Anlagen zur Erzeugung oder Nutzung erneuerbarer Energien (Erneuerbare-Energie-Unternehmen) betreiben, stellt sich nun die Frage, ob und in welchem Umfang die NIS-2 Umsetzung erstmals Anforderungen an ihre IT-Sicherheit schafft bzw. in welchem Umfang die bestehende Regulierung erweitert wird. Der vorliegende Beitrag stellt die Unterschiede für Erneuerbare-Energie-Unternehmen zwischen aktueller und zukünftiger Rechtslage dar und gibt einen Ausblick auf das weitere Rechtssetzungsverfahren.

1. Bisherige Rechtslage

Erneuerbare-Energie-Unternehmen unterliegen bereits gegenwärtig, insbesondere aufgrund von § 11 Abs. 1 EnWG (Betrieb von Energieversorgungsnetzen und Energieanlagen), der Pflicht, Maßnahmen zur IT-Sicherheit umzusetzen. Diese Pflichten gelten für Betreiber von Energieanlagen zudem nur, wenn das Erneuerbare-Energie-Unternehmen Anlagen betreibt, die zugleich als sog. kritische Infrastruktur gelten und unterschiedliche versorgungsrelevante Schwellenwerte (Daumenregel: Versorgung von 500.000 Menschen) erreichen.

Die zu ergreifenden konkreten Maßnahmen in der IT-Sicherheit gemäß EnWG ergeben sich aus den IT-Sicherheitskatalogen der Bundesnetzagentur (BNetzA). Zentral ist insbesondere die Einführung eines zertifizierten Managementsystems für Informationssicherheit (ISMS).

Jedoch sind Betroffene bisher nicht verpflichtet, sämtliche ihrer informationstechnischen Systeme, Komponenten, oder Prozesse (IT-Landschaft) an den IT-Sicherheitskatalogen auszurichten. Von der EnWG-Regulierung erfasst ist die IT-Landschaft nur insoweit, wie sie für einen sicheren Netzbetrieb notwendig ist.

2. Künftige Rechtslage

Vom BSIG-E erfasst werden nunmehr Erneuerbare-Energie-Unternehmen, die entweder eine kritische Infrastruktur betreiben oder mindestens 50 Mitarbeiter bzw. EUR 10 Mio. Jahresumsatz und Jahresbilanzsumme vorweisen (Konzernzugehörigkeit wird hierbei -anteilig- berücksichtigt) sowie eine in den Anlagen 1 und 2 des BSIG-E regulierte Tätigkeit erbringen.

Das sind insbesondere folgende Tätigkeiten:

(a) Stromlieferanten nach § 3 Nummer 31c EnWG

(b) Betreiber von Elektrizitätsverteilernetzen nach § 3 Nummer 3 EnWG

(c) Betreiber von Übertragungsnetzen nach § 3 Nummer 10 EnWG

(d) Betreiber von Erzeugungsanlagen nach § 3 Nummer 18d EnWG

(e) Aggregatoren nach § 3 Nummer 1a EnWG

(f) Betreiber von Energiespeicheranlagen nach § 3 Nummer 15d EnWG

(g) Ladepunktbetreiber nach § 2 Nummer 8 LSV

(h) Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung

Die Pflichten des BSIG-E gelten für das ganze Unternehmen. Entsprechend erfasst § 30 BSIG-E die IT-Landschaft, die für die Erbringung der Dienste genutzt wird. Nach der Gesetzesbegründung umfasst dies bereits die allgemeine Büro-IT.

Komplexwird es nun für Erneuerbare-Energie-Unternehmen, die dem Anwendungsbereich der neu geschaffenen §§ 5c bis 5e EnWG-E unterfallen.

Das sind: 

(a) Betreiber eines Energieversorgungsnetzes

(b) Betreiber einer Energieanlage

(c) Betreiber eines digitalen Energiedienstes

Denn diese sind dann von den meisten Pflichten nach BSIG-E befreit und hinsichtlich der Reichweite und Umfang der zu ergreifenden Risikomanagementmaßnahmen gilt nicht § 30 BSIG-E, sondern § 5c EnWG.

§ 5c EnWG setzt aber dem Wortlaut nach die bisherige Systematik fort und die IT-Landschaft ist nur insoweit zu schützen, wie sie für den sicheren Betrieb notwendig ist. Demgegenüber soll nach der Gesetzesbegründung aber auch nach § 5c EnWG die gesamte IT-Landschaft des betroffenen Unternehmens reguliert werden.

Es stellt sich also die Frage, wie mit dieser Unklarheit umzugehen ist. Jedenfalls für Erneuerbare-Energie-Unternehmen, dieneben der Sparte Energie auch weitere nach BSIG-E regulierte Tätigkeiten erbringen, enthält § 28 Abs. 5 Satz 2 BSIG-E insoweit die Aussage, dass diesbezüglich dann die Pflichten des BSIG-E zusätzlich gelten (also die gesamte verbliebene IT-Landschaft dem BSIG-E unterfällt).

Letztlich bleibt abzuwarten, ob die Bundesnetzagentur in ihren künftigen Sicherheitskatalogen (wie bisher auch) deren Geltungsbereich definiert und hierüber Klarheit schafft, auch um Fälle zuordnen zu können, in denen beispielsweise keine Trennung der IT-Landschaft besteht, sondern einzelne IT-Systeme (wie etwa ein ERP-System) vom ganzen Unternehmen genutzt werden.

3. Sanktionen, Bußgelder und Geschäftsleiterpflichten

Das BSIG-E und EnWG sehen strenge Rechtsfolgenregelungen für die Verletzung der Compliance-Vorgaben vor. Für betroffene Erneuerbare-Energie-Unternehmen bedeutet dies je nach Schwere des Verstoßes:

(a) Bußgelder bis zu EUR 10.000.000 oder 2 % des weltweiten Jahresumsatzes;

(b) Das BSI bzw. die Bundesnetzagentur können bei Nichteinhaltung der Pflichten zu ergreifende Sicherheitsmaßnahmen, wie etwa die Einführung bestimmter Sicherheitssysteme anordnen.

Vorstände und Geschäftsführer Erneuerbarer-Energie-Unternehmen sollten sich auch vor Augen halten, dass § 38 BSIG-E bzw. § 5e EnWG explizit herausstellt, dass die Missachtung von Compliance-Regelungen unmittelbar zur Organhaftung gegenüber der betroffenen Gesellschaft führt – die Überwachung der NIS-2-Compliance ist also Chefsache und Teil der persönlichen Geschäftsführerverantwortung. Auch müssen sich Geschäftsleiter regelmäßig schulen lassen. Eine fehlende Schulung wird u. E. im Zweifel dazu führen, dass daraufhin festgestellte Verstöße gegen NIS-2-Umsetzungsregelungen als Organisationsverschulden der Geschäftsleitung gewertet werden.

4. Ausblick und Empfehlungen

BSIG-E und EnWG-E sehen strenge und komplexe IT-Compliance Maßnahmen vor. Das neue Regelwerk macht es aufgrund versteckter Verweisstrukturen herausfordernd zu erkennen, welche Erneuerbare-Energie-Unternehmen unter welche Vorschriften fallen. Umso wichtiger ist es, dass sich Vorstände und Geschäftsführer schnell einen Überblick über möglichen Handlungsbedarf schaffen, Gap-Analysen durchführen und ggf. ihre ISMS aktualisieren. Denn das NIS-2 Umsetzungsgesetz nimmt Geschäftsleitungen nicht nur unmittelbar und persönlich in Haftung. Der aktuelle Gesetzesentwurf sieht darüber hinaus keine Umsetzungsfristen vor.

Nach erfolgter Lesung im Bundestag hat der Bundesrat am 26. September 2025 eine Stellungnahme zu dem Gesetz abgegeben, die jedoch nur einzelne Anmerkungen zu Domains und Unterstützungsaufgaben der Bundesländer beinhaltet. Mit einem zeitnahen Inkrafttreten (ggf. noch in diesem Jahr) ist daher zu rechnen.

Zurück zur Übersicht