Die NIS2-Richtlinie (Network and Information Security 2, EU 2022/2555) erweitert die Cybersicherheits-Pflichten erheblich. In Deutschland umgesetzt durch das NIS2UmsuCG, gilt sie seit Oktober 2024 verbindlich. Für die Energiebranche und insbesondere PV-Anlagen, Batteriespeicher und Direktvermarkter bringt sie 2026 deutlich höhere Anforderungen.
Betroffene Marktteilnehmer
| Sektor (Energie) | Schwelle |
|---|---|
| Stromerzeugung | > 100 MW |
| Stromübertragung / -verteilung | alle |
| Aggregatoren / Direktvermarkter | relevante Größe |
| Speicherbetreiber | > 50 MW |
| E-Mobilitäts-Ladepunkt-Betreiber | relevante Größe |
Kernpflichten
- Risikomanagement-System für Cyber-Risiken
- Vorfallsmeldepflicht binnen 24 Stunden an BSI
- Lieferketten-Sicherheit (Cyber-Hygiene der Zulieferer)
- Business-Continuity-/Disaster-Recovery-Pläne
- Verschlüsselung sensibler Daten
- Multi-Faktor-Authentifizierung
- Mitarbeiter-Trainings
- Geschäftsleitungs-Verantwortung explizit zugewiesen
Sanktionen
- Bußgelder bis 10 Mio. € oder 2 % des Konzern-Umsatzes
- Persönliche Haftung der Geschäftsleitung
- Veröffentlichung von Verstößen (Naming & Shaming)
- Ggf. Aussetzung der Betriebserlaubnis
Praxisbeispiel: 80-MW-Solarpark
- NIS2-Schwellwert für Erzeuger erst ab 100 MW erfüllt – selbst nicht direkt betroffen
- Aber: Direktvermarkter als Aggregator vermutlich NIS2-pflichtig
- Vertragliche Weitergabe-Verpflichtung in O&M-Vertrag
- Cyber-Audit-Kosten dieses Solarparks: 18–35 T€
FAQ NIS2 Energiebranche
Wann ist NIS2 wirksam?
Wer ist im PV-Bereich betroffen?
Erzeuger ab 100 MW, Direktvermarkter, Aggregatoren mit signifikantem Marktanteil und Speicherbetreiber ab 50 MW.
Was passiert bei Cyber-Vorfällen?
Meldepflicht binnen 24 Stunden, dann detaillierter Bericht binnen 72 Stunden, Schlussbericht binnen einem Monat.
Welche Compliance-Standards werden gefordert?
ISO 27001, IT-Grundschutz nach BSI, IEC 62443 für industrielle Steuerungssysteme.
Wie viel investieren Energieunternehmen für NIS2-Compliance?
2024/25 typisch 0,4 bis 0,8 Prozent des Jahresumsatzes für die Einrichtung, 0,2 bis 0,4 Prozent jährlich für den Betrieb.
Hinweis: Allgemeine fachliche Information, keine Rechts-, Anlage- oder Versicherungsberatung. Konkrete Risiko-, Versicherungs- oder Governance-Fragen sollten mit qualifizierten Beratern (Versicherungsmakler, Wirtschaftsprüfer, Steuerberater, Anwälte) abgestimmt werden.
