Das NIS-2-Umsetzungsgesetz erweitert die Anforderungen im Energiewirtschaftsgesetz (EnWG). Erstmals fallen auch digitale Energiedienste wie virtuelle Kraftwerke unter die Regulierung. Der neue IT-Sicherheitskatalog fordert Risikomanagement, Systeme zur Angriffserkennung und sichere Komponenten nach EU Cybersecurity Act. ISO 27001, 27019 und 22301 bilden das Fundament.
Digitale Energiedienste wie virtuelle Kraftwerke fallen mit NIS 2 erstmals unter neue IT-Sicherheitskataloge mit erweiterten Nachweispflichten.
Während der Brandanschlag auf eine Kabelbrücke in Berlin Anfang dieses Jahres bundesweit für Schlagzeilen gesorgt hat, ist eine andere Nachricht hierzulande kaum wahrgenommen worden: Nur wenige Tage zuvor stand unser Nachbarland Polen kurz vor einem landesweiten Blackout – laut Vize-Ministerpräsident Krzysztof Gawkowski verursacht durch einen russischen Cyberangriff. Derartige Sabotage-Akte verleihen der regulatorischen Absicht der NIS-2-Richtlinie, die Cyberresilienz unter anderem auch im Energiesektor weiter zu erhöhen, erneut Nachdruck.
Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) der Bundesregierung ist am 6. Dezember 2025 als sogenanntes Artikelgesetz veröffentlicht worden. Zahlreiche bestehende Gesetze werden angepasst, allen voran das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)“, aber eben auch das Energiewirtschaftsgesetz. Für die Energiewirtschaft werden die bisherigen Anforderungen der § 11 Abs. 1a/1b EnWG a.F. (alte Fassung) in den § 5c EnWG n.F. (neue Fassung) umgezogen. Die bestehenden Anforderungen an die IT-Sicherheit werden hier neu strukturiert und erweitert.
Wie bislang auch werden die angemessenen Schutzanforderungen von der Bundesnetzagentur (BNetzA) im IT-Sicherheitskatalog bestimmt, allerdings – und das ist in dieser Deutlichkeit neu – im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese stärkere Bindung an das BSI ist Stand März 2026 aber noch herzustellen. Die BNetzA verweist daher darauf, dass bis zur Veröffentlichung eines neuen IT Sicherheitskatalogs – geplant ist derzeit ein einheitlicher Katalog – die bisherigen IT Sicherheitskataloge nach § 11 Abs. 1a/1b EnWG a.F. übergangsweise für die bestehenden Adressaten gelten.
Stichwort Adressaten: Bisher konzentrierten sich die regulatorischen Anforderungen auf Netz- und Anlagenbetreiber. Mit dem Inkrafttreten des neuen IT-Sicherheitskatalogs erweitert sich dieser Kreis um die sogenannten digitalen Energiedienste. Hierunter fallen insbesondere virtuelle Kraftwerke, also der Zusammenschluss vieler dezentraler Energieanlagen wie etwa Photovoltaik- oder Windparks. Diese „Aggregatoren“ hatten als Betreiber Kritischer Infrastrukturen bisher eine Nachweispflicht gegenüber dem BSI, die nun entfällt. Stattdessen werden für digitale Energiedienste neue Nachweispflichten und Fristen nach dem neuen IT-Sicherheitskatalog gelten.
Der neue IT-Sicherheitskatalog: Komplexe Anforderungen für Betreiber
Einer der wesentlichen Punkte des neuen § 5c Abs. 3 EnWG ist, dass der künftige IT Sicherheitskatalog ein dem jeweiligen Risiko angemessenes Sicherheitsniveau für informationstechnische Systeme, Komponenten und Prozesse vorsieht. Die Anforderungen im IT Sicherheitskatalog müssen sich dabei an einschlägigen europäischen und internationalen Normen orientieren, den Stand der Technik berücksichtigen und zugleich die wirtschaftlich vertretbaren Umsetzungskosten im Blick behalten.
Zu den im gleichen Paragrafen formulierten Mindestvorgaben des IT-Sicherheitskatalogs – die den Risikomanagementanforderungen der NIS-2-Richtline und des neuen BSIG entsprechen – gehören unter anderem: Risikomanagement sowie Incident- und Business Continuity-Management, die Sicherheit der Lieferkette, Maßnahmen zur Cyberhygiene oder Schutzmechanismen wie MFA und Verschlüsselung.
Dieser Anforderungsrahmen für den neuen IT-Sicherheitskatalog enthält dabei wesentliche Elemente, die Informationssicherheits-Managementsysteme (ISMS) nach ISO/IEC 27001 in Verbindung mit der branchenspezifischen ISO/IEC 27019 grundsätzlich bereits erfüllen. Wer zuvor bereits unter die IT-Sicherheitskataloge fiel und ein zertifiziertes ISMS nachweisen musste, verfügt somit über eine solide Basis. Und erstmalig betroffene Betreiber werden die erwähnten Normen zukünftig über die neue IT-Sicherheitskataloge berücksichtigen müssen.
Weiterhin wird der Einsatz von Systemen zur Angriffserkennung (SzA) zum integralen Bestandteil des neuen IT-Sicherheitskatalogs. SzA erkennen Anomalien und bekannte Bedrohungen in IT/OT-Infrastrukturen, um die Integrität und Verfügbarkeit kritischer Energieversorgungssysteme sicherzustellen. Das bisher eigenständige Prüfverfahren gegenüber BSI bzw. BNetzA wird entfallen und der Umsetzungsnachweis der entsprechenden SzA-Anforderungen wird Teil des IT-Sicherheitskatalogs.
Der bereits im alten IT Sicherheitskatalog geforderte Netzstrukturplan bildet dabei genau die Systemlandschaft und Kommunikationsbeziehungen ab, in denen SzA Systeme zu verorten sind (Leitsysteme, Kommunikation, Fernwirktechnik, externe Dienstleister). Ohne derartige Netzstrukturpläne lässt sich nicht nachvollziehbar begründen, ob SzA angemessen platziert, sicherheitsrelevante Segmente abgedeckt und Schnittstellen zu Drittanbieter-Diensten oder Office-IT berücksichtigt sind. Die Betreiber werden also nicht umhinkommen, ihre kritischen IT-/OT-Systeme dementsprechend darzustellen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Gesetzgeber konzentriert sich aber nicht allein auf SzA und die Netzwerkstrukturen insgesamt, sondern auch auf die einzelnen Bestandteile.
Der neue IT‑Sicherheitskatalog enthält erstmals auch konkrete Vorgaben zum Einsatz sogenannter sicherer Komponenten. Gemeint sind IKT-Produkte, -Dienste und -Prozesse mit Zertifizierung nach dem EU-Cybersecurity Act. Das ISMS hat diese zu berücksichtigen, was insbesondere Beschaffungs- und Change-Prozesse für sicherheitskritische Funktionen sowie dokumentierte Kriterien zur Auswahl, Überwachung und Rezertifizierung solcher Komponenten umfasst.
Konkret sind also Beschaffungsrichtlinien, das Lieferantenmanagement und die Vertragsgestaltung anzupassen. Strategisch müssen sich betroffene Betreiber mit späteren Austauschpflichten und neben den Sicherheitsaspekten auch mit sog. Lock-In-Risiken, d.h. Interoperabilität, Wechselmöglichkeiten und Vermeidung einseitiger Herstellerabhängigkeiten, auseinandersetzen.
Der Bezug zum neuen KRITIS-Dachgesetz (KRITIS-DachG-E)
NIS‑2 und der IT‑Sicherheitskatalog adressieren vorrangig Anforderungen an die Cyber‑ und Informationssicherheit der Betreiber. Darüber hinaus verlangt das KRITIS‑DachG-E in der aktuellen Beschlussfassung vom 29. Januar 2026 nun auch eigenständige Nachweise zur physischen und gesamtbetrieblichen Resilienz kritischer Anlagen. Betreiber müssen künftig auch bewerten, wie widerstandsfähig ihre Anlagen gegenüber Naturereignissen, physischen Angriffen, Sabotage oder länger andauernden Ausfällen sind – man denke hier noch einmal an den Vorfall in Berlin – und entsprechende Resilienzpläne nachweisen. Der IT-Sicherheitskatalog der BNetzA soll dabei als Grundlage für eine einheitliche Nachweisführung der IT Sicherheitsanforderungen und Resilienzpflichten in den Bereichen Strom, Erdgas und Wasserstoff dienen.
Für betroffene Betreiber wichtig zu wissen: Die Vorgaben korrespondieren inhaltlich mit den Anforderungen an ein Business Continuity Management System nach ISO 22301. Die Norm und deren Maßnahmen basieren dabei auf den gleichen Grundprinzipien wie die ISO 27001, lassen sich für Betreiber also in einem integrierten Managementsystem mit ihrem ISMS verbinden. Insgesamt bilden die drei Normen ISO 27001, 27019 und 22301 ein starkes Fundament, um sowohl die Vorgaben des novellierten EnWG als auch des KRITIS-DachG-E effizient umzusetzen.
Über den Autor: Markus Jegelka ist DQS-Produktexperte für Informationssicherheits-Managementsysteme (ISMS) und langjähriger Auditor für die Regelwerke ISO 9001, ISO/IEC 27001 sowie IT-Sicherheitskataloge § 11 Abs. 1a/b EnWG mit Prüfverfahrenskompetenz für § 8a (3) BSIG.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a2/8da27fc7c09f2450bd5214b4f257eb6d/0130046697v2.jpeg "Hybride Angriffe umfassen Cyberangriffe, Desinformationskampagnen, Sabotage an kritischen Infrastrukturen, psychologische Kriegsführung, Wirtschaftsspionage, politische Einflussnahme und Terrorismus, oft in Kombination, um Unsicherheit und Instabilität zu erzeugen. (Bild: © Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/65/d6/65d68a4361e126b94d503df6bb261ba3/0130366883v2.jpeg "Cyberkriminelle könnten sich mit den von AstraZeneca Zugang zu internen Systemen verschaffen, gezielte Phishing‑ und Supply‑Chain‑Angriffe starten, geistiges Eigentum stehlen oder sabotieren und das Unternehmen erpressen. (Bild: © elimicel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/64/54644475acec039714a3eccc088b6c43/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/76/73/76739779efb9769d8db4c9d4a39848ef/0130322258v2.jpeg "Digitale Energiedienste wie virtuelle Kraftwerke fallen mit NIS 2 erstmals unter neue IT-Sicherheitskataloge mit erweiterten Nachweispflichten. (Bild: © Sepia100 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/a3/eca37fce2ba0d38dad094cc1703dfe91/0130327741v2.jpeg "LLM-Fail: Eine vom Kunden gemeldete RCE-Sicherheitslücke wurde fälschlicherweise als „Low“ eingestuft. (Bild: © tadamichi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/03/b4/03b4c15b48445e79113c6b95bcf7317c/0129192770v1.jpeg "Lageansicht statt Monitorwand: In der Sicherheitszentrale erscheinen Türen, Kameras und Sensorik als Geopositionen. Videosequenzen werden erst bei korrelierten Signalen und nach Zonenüberschreitung in den Vorfallprozess eingeblendet. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/83/80832d33f44c7d00f2e5b873efb154de/0130371229v1.jpeg "Der Bundestag hat die Entwürfe zum Data Act und zum Daten Governance Gesetz mit Änderungen verabschiedet. Nun können die EU‑Vorgaben in deutsches Recht umgesetzt werden. (Bild: Casiana Malaia's via Canva)")
:quality(80)/p7i.vogel.de/wcms/71/b8/71b89342d5495344574b15b04a52df74/0130317518v2.jpeg "CRA und NIS2 fordern überprüfbare Software-Sicherheit. Hersteller müssen sichere Entwicklung attestieren, Betreiber diese Nachweise durch SBOM und Provenance validieren. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/3f/be3f0a2f5d8add0792f692767111cc40/0130308668v2.jpeg "Cyberkriminelle, die Netzwerkzugriff über HTTP erlangt haben, können anfällige Oralce-Instanzen übernehmen. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/d2/43d2604538d6ae5a50d26cccc98cb9e6/0130112281v1.jpeg "IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und bildet einen Ordnungsrahmen für die IT. (Bild: @indypendenz via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/a0/8a/a08ac0cb9a60ba7fa981a3b9ff8ba04f/0129989079v1.jpeg "BitLocker bietet mehrere Optionen zur Sicherung des Wiederherstellungsschlüssels, wie den Schlüssel auf einem USB-Laufwerk zu speichern oder in einem Microsoft-Konto zu hinterlegen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/1b/671b7b77086d8/cii-logo-schriftzug-mit-icon-bk.png "cii-logo-schriftzug-mit-icon-bk (cyberintelligence.institue)"){kind=icon}
:quality(80)/p7i.vogel.de/wcms/46/1d/461db8f24d67ff95304f0e01dc86d423/0128706664v2.jpeg "Seit dem 3. Januar 2026 herrscht in Berlin der Ausnahmezustand. Ein großer Stromausfall legte nicht nur Teile der Stadt lahm, sondern sorgt auch für Sorgen um die Sicherheit kritischer Infrastrukturen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/12/d1/12d1aa66b27a6c3cf6e293ce2a01e8f6/0126960388v4.jpeg "Mit einem Cyberangriff auf die polnische Wasserversorgung erlebte Polen einen der bedeutendsten Hackerangriffe seit Russlands Invasion der Ukraine. Als Reaktion auf tägliche Attacken erhöht die polnische Regierung ihr Sicherheitsbudget. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/de/7fde7f3479bb930bd007e1d8e7a09ffb/0128963385v1.jpeg "Wir sprechen im Security-Insider-Podcast mit Rechtsanwalt Dr. Dr. Fabian Teichmann über Haftungsfragen im Rahmen der NIS-2-Richtlinie und geben auch gleich konkrete Handlungsempfehlungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b3/f6/b3f6bbdf0f6bffac6f5a51a2579644f4/0128963385v1.jpeg "Wir sprechen im Podcast mit Jannik Christ über pragmatische Ansätze für die NIS2-Umsetzung im Mittelstand. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ae/94/ae94d62bde4caa8391c5046a3a14e0c6/0129591098v1.jpeg "Am 17. Februar 2026 begann eine massive DDoS-Attacke auf die Deutsche Bahn, die die Webseite und die Buchungs-App lahm legte. (Bild: Logo: DB-Systel)")
:quality(80)/p7i.vogel.de/wcms/62/c4/62c44271d4375ddce05dd15a7d43c271/0125174957v2.jpeg "Es ist richtig und wichtig, dass die Umsetzung der NIS-2-Richtlinie priorisiert erfolgt, damit die deutschen Unternehmen und auch die öffentlichen Einrichtungen Rechtssicherheit erhalten. (Bild: © Muhammad - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1f/82/1f823ab25008d6f88089e53a47579cd4/0124815255v2.jpeg "NIS-2 zwingt Unternehmer und öffentliche Stellen zum Handeln, da keine Übergangsfrist vorgesehen ist. Die vom BSIG-E formulierten Pflichten müssen die Einrichtungen daher erfüllen können, sobald das Gesetz gilt. (Bild: © Muhammad - stock.adobe.com)")