NIS2 und KRITIS: Neue IT-Pflichten für Stadtwerke und Energieversorger
Mit NIS2 (BSI – NIS-2-regulierte Unternehmen) und den KRITIS-Anforderungen (BSI – Kritische Infrastrukturen) ist der Druck auf Stadtwerke und Energieversorger seit dem neuen BSI-Gesetz im Dezember 2025 stark gestiegen. Energieunternehmen müssen ihre Schutzmaßnahmen besser dokumentieren, Risiken klarer bewerten und Angriffe schneller erkennen sowie melden. Dabei gelten enge Fristen – erhebliche Vorfälle müssen das BSI innerhalb von 24 Stunden erreichen. Wer diese Fristen nicht einhält, riskiert empfindliche Bußgelder.
Im Mittelpunkt stehen Themen wie Risikobewertung, Angriffserkennung, Notfallplanung, Lieferkettenkontrolle und der Schutz kritischer Systeme. Besonders wichtig ist außerdem, dass Stadtwerke ihre Maßnahmen gegenüber Behörden und Prüfern klar belegen können. Das gilt nicht nur für die eigene IT, sondern auch für externe Dienstleister und Cloud-Anbieter mit Zugang zu kritischen Systemen. Viele Stadtwerke unterschätzen gerade diesen Punkt – dabei kann ein schlecht abgesicherter Dienstleister schnell zur eigenen Schwachstelle werden.
Die Verantwortung der Geschäftsführung rückt dabei stärker in den Fokus. NIS2 schreibt vor, dass die Führungsebene Schutzmaßnahmen aktiv freigibt, regelmäßig überprüft und sich schulen lässt. Wer das versäumt, riskiert im Ernstfall persönliche Haftung. IT-Sicherheit wird damit zur echten Führungsaufgabe – nicht nur zur Aufgabe der IT-Abteilung. Gerade in kleineren Stadtwerken fehlt dieses Bewusstsein noch häufig.
Für viele Stadtwerke bedeutet das einen grundlegenden Wandel in der IT-Organisation. Neben Netz- und Betriebssicherheit gewinnen Dokumentation, Meldewesen, Sicherheitsüberwachung und Cloud-Schutz stark an Gewicht. Viele Einrichtungen stehen dabei vor der Herausforderung, diese Themen mit begrenzten internen Ressourcen umzusetzen. Ein strukturierter Einstieg – etwa mit einer Bestandsaufnahme der eigenen IT-Sicherheitslage – hilft, Prioritäten zu setzen und gezielt zu handeln. Wer jetzt handelt, schafft die Basis für sichere Abläufe und schützt gleichzeitig die Versorgung der Menschen in der Region.