Der Schutz kritischer Infrastrukturen steht im Fokus neuer Sicherheitsregelungen in Deutschland, Österreich und der Schweiz. Energieversorger und Infrastrukturunternehmen müssen sich auf umfassende Vorgaben einstellen, die physische Sicherheit, Cybersecurity und Resilienz betreffen. Dieser Artikel beleuchtet die neuen Gesetze und ihre praktischen Folgen.
Deutschland im Fokus: Die Synergie von KRITIS-Dachgesetz und NIS2 für die Energieversorgung
Die kontinuierliche Weiterentwicklung gesetzlicher Regelungen für die Sicherheit von Energieversorgern in Deutschland hat mit dem KRITIS-Dachgesetz und der NIS2-Richtlinie einen signifikanten Meilenstein erreicht. Beide Regime sind darauf ausgerichtet, die physische und cybertechnische Absicherung von Anlagen entscheidend zu verbessern und somit eine robuste Infrastruktur für die Energieversorgung zu gewährleisten.
Das KRITIS-Dachgesetz schafft einen einheitlichen Rechtsrahmen für den physischen Schutz kritischer Infrastrukturen in Deutschland. Dabei werden kritische Anlagen anhand qualitativer und quantitativer Kriterien klassifiziert, wie beispielsweise der Versorgung von über 500.000 Personen oder der besonderen Bedeutung für andere Sektoren. Die gesetzlich festgelegten Pflichten für Betreiber, die sich nach Registrierung als kritische Anlage ergeben, umfassen eine Vielzahl von Aspekten. Energieunternehmen müssen eine umfassende Risikoanalyse nach dem All-Gefahren-Ansatz durchführen, bei der natürliche Gefahren, Sabotage und Zulieferer-Ausfälle berücksichtigt werden. Darüber hinaus sind Unternehmen angehalten, Resilienzmaßnahmen und -pläne zu erstellen und umzusetzen, die baulichen Schutz, Notstromversorgung und Sicherheitsüberwachungen integrieren.
Parallel dazu verlangt die NIS2-Richtlinie von mehr Unternehmen – darunter auch mittleren und großen Energieversorgern – ein erweitertes Informationssicherheits-Management. Ein umfassendes Risikomanagement für Netz- und Informationssysteme wird verpflichtend, welches Sicherheitsrichtlinien, Identitätsmanagement und Datenschutzstrategien einschließt. Zudem werden strenge Meldepflichten bei Sicherheitsvorfällen gegenüber der zuständigen Behörde vorgeschrieben, mit einer besonderen Betonung auf die Verantwortlichkeit der Unternehmensleitung für die Bewältigung von Cybersicherheitsrisiken.
Ein integriertes Sicherheits- und Resilienzkontinuum muss in den Unternehmen geschaffen werden, das die physischen Sicherheitsaspekte des KRITIS-Dachgesetzes mit den Cybersecurity-Anforderungen der NIS2-Richtlinie vereint. Solch ein ganzheitlicher Ansatz erfordert auch die Implementierung gemeinsamer Risikoanalysen, die sowohl für ein robustes Business Continuity Management sorgen als auch sicherstellen, dass die Geschäftsleitung über alle Maßnahmen informiert und verantwortlich ist.
Österreich weitet sein KRITIS-Regime mit dem NISG 2026 massiv aus
Das neue Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) markiert einen radikalen Wandel in der Sicherheitslandschaft für kritische Infrastrukturen und Betreiber in Österreich. Mit diesem Gesetz wird die Umsetzung der EU-Richtlinie NIS2 formalisiert, wodurch das bisherige NIS-Gesetz von 2018 abgelöst wird. Das NISG 2026 tritt am 1. Oktober 2026 in Kraft und bringt umfassende Neuerungen bezüglich der Sicherheitsanforderungen mit sich.
Ein zentrales Merkmal des NISG 2026 ist die Erweiterung der Anwendungsbereiche, die nunmehr 18 Sektoren von hoher gesellschaftlicher und wirtschaftlicher Relevanz umfassen. Dazu zählen Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung, um nur einige zu nennen. Dieser breite Ansatz führt dazu, dass mehrere tausend Einrichtungen unter das Regime fallen gegenüber bisher rund 100 klassisch definierten KRITIS-Unternehmen.
Das Gesetz unterscheidet zwischen sogenannten wesentlichen und wichtigen Einrichtungen: Erstere unterliegen strengeren Auflagen und höheren Sanktionen. Sie umfassen Betreiber in besonders sensiblen Sektoren wie Energie und Gesundheit. Wichtige Einrichtungen hingegen unterstehen einer weniger intensiven Aufsicht.
Mit der Einführung eines zentralen Registers für wesentliche und wichtige Einrichtungen sichert Österreich einen einheitlichen Überblick und fördert den unionsweiten Informationsaustausch. Die Organisationen müssen binnen drei Monaten nach Inkrafttreten des Gesetzes ihre Registrierung abschließen und innerhalb von zwölf Monaten eine umfassende Selbstbewertung ihrer Sicherheitsmaßnahmen vorlegen.
Aus technischer Sicht verstärkt das NISG 2026 die Anforderungen an das Risikomanagement, welches jetzt noch stärker an internationalen Standards wie ISO 27001 ausgerichtet wird. Dazu gehören umfassende Sicherheitsmaßnahmen wie Netzsegmentierung und Schwachstellenmanagement. Die Meldepflichten für Cybervorfälle sind verschärft und erfordern eine schnellstmögliche Reaktion.
Das Bundesamt für Cybersicherheit übernimmt die Aufsicht und Durchsetzung, ausgestattet mit umfassenden Befugnissen, um Sicherheitsstandards durchzusetzen und Sanktionen zu verhängen. Dieser hochgradig regulierte Ansatz unterstreicht Österreichs Entschlossenheit, Cybersicherheit als wesentlichen Aspekt seiner nationalen Schutzstrategie für kritische Infrastrukturen zu behandeln.
Die schweizerische SKI-Strategie: Stärkung der nationalen Resilienz im Vergleich zu KRITIS
Die Schweiz verfolgt mit ihrer nationalen SKI-Strategie einen eigenen Ansatz zum Schutz kritischer Infrastrukturen, der sowohl Ähnlichkeiten als auch signifikante Unterschiede zu den KRITIS-Anforderungen der EU aufweist. Beide setzen auf die Stärkung der Resilienz kritischer Strukturen und fordern regelmäßige Gefährdungsbewertungen. Interessanterweise hat die Schweiz ihre Strategie bereits 2012 eingeführt und zuletzt im Juni 2023 auf den neuesten Stand gebracht, was prädikativ zum fortschrittlichen Ansatz im Vergleich zur EU-Richtlinie erscheint.
Ein auffallender Unterschied zeigt sich im geografischen Fokus. Während die EU die grenzüberschreitende Kooperation stärkt, fokussiert sich die Schweiz eher auf die Förderung der innerstaatlichen Resilienz. Besonders hervorgehoben wird die Rolle der resilienten Behörden in der Schweiz, die aktiv die Betreiber kritischer Infrastrukturen bei Störungen unterstützen – ein Aspekt, der in der EU weniger betont wird.
In Bezug auf Cyber-Vorgaben kombiniert die Schweiz die SKI-Strategie mit der Nationalen Cyber-Risiko-Strategie (NCS), die direkten Bedrohungen durch Cyberangriffe entgegenwirkt. Der Bundesrat hat im Juni 2023 Maßnahmen verabschiedet, die unter anderem eine Meldepflicht für Cyberangriffe umfassen. Diese tritt ab April 2025 in Kraft, während das Bundesamt für Cybersicherheit (BACS) ab März 2024 zuständig für die IKT-Minimalstandards ist.
Der in der Schweiz verfolgte Ansatz beruht auf Eigenverantwortung der Betreiber. Es gibt keine verpflichtenden gesetzlichen Sicherheitsmaßnahmen, vielmehr wird von den Betreibern erwartet, eigenständig Schutzkonzepte zu entwickeln. Diese dezentrale Herangehensweise unterscheidet sich merklich von den obligatorischen Regelungen der EU. Die Resilienz der im SKI-Inventar verzeichneten Objekte steht dabei immer im Vordergrund und spiegelt die schweizerische Präferenz zur innerstaatlichen Souveränität wider.
Herausforderungen und Strategien für die Energiewende: Energieversorger im Fokus
Energieversorger und Infrastrukturunternehmen stehen vor beispiellosen Herausforderungen und Chancen, die sich durch die Energiewende ergeben. Zentrale und dezentrale Energiequellen wie Photovoltaik, Windkraft und Biomasse drücken die Großhandels-Spotpreise und verändern die traditionellen Geschäftsmodelle grundlegend. Netzbetreiber müssen ihre Infrastruktur dynamisch anpassen und sich gleichzeitig auf geprüft zuverlässige Netzstrukturen stützen. Netze werden nicht nur ausgebaut, sondern auch in ihrer Funktion optimiert, um erhöhte Einspeisungen effizient zu managen.
Die Großhandelsmärkte sind einem intensiven Wandel unterzogen, wobei konventionelle Kraftwerke zunehmend durch flexible, dezentrale Systeme ersetzt werden. Energieversorger müssen ihre Einnahmensstrategien umstellen. Sie bewegen sich weg von reinen kWh-Margen hin zu Kapazitäts-, Flexibilitäts- und Dienstleistungsentgelten. Marktanpassungen sind unumgänglich, um mit der Volatilität und den neuen Preisbildern Schritt halten zu können. Das Einbinden von Technologien wie Speicherlösungen und Demand Response wird zur Norm.
Zudem finden Stadtwerke eine neue Rolle als Katalysatoren der Energiewende. Ihre Nähe zu Kommunen und Bürgern macht sie zu idealen Kandidaten, um lokale Energiesysteme und nachhaltige Projekte anzutreiben. Die Sektorenkopplung bei kommunalen Energiesystemen verstärkt diesen Trend, indem Strom, Wärme und Verkehr effizienter miteinander verknüpft werden. Smart Grids und digitale Plattformen ermöglichen, Überkapazitäten ins Netz zu integrieren oder in Power-to-Heat-Prozessen zu nutzen.
Doch all diese Entwicklungen geschehen unter strengem regulatorischem Druck. Hohe Compliance-Anforderungen und steigende Transaktionskosten fordern Energieversorger heraus, insbesondere in Bezug auf die Einhaltung von Umweltschutzrichtlinien. Investitionen in die Zukunft erfordern finanzielle Sicherheit und klare strategische Ansätze, um innovative und zugleich nachhaltige Geschäftsmodelle zu etablieren.
Um solche strategischen Linien erfolgreich umzusetzen, ist eine umfassende Organisationsentwicklung notwendig, die den Wandel in Richtung Kooperation und Integration fördert. Wer all diese Faktoren integriert, wird nicht nur den Übergang zur Energiewende bewältigen, sondern sie aktiv und profitabel mitgestalten können.
Fazit
Die Einführung der neuen Sicherheitsanforderungen durch das KRITIS-Schutzgesetz und andere EU-weite Richtlinien erfordert von Energieversorgern in D/A/CH, ihre Sicherheitssysteme zu überdenken und anzupassen. Dies bietet die Gelegenheit, die Infrastruktur zukunftssicher zu gestalten und die Resilienz gegen potenzielle Bedrohungen zu erhöhen.
Über uns
Fibu-Magazin ist ein hochwertiges und luxuriöses Magazin für den deutschen Unternehmer und Steuerberater
