NIS2 und Cyber Resilience Act im EVU-Alltag

Im ersten Teil dieser Blogreihe wurde eingeordnet, warum Cyber Security für Energieversorger zur strategischen Managementaufgabe wird. Die neuen EURegime verändern die Rahmenbedingungen grundlegend und verschieben Verantwortung, Steuerung und Governance. Dieser zweite Teil geht einen Schritt weiter. Er beleuchtet die operativen Auswirkungen von NIS2 für Energieversorger und des Cyber Resilience Act und zeigt, welche konkreten Pflichten in Beschaffung, Betrieb, Lieferkette und Incident Response entstehen. 

Die Anforderungen des Cyber Resilience Acts (CRA) betreffen Energieversorger unmittelbar. Ab dem 11. Dezember 2027 dürfen in der EU nur noch Produkte mit digitalen Elementen in Verkehr gebracht werden, die den CRA-Vorgaben entsprechen. Energieversorger sind zwar meist nicht selbst Hersteller, tragen jedoch Verantwortung für die sichere Auswahl, Integration und den Betrieb dieser Produkte. Dies betrifft Netzleittechnik, Smart-Meter-Gateways sowie IT- und OT-Systeme.

Der CRA verlangt umfassende Lieferkettentransparenz. Energieversorger müssen durch Lieferantenbewertung und Vertragsgestaltung sicherstellen, dass Hersteller Sicherheitsanforderungen erfüllen, Updates bereitstellen und die notwendige Dokumentation vorlegen. Ergänzend gelten ab dem 1. August 2025 neue Cybersicherheitsanforderungen für bestimmte Funkanlagen gemäß der RED-Delegiertenverordnung. Seitdem dürfen Geräte ohne RED-Konformität nicht mehr in den Verkehr gebracht werden. 

Zentrale Maßnahmen für Energieversorger 

• Transparenz über eingesetzte Produkte schaffen und die CRA-Konformität frühzeitig prüfen. 

• Sicherheitsdokumentation und SBOM von Herstellern einfordern. 

• Lieferantenbewertungen etablieren und Sicherheitsstandards vertraglich absichern. 

• Beschaffungsrichtlinien anpassen, sodass CRA und REDCompliance verbindliche Kriterien werden. 

• Teams schulen, damit Beschaffung und Technik die neuen Anforderungen sicher umsetzen können. 

Mit NIS2 für Energieversorger steigen die Anforderungen an die Erkennung und Meldung von Sicherheitsvorfällen erheblich. Bei erheblichen ITSicherheitsvorfällen müssen Energieversorger gemäß BSIG § 32 innerhalb von 24 Stunden eine Vorwarnung, innerhalb von 72 Stunden eine detailliertere Meldung und nach spätestens einem Monat einen Abschluss- oder Fortschrittsbericht abgeben. Parallel dazu verpflichtet der CRA-Hersteller ab September 2026, aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle zu melden. Diese Informationen sollten Energieversorger unmittelbar in ihre eigenen Prozesse integrieren. 

Zentrale Maßnahmen für Energieversorger 

• Ein integriertes Incident-Response-Konzept entwickeln, das CRAM-Meldungen und NIS2-Pflichten verbindet. 

• Ein kontinuierliches Sicherheitsmonitoring etablieren, etwa durch SOC-Strukturen oder SIEM-Lösungen. 

• Klare Meldeketten und Zuständigkeiten definieren sowie Erreichbarkeit sicherstellen. 

• Behördenkontakte vorbereiten, um Meldewege und Ansprechpartner im Ernstfall zu kennen. 

• Regelmäßige Übungen durchführen, um Abläufe und Fristen realistisch zu testen. 

Der Cyber Solidarity Act stärkt die europäische Zusammenarbeit bei groß angelegten Cyberbedrohungen. Dazu gehören gemeinsame Vorbereitungsmechanismen sowie die EUCybersecurityReserve, die im Krisenfall technische Unterstützung bereitstellt. Energieversorger sollten ihre Notfallorganisation so ausrichten, dass sie mit nationalen und europäischen Strukturen kompatibel ist, um eine reibungslose Kooperation zu gewährleisten.

Zentrale Maßnahmen für Energieversorger 

• Notfall- und Wiederanlaufpläne um europaweite Szenarien erweitern. 

• Kommunikationsstrukturen mit dem BSI fest verankern. 

• An branchenweiten Übungen teilnehmen und interne Stresstests durchführen. 

• Multidisziplinäre Krisenteams aufbauen und trainieren. 

• Technische und organisatorische Resilienzmaßnahmen wie redundante Leitstellen und Offline-Kommunikation stärken.

Der dritte Teil der Blogreihe widmet sich den organisatorischen und rechtlichen Dimensionen der neuen EU-Vorgaben. Im Mittelpunkt stehen Governance, Haftung, Versicherbarkeit und der notwendige Kulturwandel, der Cyber Resilienz bei Energieversorgern dauerhaft in die Unternehmensführung verankert.