Wie Windkraftbetreiber den gestiegenen NIS2-Anforderungen gerecht werden

Sicherheit für Netz und Infrastruktur ist längst nicht mehr nur ein Thema für die großen Player in unserer Branche: auch kleine Betreiber bis hin zu Privatanlagen sind Cyberangriffen ausgesetzt. Wir erklären, welche rechtlichen Grundlagen bestehen und was Betreiber beachten müssen.

Mai 2026

Ob Cyberangriffe passieren, ist heute nicht mehr die Frage. Die Frage ist eher: Wann und in welchem Ausmaß wird etwas passieren. So berichten große Energieversorger von täglich mehreren hundert Angriffen.[1] Doch davon sind nicht nur große Unternehmen betroffen: Das Hacking ist heute automatisiert und KI sucht gezielt nach Schwachstellen in Systemen. Dabei sind die Branche oder die Größe des Unternehmens unerheblich – auch kleine Wind- oder Photovoltaikparks oder sogar private Kleinanlagen sind gefährdet.[2]

Daher wird auch für sie Cyberresilienz zum entscheidenden Faktor. Das Ziel ist es, Angriffe schnell genug zu erkennen und zu stoppen.

 

Welche Gesetze regeln Cybersicherheit?

Abgesehen davon, dass Personen und Unternehmen ein eigenes Interesse an Cyberresilienz haben, macht auch der Gesetzgeber Vorgaben, denn sein Interesse ist der Schutz der kritischen Infrastruktur (KRITIS). Die rechtlichen Grundlagen dafür finden sich unter anderem in der europäischen Richtlinie für Netz- und Informationssicherheit (NIS-2), die im Januar 2023 in Kraft trat.[3] Das deutsche Gesetz zur Umsetzung der Richtlinie ist das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).[4] Es ist am 6. Dezember 2025 in Kraft getreten und deckt Unternehmen in 18 Sektoren ab.

 

Welche Unternehmen sind betroffen?

Das Gesetz unterscheidet zwischen „besonders wichtigen Einrichtungen“ (bwE) und „wichtigen Einrichtungen“ (wE). Neben den allgemein gültigen Faktoren hängt die Einteilung in bwE und wE bei Betreibern von Erneuerbare-Energien-Anlagen auch von der installierten Leistung und der Einstufung als KRITIS-Unternehmen ab.

Besonders wichtige Einrichtung:

  • Anlagen ab 420 MW installierter Leistung gelten als Kritische Infrastruktur. Hier gelten die strengsten Anforderungen und sofortige Nachweispflichten.
  • Große Unternehmen mit mehr als 250 Mitarbeitern oder über 50 Millionen Euro Umsatz (und > 43 Mio. Euro Bilanzsumme).

Wichtige Einrichtung:

  • Mittlere Unternehmen mit mehr als 50 Mitarbeitern oder über 10 Millionen Euro Umsatz.

 

Darüber hinaus greifen für viele Betreiber Besonderheiten. So müssen laut Energiewirtschaftgesetz (z.B. § 11 EnWG[5]) und KRITIS-Verordnung Betreiber von Energieanlagen, die im Sinne des Gesetzes „erheblich“ sind (oft schon ab 104 MW[6]), IT-Sicherheit nach dem Stand der Technik umsetzen. Dafür ist ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder dem IT-Sicherheitskatalog der Bundesnetzagentur notwendig. Auch über die Lieferkette können Unternehmen vertraglichen Sicherheitsanforderungen unterliegen, z.B. wenn sie an einen Direktvermarkter liefern.

 

Was müssen Betreiber tun?

Betreiber von Windparks, Solarparks oder Biogasanlagen sollten folgende Punkte prüfen:

  • Prüfen Sie, ob Sie beim BSI gemeldet sein müssen. Doch Obacht: Die Frist dafür war März 2026.
  • Setzen Sie technische und organisatorische Maßnahmen wie die Verschlüsselung oder Zugriffskontrollen gemäß § 30 BSIG um. Sichern Sie auch die Fernsteuerung und beachten Sie Schnittstellen zum VPN oder zur Leitwarte. Dies sind kritische Prüfpunkte für das BSI.
  • Sichern Sie Ihre Supply Chain und prüfen Sie, ob auch Dienstleister wie Wartungsfirmen und Fernsteuerungs-Dienstleister sicher arbeiten.
  • Beachten Sie Meldepflichten. Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (Update) an das BSI gemeldet werden.
  • Lassen Sie sich schulen. Geschäftsführer müssen nachweisen, dass sie zum Thema Cybersicherheit geschult wurde (§ 38 BSIG).

 

IT-Sicherheit in unserem Strom-Direktvermarktungsvertrag

Für unsere Kunden haben wir unseren Strom-Direktvermarktungsvertrag aktuell um das Thema IT-Sicherheit ergänzt. Darin weisen wir darauf hin – wie auch gesetzlich vorgesehen – dass jeder Vertragspartner verpflichtet ist, geeignete technische und organisatorische Maßnahmen für seine informationstechnischen Systeme, Komponenten und Prozesse und die ausgetauschten Daten zu gewährleisten sowie Meldepflichten einzuhalten.

 

Sie haben Fragen zur IT-Sicherheit? Melden Sie sich gern bei uns!

<a class="arrow">renewables@vattenfall.de</a>

Hier finden Sie weitere Informationen zu unseren Dienstleistungen: 

<a class="button">Zur Artikelübersicht</a>

 

[1] https://www.wiwo.de/unternehmen/energie/netzinfrastruktur-eon-zahl-der-cyberangriffe-hat-massiv-zugenommen/100208898.html

[2] https://www.neueenergie.net/artikel/wissen/infrastruktur/cyberangriff-windpark-hacking-automatisiert

[3] https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-2-Richtlinie/nis-2-richtlinie.html

[4] https://www.recht.bund.de/bgbl/1/2025/301/VO.html

[5] https://www.gesetze-im-internet.de/enwg_2005/__11.html

[6] https://www.gesetze-im-internet.de/bsi-kritisv/anhang_1.html