Das NIS-2-Umsetzungsgesetz, das im Dezember 2025 in Kraft getreten ist, hatte als Artikelgesetz Auswirkungen auf verschiedene andere Gesetze. Für das Energiewirtschaftsgesetz (EnWG) ergaben sich die Neuerungen aus Artikel 17.
Mit der Novellierung des EnWG gibt es für Strom- und Gasnetzbetreiber, Energieanlagenbetreiber sowie akkreditierte Zertifizierungsstellen wichtige Änderungen, denn die vormaligen Regelungen aus § 11 Abs. 1a–1g EnWG wurden gestrichen und zum § 5c–e EnWG verschoben.
Auch das BSI-Gesetz (BSIG) wurde durch das NIS-2-Umsetzungsgesetz neu gefasst. Im BSIG wird jetzt zwischen besonders wichtigen Einrichtungen (bwE) und wichtigen Einrichtungen (wE) unterschieden, wobei die KRITIS-Betreiber immer zu den besonders wichtigen Einrichtungen zählen – aber auf diesen Punkt kommen wir später noch einmal zurück.
Gemäß EnWG müssen alle Strom- und Gasnetzbetreiber sowie die unter KRITIS fallenden Energieanlagenbetreiber ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO/IEC 27001 und ISO/IEC 27019 einführen und die Umsetzung gegenüber der Bundesnetzagentur (BNetzA) mit einem akkreditierten Zertifikat nachweisen. Dazu sind entsprechende Zertifizierungsstellen von der DAkkS nach IT-Sicherheitskatalog gem. § 11 Abs. 1a EnWG (aF) für Strom- und Gasnetzbetreiber sowie nach IT-Sicherheitskatalog gem. § 11 Abs. 1b EnWG (aF) für Energieanlagenbetreiber akkreditiert worden.
Weitere Neuerung: Neben Strom- und Gasnetzbetreibern sowie Energieanlagenbetreibern kommen nun als dritte Position die „Betreiber digitaler Energiedienste“ hinzu. Das sind auch die sog. Aggregatoren, die virtuelle Kraftwerke betreiben. Aggregatoren fielen bislang als Kritische Infrastruktur unter die BSI-§ 8a-Nachweise; das wegen NIS-2 novellierte BSIG sieht nunmehr vor, dass diese Aggregatoren unter EnWG – also die BNetzA-Verantwortung – fallen.
Neuerungen durch § 5c EnWG
§ 5c EnWG adressiert die folgenden Betreiber:
- Betreiber eines Energieversorgungsnetzes, das sind also die Strom- und Gasnetzbetreiber,
- Betreiber einer Energieanlage, die nach BSIG als besonders wichtige Einrichtung (bwE) oder wichtige Einrichtung (wE) klassifiziert sind, also die Kraftwerksbetreiber,
- Betreiber eines digitalen Energiedienstes, die nach BSIG als besonders wichtige Einrichtung (bwE) oder wichtige Einrichtung (wE) klassifiziert sind.
Die genannten Betreiber müssen laut § 5c Abs. 1 EnWG einen „angemessenen Schutz gegen Bedrohungen“ für „Telekommunikationssysteme und für elektronische Datenverarbeitungssysteme, die für den sicheren Betrieb des Energieversorgungsnetzes [bzw. der Anlage] notwendig sind“ umsetzen.
Dazu wird die BNetzA einen (oder mehrere) IT-Sicherheitskataloge erstellen und alle zwei Jahre oder bei Bedarf aktualisieren. Die IT-Sicherheitskataloge werden typische Anforderungen aufweisen, die ein ISMS gemäß ISO/IEC 27001 i.V.m. ISO/IEC 27019 erfüllt. Die bisherigen IT-Sicherheitskataloge dürften damit diese Anforderungen grundsätzlich erfüllen. Die Systeme zur Angriffserkennung (SzA) – mit Bezug zu NIS-2/BSIG – bleiben erhalten.
Neu ist der zukünftig verpflichtende Einsatz von IKT-Produkten mit Cybersicherheitszertifizierung gemäß europäischem Schema nach Art. 49 der Verordnung (EU) 2019/881 (Rechtsakt zur Cybersicherheit, CSA). Diese Verordnung definiert, wie europaweit Produkte hinsichtlich Cybersicherheit zertifiziert werden.
Als Fristen werden in § 5c Abs. 6 EnWG im Wesentlichen sechs Monate gefordert.
An § 5c EnWG schließen sich noch weitere Vorgaben an:
- Dokumentations-, Melde-, Registrierungspflicht in § 5d EnWG, mit Verweisen auf das BSI-Gesetz
- Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen in § 5e EnWG
Zusammenspiel zwischen EnWG und BSIG
Der Gesetzgeber hat in den letzten Jahren umfangreiche Regelungen zu Kritischen Infrastrukturen geschaffen, die für das Funktionieren des Gemeinwohles unentbehrlich sind – etwa den § 8a BSIG (aF) mit der KRITIS-VO für Kritische Infrastrukturen und das EnWG für Strom- und Gasnetzbetreiber sowie Energieanlagenbetreiber. Und hier gab es Querbezüge: Strom- und Gasnetzbetreiber mussten unabhängig von den KRITIS-Schwellwerten einen Nachweis gegenüber der BNetzA erbringen, Energieanlagenbetreiber nur dann, wenn sie unter KRITIS fielen. Alle anderen Kritischen Infrastrukturen mussten gegenüber dem BSI einen § 8a-Nachweis erbringen. Meldepflichten gegenüber dem BSI galten für alle. Und für die Systeme zur Angriffserkennung samt Nachweispflichten war das BSI zuständig.
Diese Regelungen wurden jetzt geradegezogen, ganz zentral dazu: § 28 BSIG definiert die besonders wichtigen Einrichtungen (bwE) und wichtige Einrichtungen (wE). Und hier – unter Abs. 5 Nr. 2 – werden einige Paragraphen für Energieversorgungsnetze, Energieanlagen oder digitale Energiedienste ausgeklammert. Hieran lässt sich also explizit nachlesen, welche Anforderungen des BSIG durch spezifischere Regelungen des EnWG überlagert werden.
Akkreditierung
Zur Nachweisführung sind Zertifizierungsstellen gemäß des BNetzA-Konformitätsbewertungsprogramms durch die DAkkS akkreditiert worden – die datenschutz cert ist eine der Stellen, die nach IT-Sicherheitskatalog gemäß § 11 Abs. 1a und 1b EnWG akkreditiert sind.
Wie ist nun damit umzugehen, dass § 11 Abs. 1a und 1b durch § 5c EnWG ersetzt wurden?
Nach Verlautbarung der BNetzA auf der Webseite zum IT-Sicherheitskatalog und nach Rücksprache mit BNetzA und DAkkS gilt: „Bis zur Veröffentlichung eines neuen IT-Sicherheitskatalogs gelten die IT-Sicherheitskataloge nach § 11 Abs. 1a und 1b EnWG (alte Fassung) weiterhin für die bestehenden Adressaten (Netz- und Anlagenbetreiber).“
Das bedeutet für unsere § 11 Abs. 1a bzw. 1b EnWG-Zertifikate: Sie bleiben gültig. Und auch die Überwachungsaudits werden in bewährter Form fortgeführt.
Fazit
Mit dem neuen § 5c EnWG werden die bisherigen Regelungen aus § 11 Abs. 1a und 1b EnWG (aF) fortgeführt. Ferner werden im novellierten EnWG die Neuerungen aus dem BSIG einbezogen.
Betroffen von den Neuerungen sind insbesondere
- Strom- und Gasnetzbetreiber als Betreiber von Energieversorgungsnetzen,
- Kraftwerksbetreiber (Betreiber von Energieanlage)
- und neu: Betreiber eines digitalen Energiedienstes, was womöglich die Aggregatoren zur Steuerung virtueller Kraftwerke umfasst.
Die Anforderungen werden von der BNetzA noch in einem neuen IT-Sicherheitskatalog zusammengefasst; bis dahin bleibt es bei der bewährten Praxis.
Mehr Informationen
Ausführliche Informationen finden Sie in unserem Whitepaper.