NIS2 für Stadtwerke: Was kommt auf kommunale Versorger zu?

Q: Sind Stadtwerke von NIS2 betroffen?

Viele Stadtwerke fallen als Betreiber kritischer oder wichtiger Einrichtungen unter NIS2, weil sie zur Energie- und Wasserversorgung beitragen. Ob ein konkretes Stadtwerk betroffen ist, hängt von Sektor und Größe ab und sollte im Einzelfall geprüft werden.

Q: Welche Pflichten bringt NIS2 mit sich?

Im Kern geht es um drei Bereiche: ein angemessenes Risikomanagement für die IT-Sicherheit, Meldepflichten für erhebliche Sicherheitsvorfälle und technisch-organisatorische Mindestmaßnahmen. Hinzu kommt die Verantwortung der Leitungsebene für die Umsetzung.

Q: Wie bereiten sich Stadtwerke auf NIS2 vor?

Sinnvoll ist ein strukturiertes Sicherheitsmanagement (ISMS), das Risiken, Maßnahmen und Nachweise systematisch erfasst. Wer früh prüft, ob er betroffen ist, und ein ISMS aufbaut, erfüllt die Anforderungen geordnet statt unter Zeitdruck.

Was ist NIS2?

NIS2 ist eine EU-Richtlinie zur Cybersicherheit. Sie verpflichtet bestimmte Unternehmen und Einrichtungen zu einem angemessenen Risikomanagement, zu Meldepflichten bei Sicherheitsvorfällen und zu Mindestsicherheitsmaßnahmen. „NIS" steht für Netz- und Informationssicherheit; die „2" kennzeichnet die überarbeitete, deutlich erweiterte Fassung der ursprünglichen Richtlinie. In Deutschland wird NIS2 über das BSI-Gesetz (BSIG) in nationales Recht überführt.

Sind Stadtwerke von NIS2 betroffen?

Viele Stadtwerke fallen unter NIS2, weil sie mit Strom-, Gas-, Wärme- oder Wasserversorgung zu den versorgungskritischen Sektoren beitragen. Die Richtlinie unterscheidet dabei zwischen „kritischen" (wesentlichen) und „wichtigen" Einrichtungen. Ob und in welche Kategorie ein einzelnes Stadtwerk fällt, hängt vom Sektor und von der Größe des Unternehmens ab. Diese Einordnung sollte jedes Haus für sich prüfen — pauschale Aussagen führen hier leicht in die Irre.

Welche Pflichten bringt NIS2 mit sich?

Betroffene Einrichtungen müssen vor allem drei Dinge leisten: ein angemessenes Risikomanagement für ihre IT-Sicherheit, die Meldung erheblicher Sicherheitsvorfälle an die zuständige Stelle und die Umsetzung technischer und organisatorischer Mindestmaßnahmen (etwa zu Zugriffsschutz, Notfallvorsorge und Lieferketten). Neu ist außerdem, dass die Leitungsebene ausdrücklich in die Verantwortung genommen wird: Geschäftsführungen müssen die Maßnahmen veranlassen und überwachen.

Wie bereiten sich Stadtwerke auf NIS2 vor?

Der erste Schritt ist die Prüfung, ob und wie das eigene Haus betroffen ist. Darauf folgt der Aufbau eines strukturierten Sicherheitsmanagements: Ein Informationssicherheits-Managementsystem (ISMS) erfasst Risiken, Maßnahmen und Nachweise systematisch und macht die Erfüllung der Anforderungen belegbar. Wer das frühzeitig angeht, kann die Vorgaben geordnet umsetzen, statt später unter Zeitdruck zu reagieren. Ein einzelnes Stadtwerk muss dafür kein eigenes Spezialistenteam aufbauen — die Aufgabe lässt sich in der Kooperation bündeln.

Häufige Fragen zu NIS2

Ist NIS2 dasselbe wie die KRITIS-Regulierung?

Nein, aber die Themen überschneiden sich. KRITIS-Vorgaben betreffen Betreiber kritischer Infrastrukturen schon länger; NIS2 erweitert den Kreis der verpflichteten Einrichtungen und vereinheitlicht die Anforderungen europaweit. Manche Stadtwerke sind von beidem betroffen.

Ab wann gilt NIS2 für uns?

NIS2 gilt EU-weit; entscheidend für die konkreten Pflichten ist die nationale Umsetzung im BSIG. Da sich der Stand der Gesetzgebung ändern kann, sollte der für Sie maßgebliche Zeitpunkt aktuell geprüft werden, statt sich auf ein festes Datum zu verlassen.

Brauchen wir dafür zwingend eigenes Sicherheitspersonal?

Nein. Aufbau und Betrieb eines ISMS lassen sich auslagern. Im eigenen Haus genügt in der Regel eine benannte Ansprechperson, die mit dem Dienstleister zusammenarbeitet.

Was passiert bei Nichteinhaltung?

NIS2 sieht Aufsicht und Sanktionen vor, einschließlich der Verantwortung der Leitungsebene. Die konkreten Folgen ergeben sich aus der nationalen Umsetzung. Wichtiger als die Sanktion ist jedoch der eigentliche Zweck: die Versorgungssicherheit gegen Cyberrisiken zu schützen.