Der Bundestag hat die Umsetzung der NIS-2-Richtlinie mit Änderungen angenommen. Wichtige und besonders wichtige Einrichtungen müssen bald höhere Anforderungen an die Cybersicherheit erfüllen. Die Anzeigepflicht für kritische Komponenten entfällt zwar, ein rückwirkendes Verbot sicherheitskritischer Komponenten bestimmter Hersteller ist aber möglich.
Der Bundestag hat am Donnerstag den Gesetzentwurf der Bundesregierung zur Umsetzung der NIS-2-Richtlinie angenommen. Nach halbstündiger Beratung entschieden sich die Abgeordneten von CDU/CSU, SPD und AfD für eine vom Innenausschuss noch am Tag zuvor geänderte Fassung.
Die NIS-2-Richtlinie der EU verlangt strengere Sicherheitsanforderungen, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Ziel ist nach Regierungsangaben die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen.
Das Umsetzungsgesetz ändert eine Vielzahl von bestehenden Regelungen in unterschiedlichen Gesetzen, um dieser Richtline nachzukommen. Als nächstes muss noch der Bundesrat dem Gesetz zustimmen. Es steht bei der Sitzung der Länderkammer am 21. November auf der Tagesordnung. Für die Energiewirtschaft sind insbesondere die Änderungen der BSI-Kritis-Verordnung, des Energiewirtschaftsgesetzes, des Messstellenbetriebsgesetzes und des Energiesicherungsgesetzes relevant. Betroffen von den Regelungen sind künftig alle wichtigen und besonders wichtigen Einrichtungen.
„Besonders wichtig“ sind Einrichtungen, die kritische Anlagen betreiben oder mehr als 250 Mitarbeiter beschäftigen oder 43 Millionen Euro Bilanzsumme haben. Als „wichtige“ Einrichtung gelten bereits mittlere Unternehmen ab 50 Mitarbeitern oder mit mehr als 10 Millionen Euro Bilanzsumme.
pv magazine Ausgabe November 2025
Die neue pv magazine Ausgabe ist erschienen und beschäftigt sich unter anderem mit den neuen Anforderungen an die Cybersicherheit und wie Unternehmen den neuen Pflichten nachkommen können. Den Artikel finden Sie hier: Alle Schotten dicht!
Neue regulatorische Anforderungen: Cyberattacken sind Teil einer hybriden Kriegsführung. Spionage, Erpressung und die Verursachung möglichst großer Schäden sind Ziele von Hackerbanden, die auch staatlich gesteuert sein können. Die EU reagierte und veranlasst nun die Mitgliedsländer zu einer Verschärfung ihrer Anforderungen an Unternehmen, besonders in kritischen Branchen wie der Energiewirtschaft.
Darüber hinaus beschäftigt sich die aktuelle November-Ausgabe in zwei Schwerpunkten zum einen mit den Herausforderungen für Großanlagen und mit der Frage, wie Installateure Photovoltaik-Anlagen im Privatkundensegment verkaufen. Zum /zur Einzelheftbestellung
Sie müssen sich künftig registrieren und sodann eine Risikoanalyse durchführen, und ihre Informationssysteme nach dem Stand der Technik absichern. Sie müssen ein Krisenmanagement etablieren, regelmäßige Schulungen durchführen, die Sicherheit der Lieferkette gewährleisten sowie Zugangs- und Zugriffskontrollen einführen, alles, um ein Mindestniveau an IT-Sicherheit zu erreichen und nachzuweisen. Betreiber kritischer Anlagen sind außerdem verpflichtet, Systeme zur Angriffserkennung einzusetzen. (Informationen zu den umfassenden Änderungen für Betreiber von Energieanlagen durch NIS2 und das geplante Kritis-Dachgesetz bringt auch die soeben erschienen pv magazine Ausgabe; siehe Kasten.) Die Umsetzung der Maßnahmen in Bezug auf kritische Anlagen ist innerhalb von drei Jahren durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen.
Umstrittene Anzeigepflicht entfällt
Im Vorfeld der Abstimmung hatte sich eine Kontroverse über die Anzeigepflicht kritischer Komponenten gegenüber dem Bundesministerium des Innern entsponnen, weil sich daraus lange Wartezeiten für den Bau von Kritis-Anlagen ergeben hätten. Der Innenausschuss des Bundestages hat daher noch einen geänderten Vorschlag für Paragraf 41 gemacht, den beispielsweise der Bundesverband der Energie- und Wasserwirtschaft (BDEW) moniert hatte. Die geänderte Fassung wurde nun angenommen. Demzufolge entfällt die umstrittene Anzeigepflicht vor dem Einsatz einer neuen kritischen Komponente. Auch die bislang in Paragraf 9b des BSI-Gesetzes vorgesehene Garantieerklärung des Herstellers über seine Vertrauenswürdigkeit gegenüber dem Betreiber entfällt ersatzlos. Stattdessen sollen Kritis-Betreiber ihre eingesetzten kritischen Komponenten und etwaige Änderungen einmal jährlich übermitteln.
Sollten dem Bundesministerium des Innern dann Zweifel an bestimmten Komponenten und ihren Herstellern kommen, kann es dem Betreiber den Einsatz untersagen oder Anordnungen dazu erlassen, wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt. Im nächsten Schritt könnte das Ministerium dem Betreiber kritischer Anlagen dann auch den zukünftigen Einsatz weiterer kritischer Komponenten desselben Herstellers und desselben Komponententyps untersagen und die Untersagung auf alle Betreiber kritischer Anlagen ausweiten. Klagen und Widersprüche dagegen hätten keine aufschiebende Wirkung.
Kriterien für Verbot bleiben erhalten
Die schon in der vorherigen Fassung enthaltenen Kriterien für ein solches Verbot bleiben weiterhin bestehen. Gründe könnten neben Zweifeln an der Einhaltung der Produktsicherheit beispielsweise auch sein, dass die Komponenten von Herstellern stammen, die „von der Regierung, staatlichen Stellen oder Streitkräften eines Drittstaats kontrolliert“ werden können. Somit könnten bestimmte Hersteller zum Beispiel für Wechselrichter, Parkregler oder Energiemanagementsysteme verboten werden, weil ein Staatsunternehmen Anteilseigener ist.
Der BDEW begrüßte die neue Fassung als deutliche Verbesserung, vor allem weil sie den bürokratischen Aufwand für die Branche senke. Ein gewisses Risiko für rückwirkende Verbote von Komponenten bleibt jedoch bestehen. Dies sollte aber unter Einbindung der betroffenen Branchen erfolgen, fordert der BDEW.
SMA wiederum begrüßte die Ausschlussmöglichkeit. Jürgen Reinert, CEO der SMA, sagte dazu: „Ein Verzicht von sicherheitsrelevanten Systemkomponenten aus Quellen, die nicht Kritis-konformer Herkunft sind, ist unumgänglich. Die Gefahr, dass solche Geräte als Einfallstore für Cyberattacken auf die gesamteuropäische Energieinfrastruktur dienen könnten, ist real.“
Dieser Inhalt ist urheberrechtlich geschützt und darf nicht kopiert werden. Wenn Sie mit uns kooperieren und Inhalte von uns teilweise nutzen wollen, nehmen Sie bitte Kontakt auf: redaktion@pv-magazine.com.
Popular content
