Wie kann ein Stadtwerk mit 60.000 Zählpunkten die im Artikel geforderte 24-Stunden-Frühmeldung bei Sicherheitsvorfällen personell und technisch sicherstellen, wenn bisher kein eigenes 24/7 Security Operations Center (SOC) existiert, um die Anforderungen des § 11 Abs. 1e EnWG zu erfüllen?

Um die 24-Stunden-Frist einzuhalten, muss das Stadtwerk entweder in automatisierte SIEM- (Security Information and Event Management) und IDS- (Intrusion Detection System) Lösungen investieren, die Anomalien sofort melden, oder einen externen Managed Security Service Provider (MSSP) beauftragen. Da manuelle Kontrollen bei dieser Größe nicht ausreichen, ist die Integration von Systemen zur Angriffserkennung (SzA) nach dem Stand der Technik zwingend, um Meldewege auch an Wochenenden und Feiertagen ohne Zeitverzug zu aktivieren.

Welche konkreten rechtlichen Konsequenzen ergeben sich aus der Neufassung des § 38 BSIG für die Geschäftsführung eines mittelgroßen Stadtwerks mit 150 Mitarbeitern, wenn diese die gesetzlich vorgeschriebene Cybersicherheits-Schulung im Drei-Jahres-Intervall versäumt?

Die Versäumung der Schulung stellt eine Verletzung der Sorgfaltspflicht dar. Da gemäß § 38 BSIG (neu) ein Verzicht auf Ersatzansprüche gegen die Geschäftsleitung rechtlich unwirksam ist, haften die Geschäftsführer im Schadensfall persönlich mit ihrem Privatvermögen. Zudem riskieren sie, dass die Aufsichtsbehörden ihnen bei beharrlichen Verstößen die Ausübung ihrer Leitungsaufgaben zeitweise untersagen, da Cybersicherheit nun eine nicht delegierbare Kernaufgabe der Unternehmensführung ist.

Wie wirkt sich der 'All-Gefahren-Ansatz' des KRITIS-Dachgesetzes auf die Budgetplanung (CAPEX/OPEX) eines Stadtwerks mit 20.000 Fernwärmekunden aus, wenn alle vier Jahre physische Risikoanalysen für Anlagenstandorte durchgeführt werden müssen?

Das Stadtwerk muss regelmäßige Kosten für umfassende Risikoanalysen einplanen, die über klassischen Einbruchschutz hinausgehen und Szenarien wie Naturkatastrophen oder Sabotage (z. B. nach dem KRITIS-DachG) abdecken. Diese Aufwendungen müssen in die langfristige Finanzplanung integriert werden. Positiv ist jedoch, dass Regina Recht darauf hinweist, dass solche Maßnahmen zur Resilienzsteigerung unter bestimmten Voraussetzungen (z. B. § 11 Abs. 2 EnWG) bei der Kostenprüfung durch die Bundesnetzagentur für die Netzentgelte berücksichtigt werden können.

Cyber-Resilienz und KRITIS-Dachgesetz: Die neue Dualität der Stadtwerke-Compliance

Hallo zusammen, ich bin Regina Recht. Wenn Sie in der Energiewirtschaft arbeiten, wissen Sie: Regulierung ist kein Selbstzweck. Sie ist das Gerüst, das unsere Versorgungssicherheit stützt. Doch was derzeit auf Stadtwerke zurollt, ist mehr als nur eine weitere Verordnung. Wir erleben gerade einen Paradigmenwechsel in der Sicherheitsarchitektur der Bundesrepublik Deutschland.

Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) und dem KRITIS-Dachgesetz (KRITISDachG) werden die digitale und die physische Sicherheit zu einer untrennbaren Einheit verschmolzen – dem sogenannten „All-Gefahren-Ansatz“. Für Sie in der Geschäftsführung oder der Compliance-Abteilung bedeutet das: Die Zeit der unverbindlichen Leitfäden ist vorbei. Wir befinden uns in der Ära der harten Sanktionen und der persönlichen Haftung.

Warum sollte ICH mich mit diesem Thema beschäftigen?

Bevor wir in die Paragrafen einsteigen, lassen Sie uns die Kernfrage klären: Warum ist das für Sie persönlich relevant?

Bisher konnten IT-Sicherheitsvorfälle oft als „technisches Pech“ abgetan werden. Mit der Umsetzung der NIS-2-Richtlinie in nationales Recht (insbesondere durch die Neufassung des BSI-Gesetzes - BSIG) ändert sich das radikal. Gemäß § 38 BSIG (neu) ist die Geschäftsführung nun explizit verpflichtet, die Risikomanagementmaßnahmen im Bereich Cybersicherheit zu billigen und deren Umsetzung zu überwachen.

Das Entscheidende: Ein Verzicht der Einrichtung auf Ersatzansprüche gegen die Geschäftsleitung ist rechtlich unwirksam. Wenn Sie also als Geschäftsführer keine angemessenen Sicherheitsvorkehrungen – etwa nach ISO 27001 oder dem BSI-IT-Grundschutz – nachweisen können, haften Sie im Schadensfall mit Ihrem Privatvermögen. Die Aufsichtsbehörden haben zudem die Befugnis, Geschäftsleitern bei beharrlichen Verstößen zeitweise die Ausübung ihrer Leitungsaufgaben zu untersagen. Spätestens hier endet die Diskussion über „IT-Themen“ und beginnt die Kernaufgabe der Unternehmensführung.

Die duale Registrierungspflicht: Markieren Sie sich diese Daten

Wir haben es 2026 mit zwei kritischen Stichtagen zu tun, die zwei unterschiedliche, aber komplementäre Schutzbereiche adressieren:

06.03.2026 – NIS-2 (Digitale Sicherheit): Bis zu diesem Datum müssen sich Stadtwerke, die als „besonders wichtige Einrichtungen“ (BWE) eingestuft sind, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Hier geht es um die Meldung als Einrichtung und die Benennung von Ansprechpartnern für Cyber-Inzidenzen.
17.07.2026 – KRITIS-DachG (Physische Sicherheit): Dies ist die Frist für die Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Hier müssen Sie Ihre physischen Anlagenstandorte melden. Das Ziel ist der Schutz vor Sabotage, Terrorismus oder Naturkatastrophen.

Der regulatorische Rahmen: EnWG und BSIG im Zusammenspiel

Für Stadtwerke als Betreiber von Energieversorgungsnetzen ist die Regulatorik besonders dicht gewebt. Hier greift das Zusammenspiel zwischen dem Energiewirtschaftsgesetz (EnWG) und dem BSIG.

Gemäß § 11 Abs. 1d EnWG sind Betreiber von Energieversorgungsnetzen bereits seit längerem verpflichtet, einen angemessenen Schutz gegen Bedrohungen der Telekommunikations- und EDV-Systeme zu gewährleisten. Die Neuregelungen verschärfen dies nun:

Systeme zur Angriffserkennung (SzA): Nach § 11 Abs. 1e EnWG müssen Betreiber kritischer Energieinfrastruktur bereits seit dem 1. Mai 2023 Systeme zur Angriffserkennung einsetzen. Diese müssen dem Stand der Technik entsprechen und kontinuierlich die Log-Daten Ihrer IT-Systeme auf Anomalien prüfen.
Nachweispflichten: Gemäß § 11 Abs. 1f EnWG müssen Sie die Erfüllung dieser Anforderungen alle zwei Jahre gegenüber dem BSI nachweisen. Das BSI leitet diese Informationen wiederum an die Bundesnetzagentur (BNetzA) weiter.

Das neue Meldesystem: Jede Stunde zählt

Einer der operativ anspruchsvollsten Aspekte der neuen Gesetzgebung sind die gestaffelten Meldefristen bei erheblichen Sicherheitsvorfällen. Wenn Ihr System eine Anomalie erkennt, die potenziell die Versorgungssicherheit gefährdet, tickt die Uhr:

Innerhalb von 24 Stunden: Eine erste „Frühmeldung“ an das BSI. Hier geht es primär darum, dass der Vorfall existiert und ob er grenzüberschreitende Auswirkungen haben könnte.
Innerhalb von 72 Stunden: Eine ausführlichere Meldung mit einer ersten Bewertung des Vorfalls, seines Schweregrads und der Auswirkungen.
Nach einem Monat: Ein abschließender Bericht mit einer detaillierten Beschreibung des Vorfalls, der Ursache und der ergriffenen Abhilfemaßnahmen.

Um diese Fristen einhalten zu können, reicht es nicht aus, eine Firewall zu haben. Sie benötigen ein funktionierendes Security Operations Center (SOC), das 24/7 besetzt ist oder zumindest über automatisierte SIEM- (Security Information and Event Management) und IDS- (Intrusion Detection System) Lösungen verfügt, die sofort Alarm schlagen.

Physische Resilienz: Mehr als nur ein Zaun

Während NIS-2 die Bits und Bytes schützt, kümmert sich das KRITIS-Dachgesetz um den Beton und den Stahl. Der Gesetzgeber reagiert damit auf die veränderte geopolitische Lage und die zunehmende Gefahr von Sabotageakten (man denke an die Vorfälle rund um Nord Stream oder Bahnkabel).

Stadtwerke müssen nun Risikoanalysen für ihre physischen Standorte durchführen – und zwar alle vier Jahre. Dabei geht es nicht nur um den klassischen Einbruchschutz. Der „All-Gefahren-Ansatz“ verlangt die Bewertung von:

Naturkatastrophen: Hochwasser, Extremwetterereignisse (Stichwort Ahrtal).
Menschlichem Versagen: Fehlbedienungen mit kaskadierenden Effekten.
Gezielter Sabotage: Physische Angriffe auf Umspannwerke oder Wasserwerke.
Lieferkettenstörungen: Was passiert, wenn kritische Ersatzteile aufgrund globaler Krisen nicht lieferbar sind?

Die Schulungspflicht der Geschäftsleitung

Ein oft übersehenes, aber regulatorisch brisantes Detail: Die Geschäftsleitung ist nun gesetzlich verpflichtet, regelmäßig an Schulungen teilzunehmen, um die notwendigen Kenntnisse zur Erkennung und Bewertung von Cybersicherheitsrisiken zu erwerben.

Der Gesetzgeber sieht hier ein Intervall von drei Jahren vor, wobei ein Umfang von mindestens vier Stunden als Richtwert für eine fundierte Unterweisung gilt. Dies unterstreicht erneut: Cybersicherheit ist keine Aufgabe, die man vollständig an den IT-Leiter delegieren kann, ohne selbst die Grundlagen zu verstehen.

Fazit und Handlungsempfehlung

Die regulatorische Daumenschraube wird angezogen, aber sie dient einem höheren Ziel: der Aufrechterhaltung unserer Zivilisation in Krisenzeiten. Als Regulatorik-Expertin rate ich Ihnen dringend zu folgendem Vorgehen:

Status Quo Audit: Prüfen Sie, ob Ihre aktuellen Systeme zur Angriffserkennung die Anforderungen des BSI-Orientierungswerts erfüllen.
Registrierungs-Prozess: Bereiten Sie die Unterlagen für die BSI-Registrierung (bis März 2026) und die BBK-Registrierung (bis Juli 2026) jetzt vor. Warten Sie nicht bis zum letzten Monat.
Haftungsmanagement: Dokumentieren Sie lückenlos, dass Sie sich als Geschäftsführung aktiv mit den Risiken auseinandersetzen. Die Billigung der Risikomanagementmaßnahmen muss aktenkundig sein.
SOC-Integration: Stellen Sie sicher, dass Ihre IT-Sicherheitsmeldungen nicht in einer Mailbox landen, die am Wochenende niemand liest. Die 24-Stunden-Frist ist gnadenlos.

In der nächsten Folge meiner Kolumne werden wir uns im Detail ansehen, wie die Kosten für diese Maßnahmen in die Netzentgelte einfließen können – denn auch hier bietet die Regulatorik (Stichwort § 11 Abs. 2 EnWG und die Kostenprüfung der BNetzA) durchaus Spielräume für Stadtwerke.

Bleiben Sie resilient!

Ihre Regina Recht