Für ein mittelgroßes Stadtwerk mit 450.000 versorgten Endkunden, das momentan durch die Beibehaltung des 500.000er-Schwellenwerts entlastet wird: Welche konkreten organisatorischen und finanziellen Rückstellungen (OPEX/CAPEX) sind notwendig, um das Risiko einer kurzfristigen „Einzelfall-Identifizierung“ durch die Länder gemäß KRITIS-DachG abzufedern, insbesondere im Hinblick auf die hohen Sicherheitsanforderungen (analog § 8a BSI-G), die dann gelten würden?

Da die Einzelfall-Identifizierung theoretisch möglich bleibt, sollte das Stadtwerk präventiv die Lücke zwischen dem aktuellen Niveau (z.B. B3S-Standards nach § 11 EnWG) und den erweiterten Anforderungen des KRITIS-Hochregulativs (z.B. vollständige Zertifizierung, erweiterte Notfallpläne) bewerten. Konkrete Rückstellungen (CAPEX) könnten für die Anschaffung dedizierter Security Information and Event Management (SIEM)-Systeme oder die Vorbereitung von Maßnahmen zur Erfassung kritischer Komponenten erforderlich sein, während die Personalplanung (OPEX) die Bereitstellung von dediziertem IT-Sicherheitspersonal für die erhöhten Dokumentations- und Meldepflichten umfassen sollte.

Ein Stadtwerk, das als Betreiber kritischer Infrastruktur (z.B. mit 100.000 versorgten Kunden) bereits meldepflichtig ist, profitiert von der neuen Reaktions- und Lagebild-Teilungspflicht des BBK gemäß KRITIS-DachG. Wie müssen die internen Krisenmanagement- und Incident-Response-Prozesse (inklusive der Kommunikationswege) konkret angepasst werden, um die Vorteile des aktiven Lagebild-Teilens durch das BBK im Falle eines schwerwiegenden Cyberangriffs optimal operativ zu nutzen und die Reaktionszeit zu verkürzen?

Das Stadtwerk muss seine Krisenmanagementpläne aktualisieren, um die BBK-Rückmeldungen als aktiven Input-Kanal zu integrieren. Dies erfordert die klare Definition von Schnittstellen und Eskalationspfaden zum BBK. Operativ muss sichergestellt werden, dass das Lagebild nicht nur administrativ entgegengenommen wird, sondern dass IT-Sicherheitsteams und Fachbereiche sofort in der Lage sind, diese externen Informationen (z.B. über spezifische Angriffsvektoren oder betroffene Komponenten anderer Betreiber) in ihre eigenen Abwehrmaßnahmen und Wiederanlaufstrategien zu integrieren. Die Schulung des Krisenstabs auf die Nutzung dieser Kooperationsstruktur ist essenziell.

Angesichts der im Artikel geforderten Festlegungskompetenz der BNetzA zur Integration von KRITIS-DachG und NIS-2: Welche initialen Aufwände muss ein Stadtwerk mit 200 Mitarbeitern, das sowohl von den neuen Resilienzanforderungen als auch von NIS-2 betroffen ist, jetzt prioritär in der Infrastruktur und Dokumentation leisten, um eine drohende Doppelregulierung durch die BNetzA-Kataloge zu vermeiden und gleichzeitig die neue Pflicht zur 'Erfassung kritischer Komponenten' (gemäß Artikel 4) effizient umzusetzen?

Das Stadtwerk sollte sofort mit einer vorbereitenden, vollständigen Inventur seiner kritischen Leistungserbringungselemente beginnen, die über die reine IT-Sicherheitsbetrachtung hinausgeht und physische Resilienzfaktoren (wie kritische Umspannwerke, Leittechnik, etc.) einbezieht. Der größte Aufwand liegt in der Harmonisierung der Dokumentationsstandards zwischen BSI-G (§ 11 EnWG) und den erwarteten NIS-2/KRITIS-DachG-Anforderungen. Die Ressourcen sollten darauf konzentriert werden, einen 'Single Source of Truth' für alle Sicherheits- und Resilienzdaten zu schaffen, der die unterschiedlichen Scopes beider Gesetze abdeckt, sodass die BNetzA-Festlegungen später lediglich adaptiert, aber nicht von Grund auf neu implementiert werden müssen.

KRITIS-Dachgesetz: Bundestag sichert Schwellenwerte und stärkt operative Unterstützung

Die regulatorische Gratwanderung: Resilienz versus Bürokratie

Der Gesetzgebungsprozess zur Umsetzung der EU-Resilienzrichtlinie (Richtlinie EU 2022/2557), bekannt als KRITIS-Dachgesetz (KRITIS-DachG), hat einen wichtigen Meilenstein erreicht. Am 29. Januar 2026 beschloss der Bundestag den Entwurf in der Fassung der Beschlussempfehlung des Innenausschusses. Für Betreiber Kritischer Infrastrukturen – insbesondere Stadtwerke, die bereits unter das BSI-Gesetz (BSI-G) fallen – sind die kurzfristig vorgenommenen Anpassungen von erheblicher Bedeutung. Sie definieren den zukünftigen Umfang der Compliance-Pflichten und die operative Unterstützung im Krisenfall.

Meine Perspektive als Regulatorik-Expertin ist klar: Die Änderungen sind ein wichtiger Schritt, um die Resilienz zu erhöhen, ohne mittelständische Energieversorger durch unnötige Bürokratie zu überlasten. Das zentrale Thema ist die Abgrenzung der Betreiberpflichten, die bisher primär durch § 8a BSI-G und die BSI-Kritisverordnung (BSI-KritisV) definiert wurden.

1. Schutz der Schwellenwerte: Warum 500.000 Kunden entscheidend sind

Die wichtigste Nachricht für den Sektor Energie ist die Beibehaltung des Regelschwellenwerts von 500.000 versorgten Kunden.

Das Warum der Beibehaltung

Der Bundesrat hatte im Vorfeld eine Absenkung dieses Schwellenwerts gefordert, was zu einer massiven Ausweitung des KRITIS-Regimes auf eine Vielzahl kleinerer und mittlerer Stadtwerke geführt hätte. Die Beibehaltung der 500.000er-Grenze ist ein Erfolg, da sie sicherstellt, dass die hohen Anforderungen des KRITIS-Regimes nur auf jene Unternehmen Anwendung finden, deren Ausfall tatsächlich erhebliche Störungen der öffentlichen Versorgung nach sich zieht.

Für Stadtwerke bedeutet dies: Die Ressourcen (Personal, Finanzen, IT-Sicherheitsexperten) können weiterhin auf die Einhaltung der bereits bestehenden, sehr detaillierten Anforderungen konzentriert werden, die sich aus dem Katalog von Sicherheitsanforderungen gemäß § 11 Absatz 1a EnWG und den branchenspezifischen Sicherheitsstandards (B3S) ergeben. Eine flächendeckende, unkontrollierte Ausweitung der Pflichten wird vermieden.

Die Einzelfall-Identifizierung als Kompromiss

Zwar eröffnet das Gesetz die Möglichkeit der Einzelfall-Identifizierung durch die Länder – eine Forderung, die den föderalen Anforderungen Rechnung trägt. Diese Möglichkeit wird jedoch an einen strengen regulatorischen Mechanismus geknüpft: eine vorgelagerte Rechtsverordnung, die hohe Zustimmungsanforderungen benötigt.

Dieser Mechanismus verhindert, dass Länder ad-hoc und ohne bundesweite Koordination Infrastrukturen willkürlich als kritisch einstufen. Die Notwendigkeit einer klaren, bundeseinheitlichen Rechtsgrundlage (Rechtsverordnung) sorgt für die notwendige Transparenz und Planbarkeit. Schnelle, flächige Erweiterungen, die die Planungssicherheit der Betreiber untergraben würden, sind damit unwahrscheinlich.

2. Operative Unterstützung im Krisenfall: Das neue Meldewesen

Ein wesentlicher Schwachpunkt im bisherigen KRITIS-Meldewesen (speziell nach § 8b BSI-G) war oft die mangelnde Rückkopplung und operative Unterstützung durch die Behörden nach einer Meldung.

Das neue KRITIS-DachG adressiert diesen Punkt explizit:

Reaktionspflicht: Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) muss nach Betreiber-Meldungen unverzüglich reagieren und Rückmeldungen bzw. Hilfestellungen geben.
Lagebild-Teilung: Das BBK ist verpflichtet, ein aktuelles Lagebild zu erstellen und dieses aktiv mit den betroffenen Betreibern zu teilen.

Warum ist das wichtig? Im Falle einer schwerwiegenden Störung oder eines Cyberangriffs benötigen Stadtwerke nicht nur die Möglichkeit zur Meldung, sondern vor allem sofortige, koordinierte Unterstützung und Informationen über die Gesamtlage. Die neue Regelung verbessert die operative Zusammenarbeit und stellt sicher, dass die Meldepflichten nicht nur eine einseitige Bringschuld der Betreiber darstellen, sondern eine echte Kooperation im Sinne der nationalen Resilienz ermöglichen.

3. Die große Herausforderung: NIS-2 und KRITIS-DachG-Harmonisierung

Der größte regulatorische Aufwand entsteht momentan durch die parallele Umsetzung der NIS-2-Richtlinie und des KRITIS-Dachgesetzes. Beide Richtlinien zielen auf die Stärkung der Cyber- und physischen Resilienz ab, legen aber unterschiedliche Schwerpunkte und Scopes fest.

Die Kernforderung der Branche ist die Vermeidung von Doppelregulierung.

Das KRITIS-DachG muss nun konsequent mit der Umsetzung der NIS-2-Richtlinie verzahnt werden. Andernfalls binden widersprüchliche oder redundante Anforderungen unnötig personelle und finanzielle Ressourcen, was die tatsächliche Resilienz schwächt, statt sie zu stärken.

Die Rolle der BNetzA im Energie-Sektor

Bereits heute regelt § 11 EnWG die Anforderungen an die Sicherheit der Energieversorgungsnetze und -anlagen. Die Aufsicht hierüber obliegt der Bundesnetzagentur (BNetzA). Um die Doppelregulierung zu beenden und eine einheitliche Umsetzung zu gewährleisten, ist eine klare Festlegungskompetenz der BNetzA im Energiesektor unabdingbar.

Ein gemeinsamer, sektorspezifischer Resilienz- und Sicherheitskatalog, der sowohl die Anforderungen des KRITIS-DachG als auch die der NIS-2-Umsetzung integriert, wäre der effizienteste Weg. Die BNetzA ist hier aufgrund ihrer Fachexpertise im Sektor und ihrer bestehenden Rolle bei der Überwachung des § 11 EnWG der logische Akteur. Nur so kann gewährleistet werden, dass Vorgaben technologieoffen (vgl. [4]) und praktikabel sind, wie es bereits bei den B3S-Standards der Fall ist.

Offene Punkte, wie der zusätzliche Aufwand durch die Erfassung kritischer Komponenten, müssen dabei im Rahmen der Umsetzung der BNetzA-Kataloge so ausgestaltet werden, dass sie messbar und nachprüfbar sind, ohne in unüberschaubare Detailtiefe abzugleiten.

Fazit und Handlungsempfehlung für Stadtwerke

Das KRITIS-DachG, in seiner finalen Fassung durch den Bundestag, bietet dem Energiesektor mehr Planungssicherheit als befürchtet. Die erfolgreiche Sicherung des 500.000er-Schwellenwerts schützt viele Stadtwerke vor einer Überlastung durch das Hochregulativ.

Was Sie jetzt tun müssen:

Monitoring des Bundesrats: Beobachten Sie die Entscheidung des Bundesrats (voraussichtlich 6. März 2026), auch wenn eine Zustimmung erwartet wird.
Harmonisierungs-Advokatur: Unterstützen Sie die Forderungen nach einer klaren Festlegungskompetenz der BNetzA, um die Umsetzung von NIS-2 und KRITIS-DachG in einem einzigen, sektorspezifischen Katalog zu bündeln.
Prozessanpassung: Überprüfen Sie Ihre internen Meldeprozesse, um auf die neuen Pflichten des BBK zur Rückmeldung und Lagebildteilung vorbereitet zu sein. Die verbesserte operative Unterstützung muss in Ihre Krisenmanagementpläne integriert werden.
Komponenten-Inventur: Beginnen Sie mit der vorbereitenden Erfassung Ihrer kritischen Komponenten. Auch wenn die genauen Anforderungen noch ausstehen, wird die Resilienz künftig stärker auf die kritischen Elemente der Leistungserbringung fokussieren – eine logische Fortführung der bestehenden IT-Sicherheitsanforderungen nach § 8a BSI-G und § 11 EnWG.

Regulatorik ist keine statische Disziplin. Die jüngsten Anpassungen zeigen, dass die Interessen des Sektors in Berlin gehört wurden. Nun gilt es, die nächsten Schritte – die Ausgestaltung der Rechtsverordnungen und die BNetzA-Festlegungen – aktiv zu begleiten, um sicherzustellen, dass Resilienz und Praktikabilität Hand in Hand gehen.