KRITIS-Dachgesetz: Der Schutzschild für die digitale Energiewende
Als Ingenieurin und Strategin sehe ich die Energiewende nicht nur als eine Welle von PV-Anlagen und Wärmepumpen, sondern als die größte systemische Transformation der Energiewirtschaft. Wir verlagern Erzeugung und Verbrauch in das Verteilnetz und vernetzen alles digital – von der Ladesäule über die Flexibilitätsplattform bis zur Leittechnik. Diese tiefgreifende Digitalisierung schafft enorme Effizienzgewinne, aber sie vergrößert auch die Angriffsfläche exponentiell.
Genau hier setzt das neue KRITIS-Dachgesetz an. Der Beschluss des Bundestages vom Januar 2026 zur Umsetzung der EU-Resilienzrichtlinie ist ein entscheidender Pfeiler, um die kritische Infrastruktur zu stabilisieren. Die Frage, die sich jedes Stadtwerk jetzt stellen muss, lautet nicht: Müssen wir das umsetzen? Sondern: Wie nutzen wir diese regulatorischen Rahmenbedingungen, um die Resilienz unseres Netzes und damit die Systemsicherheit der Energiewende optimal zu gewährleisten?
Warum KRITIS jetzt mehr denn je Chefsache ist
Die traditionelle KRITIS-Sicht fokussierte oft auf die physische Versorgungssicherheit. In der Ära der Sektorkopplung und der dezentralen Flexibilität verschmelzen IT-Sicherheit und Netzbetrieb jedoch untrennbar. Wenn wir über §14a EnWG reden, sprechen wir über die digitale Steuerung von tausenden steuerbaren Verbrauchseinrichtungen. Ein Angriff auf diese Steuerungsebene – sei es durch Blindleistungsanforderungen oder durch gezielte Lastabschaltung – kann die Spannungshaltung und damit die Stabilität des gesamten Netzes massiv gefährden.
Das KRITIS-DachG liefert nun den Rahmen, um die Widerstandsfähigkeit gegen physische und cyberbedingte Störungen zu erhöhen. Die kurzfristig erzielten Verbesserungen im Gesetz sind dabei strategisch wichtig für die Stadtwerke.
1. Strategischer Erfolg: Die Beibehaltung der Schwellenwerte
Eine zentrale Forderung des BDEW, die im Gesetzgebungsverfahren erfolgreich durchgesetzt wurde, ist die Beibehaltung des Regelschwellenwertes von 500.000 versorgten Kunden für den Sektor Energie.
Was bedeutet das für Ihr Stadtwerk?
Die Beibehaltung dieser Schwelle ist ein strategischer Gewinn, weil sie die Ressourcenallokation steuert. Kleinere und mittlere Stadtwerke, die unterhalb dieser Schwelle liegen, können ihre knappen personellen und finanziellen Mittel weiterhin primär in die Kernaufgaben der Energiewende lenken: den notwendigen Netzausbau, die Integration von PV- und Windenergie, die Digitalisierung der Messtechnik (Smart Meter Rollout) und die Entwicklung von Flexibilitätsplattformen.
Wir dürfen nicht vergessen: Jede Stunde, die qualifiziertes Personal für redundante Dokumentation oder unnötige Audits aufwenden muss, fehlt bei der Planung des nächsten Trafo-Upgrades oder der Optimierung der Spannungshaltung in ländlichen Gebieten mit hoher PV-Einspeisung. Die Vermeidung einer flächendeckenden Ausweitung des KRITIS-Regimes auf kleinere Akteure ermöglicht es, dass wir uns auf die tatsächlich systemrelevanten Investitionen konzentrieren können.
Zwar eröffnet das Gesetz die Möglichkeit der Einzelfall-Identifizierung durch die Länder, doch die Anbindung an eine vorgelagerte Rechtsverordnung mit hohen Zustimmungsanforderungen sichert ab, dass hier keine schnellen, unkontrollierten Ausweitungen zu befürchten sind. Das ist ein wichtiger Schutz vor überbordender Bürokratie.
2. Operative Stärkung: Das Lagebild im Krisenfall
Ein weiterer wesentlicher Fortschritt liegt im Meldewesen und der Zusammenarbeit mit dem BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe).
Die neue Regelung verpflichtet das BBK, nach Betreiber-Meldungen unverzüglich zu reagieren, Rückmeldungen und Hilfestellungen zu geben und ein umfassendes Lagebild zu erstellen, das mit den Betreibern geteilt wird.
Aus der technischen Warte ist dies entscheidend: Im Krisenfall, sei es ein großflächiger Cyberangriff oder ein physisches Schadensereignis, ist die Zeit der kritischste Faktor. Ein schnelles, geteiltes Lagebild erlaubt es dem Netzbetrieb, die notwendigen Gegenmaßnahmen zur Wiederherstellung der Systemstabilität präziser und schneller zu koordinieren. Wenn wir wissen, welche Komponenten betroffen sind und welche systemischen Auswirkungen drohen, können wir die Schwarzstartfähigkeit und die Versorgungssicherheit effektiver gewährleisten. Das stärkt die operative Resilienz der gesamten Energieinfrastruktur.
3. Die Große Aufgabe: Doppelregulierung vermeiden
Der größte Knackpunkt, der jetzt gelöst werden muss, liegt in der Verzahnung des KRITIS-Dachgesetzes mit der Umsetzung der NIS-2-Richtlinie und den bestehenden energiewirtschaftlichen Anforderungen.
Das Energiesystem ist bereits hochreguliert. Wir haben den IT-Sicherheitskatalog der BNetzA, spezifische Anforderungen an die IT-Systeme für die Erbringung von Regelleistung (siehe Recherche [1]) und die Pflichten aus dem EnWG für den Einsatz von Systemen zur Angriffserkennung (Recherche [3]). Wenn KRITIS-DachG und NIS-2 nun zusätzliche, nicht harmonisierte Berichts- und Dokumentationspflichten schaffen, binden wir wertvolle Ressourcen, ohne die tatsächliche Sicherheit zu erhöhen.
Mein Appell aus strategischer Sicht: Wir brauchen dringend einheitliche, umsetzbare und bürokratiearme Vorgaben. Doppelregulierung schwächt die Resilienz, weil sie finanzielle und personelle Ressourcen bindet, die für die eigentliche Transformation – den Aufbau neuer, smarter Netze – benötigt werden.
Der richtige Weg ist ein gemeinsamer Resilienz- und Sicherheitskatalog der BNetzA, der die Anforderungen aus KRITIS, NIS-2 und dem EnWG bündelt und spezifisch auf die Besonderheiten des Energiesektors eingeht. Voraussetzung dafür ist eine klare Festlegungskompetenz der BNetzA in diesem Bereich. Nur so können wir sicherstellen, dass wir technologieoffen bleiben (Recherche [4]), die besten und kosteneffizientesten Lösungen finden und gleichzeitig die notwendige Resilienz aufbauen.
Fazit: Resilienz als Teil der Energiewendekompetenz
Das KRITIS-Dachgesetz in der verabschiedeten Fassung ist ein wichtiger Schritt zur Stärkung der Resilienz kritischer Anlagen. Für Stadtwerke ist es jetzt essenziell, das Thema nicht nur als Compliance-Pflicht zu sehen, sondern als integralen Bestandteil der Energiewendekompetenz (Recherche [6]).
Wir müssen die gewonnenen Freiräume nutzen, um uns auf die effiziente Umsetzung zu konzentrieren: die Verzahnung von IT- und OT-Sicherheit, die Schulung der Mitarbeiter und vor allem die Sicherstellung, dass unsere dezentralen Steuerungssysteme (von §14a EnWG bis zur Flexibilitätsplattform) gegen alle Eventualitäten geschützt sind.
Die Zukunft des Netzes ist digital und dezentral. Nur wenn der digitale Schutzschild robust ist, kann die Energiewende erfolgreich und versorgungssicher gelingen. Dies erfordert strategische Planung, klare regulatorische Leitplanken und die konsequente Vermeidung von bürokratischen Hemmnissen, die wichtige Investitionen in die physische Netzinfrastruktur verzögern.
Praxis-Fragen für Ihr Stadtwerk
Experten-Antworten von Emma Energie
Die strategische Entlastung muss durch die Definition von Effizienzzielen in der Netzinfrastruktur (z.B. bessere Spannungshaltung, schnellere PV-Integration) gemessen werden, wobei die Cybersecurity als integraler Bestandteil (Energiewendekompetenz) und nicht als reiner Overhead gesehen wird. Dies erfordert eine klare Priorisierung der Investitionen in die dezentrale Steuerungstechnik.
Dies erfordert die Überarbeitung des Störungsmanagement-Handbuchs, spezifische Trainings für das IT/OT-Personal in der Nutzung der BBK-Kommunikationskanäle und die klare Definition von Eskalationspfaden, die eine präzise Reaktion auf systemische statt isolierte Fehlerbilder ermöglichen. Der Zeitgewinn durch das Lagebild muss in messbare Reduktionen der Wiederherstellungszeit übersetzt werden.
Das Stadtwerk muss eine sofortige regulatorische Gap-Analyse durchführen, die alle Anforderungen (NIS-2, KRITIS, BNetzA) in einer Master-Dokumentation zusammenführt und nur einmal belegt (Harmonisierung). Strategisch sollte auf die klare Festlegungskompetenz der BNetzA gedrängt werden, um die Ressourcenbindung für redundante Dokumentation zu minimieren und den Fokus auf Technologieoffenheit bei der Lösungsfindung zu behalten.
KRITIS-Dachgesetz: Der Schutzschild für die digitale Energiewende
Als Ingenieurin und Strategin sehe ich die Energiewende nicht nur als eine Welle von PV-Anlagen und Wärmepumpen, sondern als die größte systemische Transformation der Energiewirtschaft. Wir verlagern Erzeugung und Verbrauch in das Verteilnetz und vernetzen alles digital – von der Ladesäule über die Flexibilitätsplattform bis zur Leittechnik. Diese tiefgreifende Digitalisierung schafft enorme Effizienzgewinne, aber sie vergrößert auch die Angriffsfläche exponentiell.
Genau hier setzt das neue KRITIS-Dachgesetz an. Der Beschluss des Bundestages vom Januar 2026 zur Umsetzung der EU-Resilienzrichtlinie ist ein entscheidender Pfeiler, um die kritische Infrastruktur zu stabilisieren. Die Frage, die sich jedes Stadtwerk jetzt stellen muss, lautet nicht: Müssen wir das umsetzen? Sondern: Wie nutzen wir diese regulatorischen Rahmenbedingungen, um die Resilienz unseres Netzes und damit die Systemsicherheit der Energiewende optimal zu gewährleisten?
Warum KRITIS jetzt mehr denn je Chefsache ist
Die traditionelle KRITIS-Sicht fokussierte oft auf die physische Versorgungssicherheit. In der Ära der Sektorkopplung und der dezentralen Flexibilität verschmelzen IT-Sicherheit und Netzbetrieb jedoch untrennbar. Wenn wir über §14a EnWG reden, sprechen wir über die digitale Steuerung von tausenden steuerbaren Verbrauchseinrichtungen. Ein Angriff auf diese Steuerungsebene – sei es durch Blindleistungsanforderungen oder durch gezielte Lastabschaltung – kann die Spannungshaltung und damit die Stabilität des gesamten Netzes massiv gefährden.
Das KRITIS-DachG liefert nun den Rahmen, um die Widerstandsfähigkeit gegen physische und cyberbedingte Störungen zu erhöhen. Die kurzfristig erzielten Verbesserungen im Gesetz sind dabei strategisch wichtig für die Stadtwerke.
1. Strategischer Erfolg: Die Beibehaltung der Schwellenwerte
Eine zentrale Forderung des BDEW, die im Gesetzgebungsverfahren erfolgreich durchgesetzt wurde, ist die Beibehaltung des Regelschwellenwertes von 500.000 versorgten Kunden für den Sektor Energie.
Was bedeutet das für Ihr Stadtwerk?
Die Beibehaltung dieser Schwelle ist ein strategischer Gewinn, weil sie die Ressourcenallokation steuert. Kleinere und mittlere Stadtwerke, die unterhalb dieser Schwelle liegen, können ihre knappen personellen und finanziellen Mittel weiterhin primär in die Kernaufgaben der Energiewende lenken: den notwendigen Netzausbau, die Integration von PV- und Windenergie, die Digitalisierung der Messtechnik (Smart Meter Rollout) und die Entwicklung von Flexibilitätsplattformen.
Wir dürfen nicht vergessen: Jede Stunde, die qualifiziertes Personal für redundante Dokumentation oder unnötige Audits aufwenden muss, fehlt bei der Planung des nächsten Trafo-Upgrades oder der Optimierung der Spannungshaltung in ländlichen Gebieten mit hoher PV-Einspeisung. Die Vermeidung einer flächendeckenden Ausweitung des KRITIS-Regimes auf kleinere Akteure ermöglicht es, dass wir uns auf die tatsächlich systemrelevanten Investitionen konzentrieren können.
Zwar eröffnet das Gesetz die Möglichkeit der Einzelfall-Identifizierung durch die Länder, doch die Anbindung an eine vorgelagerte Rechtsverordnung mit hohen Zustimmungsanforderungen sichert ab, dass hier keine schnellen, unkontrollierten Ausweitungen zu befürchten sind. Das ist ein wichtiger Schutz vor überbordender Bürokratie.
2. Operative Stärkung: Das Lagebild im Krisenfall
Ein weiterer wesentlicher Fortschritt liegt im Meldewesen und der Zusammenarbeit mit dem BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe).
Die neue Regelung verpflichtet das BBK, nach Betreiber-Meldungen unverzüglich zu reagieren, Rückmeldungen und Hilfestellungen zu geben und ein umfassendes Lagebild zu erstellen, das mit den Betreibern geteilt wird.
Aus der technischen Warte ist dies entscheidend: Im Krisenfall, sei es ein großflächiger Cyberangriff oder ein physisches Schadensereignis, ist die Zeit der kritischste Faktor. Ein schnelles, geteiltes Lagebild erlaubt es dem Netzbetrieb, die notwendigen Gegenmaßnahmen zur Wiederherstellung der Systemstabilität präziser und schneller zu koordinieren. Wenn wir wissen, welche Komponenten betroffen sind und welche systemischen Auswirkungen drohen, können wir die Schwarzstartfähigkeit und die Versorgungssicherheit effektiver gewährleisten. Das stärkt die operative Resilienz der gesamten Energieinfrastruktur.
3. Die Große Aufgabe: Doppelregulierung vermeiden
Der größte Knackpunkt, der jetzt gelöst werden muss, liegt in der Verzahnung des KRITIS-Dachgesetzes mit der Umsetzung der NIS-2-Richtlinie und den bestehenden energiewirtschaftlichen Anforderungen.
Das Energiesystem ist bereits hochreguliert. Wir haben den IT-Sicherheitskatalog der BNetzA, spezifische Anforderungen an die IT-Systeme für die Erbringung von Regelleistung (siehe Recherche [1]) und die Pflichten aus dem EnWG für den Einsatz von Systemen zur Angriffserkennung (Recherche [3]). Wenn KRITIS-DachG und NIS-2 nun zusätzliche, nicht harmonisierte Berichts- und Dokumentationspflichten schaffen, binden wir wertvolle Ressourcen, ohne die tatsächliche Sicherheit zu erhöhen.
Mein Appell aus strategischer Sicht: Wir brauchen dringend einheitliche, umsetzbare und bürokratiearme Vorgaben. Doppelregulierung schwächt die Resilienz, weil sie finanzielle und personelle Ressourcen bindet, die für die eigentliche Transformation – den Aufbau neuer, smarter Netze – benötigt werden.
Der richtige Weg ist ein gemeinsamer Resilienz- und Sicherheitskatalog der BNetzA, der die Anforderungen aus KRITIS, NIS-2 und dem EnWG bündelt und spezifisch auf die Besonderheiten des Energiesektors eingeht. Voraussetzung dafür ist eine klare Festlegungskompetenz der BNetzA in diesem Bereich. Nur so können wir sicherstellen, dass wir technologieoffen bleiben (Recherche [4]), die besten und kosteneffizientesten Lösungen finden und gleichzeitig die notwendige Resilienz aufbauen.
Fazit: Resilienz als Teil der Energiewendekompetenz
Das KRITIS-Dachgesetz in der verabschiedeten Fassung ist ein wichtiger Schritt zur Stärkung der Resilienz kritischer Anlagen. Für Stadtwerke ist es jetzt essenziell, das Thema nicht nur als Compliance-Pflicht zu sehen, sondern als integralen Bestandteil der Energiewendekompetenz (Recherche [6]).
Wir müssen die gewonnenen Freiräume nutzen, um uns auf die effiziente Umsetzung zu konzentrieren: die Verzahnung von IT- und OT-Sicherheit, die Schulung der Mitarbeiter und vor allem die Sicherstellung, dass unsere dezentralen Steuerungssysteme (von §14a EnWG bis zur Flexibilitätsplattform) gegen alle Eventualitäten geschützt sind.
Die Zukunft des Netzes ist digital und dezentral. Nur wenn der digitale Schutzschild robust ist, kann die Energiewende erfolgreich und versorgungssicher gelingen. Dies erfordert strategische Planung, klare regulatorische Leitplanken und die konsequente Vermeidung von bürokratischen Hemmnissen, die wichtige Investitionen in die physische Netzinfrastruktur verzögern.