Seit dem 06.12.2025 gilt das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.
Das neue NIS-2-Gesetz ist ein Artikelgesetz. Das bedeutet: Es enthält nicht in erster Linie eigene Sachregelungen, sondern ändert über mehrere Artikel verschiedene bestehende Stammgesetze, um eine Doppelregulierung zu vermeiden.
Im Energiesektor stellt das Energiewirtschaftsgesetz (EnWG) das Stammgesetz für energiewirtschaftliche IT-Sicherheitsanforderungen dar.
Daher werden Betreiber von Energieversorgungsnetzen, Energieanlagen sowie digitale Energiedienstleister gemäß Artikel 1 § 28 Abs. 5 des NIS-2-Gesetzes von der unmittelbaren Anwendung mehrerer Kapitel des BSI-Gesetzes (u. a. §§ 30, 31, 32, 35, 36, 38, 39, 61, 62) ausgenommen.
Für den Energiesektor wird die IT-Sicherheit somit nicht durch den Artikel 1 des NIS-2-Gesetzes geregelt, sondern das NIS-2-Gesetz ändert über Artikel 17 das EnWG und integriert die NIS-2-Vorgaben direkt in das Energiewirtschaftsgesetz.
Der im EnWG vorhandene IT-Sicherheits-Regulierungsrahmen wird an die Regelungen aus dem NIS-Gesetz angepasst. Konkret wurden im EnWG nach § 5b drei neue Paragraphen (§§ 5c–5e) eingefügt und die bisherigen IT-Sicherheits-Regelungen § 11 EnWG Abs. 1a–1g EnWG ersetzen.
1. Anwendungsbereich der Regelungen
- Erstmalige Betroffenheit von Betreibern digitaler Energiedienste
- Es sind nicht mehr nur Betreiber von Energieanlagen betroffen, die Kritis sind, sondern auch diejenigen, die besonders wichtige oder wichtige Einrichtungen sind.
2. Anpassung an die Regelungen des IT-Sicherheitskatalogs
- Die BNetzA wird Anforderungen, wie bisher auch, über einen aktualisierten IT-Sicherheitskatalog festlegen.
- Der Katalog wird die aus dem NIS-2-Gesetz bekannten Mindestanforderungen wie Risikoanalysen, Incident Response, Angriffserkennung und Lieferkettensicherheit enthalten.
- Überprüfung und Aktualisierung des Katalogs erfolgt alle zwei Jahre.
- Für Betreiber, die den Katalog einhalten, gilt wie bisher auch, dass diese als „angemessen geschützt“ gelten.
3. Dokumentations-, Melde- und Registrierungspflichten
- Betreiber müssen ihre IT-Sicherheitsmaßnahmen vollständig dokumentieren und auf Verlangen der BNetzA vorlegen.
- Besonders wichtige Einrichtungen müssen die Dokumentation automatisch an die BNetzA übermitteln.
- Schwere Sicherheitsvorfälle müssen binnen 24h, 72h und mit Abschlussbericht nach einem Monat gemeldet werden.
- Auch alle Netzbetreiber, die weder besonders wichtig noch wichtig sind, müssen sich bis 6. März 2026 beim BSI registrieren.
4. Klare Verantwortung und Haftung der Geschäftsleitungen
- Geschäftsleitungen müssen aktiv die Umsetzung der IT-Sicherheitsanforderungen sicherstellen, steuern und überwachen.
- Pflichtverletzungen können zu gesellschaftsrechtlicher Haftung führen.
- Regelmäßige Schulungen zu Risiken, Bedrohungen und Sicherheitsmanagement sind verpflichtend.
5. Stärkung der Bundesnetzagentur
- Die BNetzA kann Mängelbeseitigungspläne verlangen und Fristen setzen.
- Sie erhält weitgehende Kontrollrechte: Zutritt zu Räumen, Einsicht in Unterlagen, Befragungsrechte.
- Die Behörde bewertet Sicherheitsvorfälle im Hinblick auf die Energieversorgungssicherheit.
- Sie wird eng in den Informationsaustausch mit dem BSI eingebunden.
6. Deutlich erhöhte Bußgeldrahmen
- Verstöße gegen zentrale Pflichten (Dokumentation, Meldung, IT-Sicherheitsmaßnahmen) können Millionenbußgelder auslösen.
- Einführung umsatzabhängiger Bußgelder bis zu 2 % des weltweiten Jahresumsatzes.
- Für Transportnetzbetreiber und vertikal integrierte Unternehmen können Bußgelder in Höhe von bis zu 10 % ihres Umsatzes verhängt werden.
- Das neue Bußgeldsystem ersetzt die bisherigen, vergleichsweise milden Sanktionen.