Energie

Energy industry picture

Im Sektor Energie versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit vier kritischen Dienst­leistungen – der Versorgung mit Strom, Gas, Kraftstoff und Heizöl und Fernwärme. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS und teilweise auch EnWG geschützt werden.

KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2025 um viele neue Einrichtungen, die als Unternehmen reguliert werden, wenn sie Umsatz und Mitarbeiterzahlen überschreiten.

Nr. Unternehmen Scope
   Betreiber kritischer Anlagen Anlage über Schwellenwert (KRITIS)
KRITIS-Sektordefinition Energie:
   Besonders wichtige Einrichtung Unternehmen (NIS2)
  • ≥250 Mitarbeiter oder
  • >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanz
   Wichtige Einrichtung Unternehmen (NIS2)
  • ≥50 Mitarbeiter oder
  • >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanz
NIS2-Sektordefinition Energie:

Energie-Betreiber unterliegen teilweise weiterer Regulierung durch EnWG und BNetzA IT-Sicherheitskatalog, wenn sie Energie­anlagen und Energie­versorgungsnetze betreiben.

Regulierte Pflichten

NIS2 und KRITIS

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung. Die Gesetze sind in Arbeit und sollen Oktober 2024 (vermutlich Früjahr 2025) in Kraft treten. Für Betreiber kritischer Anlagen (KRITIS) und neue Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Juli 2024
^ - Geltungsbereich im Unternehmen abhängig von neuen BNetzA-Katalogen
Thema Betreiber kritischer Anlagen (KRITIS) Energienetz/Anlage Einrichtungen
Gesetz NIS2-Umsetzung KRITIS-Dachgesetz
+ §5d EnWG-E
NIS2-Umsetzung
in §5c EnWG-E
NIS2-Umsetzung
Fristen ab 2025 ab 2026 ab 2025 ab 2025
Scope Kritische Anlage
außerhalb EnWG
Kritische Anlage
wenn EnWG-reguliert
Energienetz/Anlage^
wenn EnWG-reguliert
Unternehmen
außerhalb EnWG
Pflichten Registrierung
Vorfallsmeldungen
Sanktionen
Prüfungen
Registrierung
Vorfallsmeldungen
Sanktionen
Registrierung
Vorfallsmeldungen
Sanktionen
Audit IT-SiKat
Registrierung
Vorfallsmeldungen
Sanktionen
Maßnahmen Informationssicherheit
BCM und Krisen
Supply Chain
Risikomanagement
IT-Sicherheit
Angriffserkennung SzA
Personal

Resilienz

Risikomanagement
Physische Sicherheit

Personal
Informationssicherheit
BCM und Krisen
Supply Chain
Risikomanagement
IT-Sicherheit
Angriffserkennung SzA
Personal
Informationssicherheit
BCM und Krisen
Supply Chain
Risikomanagement
IT-Sicherheit

Personal
Nachweise Prüfungen IT-Sicherheitskatalog IT-Sicherheitskatalog Stichproben
Regulator BSI BBK + BNetzA BSI + BNetzA BSI

Für bestimmte Betreiber* im Energiesektor gelten stattdessen das EnWG und der Sicherheits­katalog der BNetzA, die die Vorgaben der NIS2-Umsetzung äquivalent abbilden sollen. Es entsteht potenziell Mehrfach-Regulierung mit unterschiedlichen Geltungsbereichen.

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.

up

KRITIS

Kritische Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Energie in der KRITIS-Verordnung definiert. Betreiben Unternehmen diese kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie zu KRITIS-Betreibern mit vielen regulierten Pflichten.

aus BSI-KritisV September 2023, Anhang 1
* - Anlagen fallen unter EnWG und BNetzA IT-Sicherheitskataloge (Anschluss an Energienetz)
† - EnWG-Regulierung muss geprüft werden
Nr. Anlage Beschreibung Schwellenwert
1.
Stromversorgung (Dienstleistung)
1.1.1 Erzeugungsanlage* im Sinne §3 Nr. 18d EnWG, auch Speicherung und dezentrale Erzeugung im Sinne §3 Nr. 11 EnWG 104 MW
0 MW
36 MW
Netto-Nennleistung
Schwarzstart-Anlage
Primärregel
1.1.2 Steuerung/Bündelung
elektrischer Leistung*†
im Sinne §3 Nr. 17 EEG 104 MW
0 MW
36 MW
Netto-Nennleistung
Schwarzstart-Anlage
Primärregel
1.2.1 Übertragungsnetz* im Sinne §3 Nr. 32 EnWG 3700 GWh/JahrArbeit
1.3.1 Stromverteilernetz* im Sinne §3 Nr. 37 EnWG 3700 GWh/JahrArbeit
1.4.1 Stromhandel Anlage/Handelssystem für Spothandel, Terminhandel deutsches Martgebiet 3700 GWh/JahrHandelsvolumen
2.
Gasversorgung (Dienstleistung)
2.1.1 Gasförderanlage* Förderung von Erdgas 5190 GWh/Jahrgefördertes Gas
2.1.2 Standortübergreifende
Steuerung*
Steuerung/Überwachung standortübergreifend anderer Anlagen 5190 GWh/Jahrgefördertes Gas
2.2.1 Fernleitungsnetz* im Sinne §3 Nr. 19 EnWG 5190 GWh/Jahrentnommene Arbeit
2.2.2 Gasgrenzübergabestelle* 5190 GWh/Jahrdurchgeleitete Arbeit
2.2.3 Gasspeicher* im Sinne §3 Nr. 19c EnWG 5190 GWh/Jahrdurchgeleitete Arbeit
2.2.4 LNG-Anlage* Verflüssigung von Gas oder Einfuhr, Entladung und Wiederverdampfung von verflüssigtem Gas 5190 GWh/JahrTechnische Regasifizierungs­kapazität
2.3.1 Gasverteilernetz* im Sinne §3 Nr. 37 EnWG 5190 GWh/Jahrentnommene Arbeit
2.4.1 Gas/Kapazitätshandel Anlage/Handelssystem für Gashandel 5190 GWh/JahrHandelsvolumen
Gastransportkapazitäten
3.
Kraftstoff- und Heizölversorgung (Dienstleistung)
3.1.1 Ölförderanlage Förderung von Rohöl 4.4 Mio t/Jahrgefördertes Rohöl
3.1.2 Raffinerie Destillation oder Raffination von Rohöl im Sinne 4.3, Anlage 1 UVPG 420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
erzeugter Kraftstoff
Flugkraftstoff
Heizöl
3.1.3 Standortübergreifende
Steuerung
Steuerung/Überwachung standortübergreifend anderer Anlagen 4.4 Mio t/Jahr
4.4 Mio t/Jahr
420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
gefördertes Rohöl
erzeugter Kraftstoff
Flugkraftstoff
Heizöl
3.2.1 Mineralölfernleitung Rohrfernleitung im Sinne der RohrFLtgV 4.4 Mio t/Jahr
420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
umgeschlagenes Rohöl
Kraftstoff
Flugkraftstoff
Heizöl
3.2.2 Öl- und Produktenlager Lagerung von Rohöl oder Mineralölprodukten 4.4 Mio t/Jahr
420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
umgeschlagenes Rohöl
Kraftstoff
Flugkraftstoff
Heizöl
3.2.3 Standortübergreifende
Steuerung
Steuerung/Überwachung standortübergreifend anderer Anlagen 4.4 Mio t/Jahr
4.4 Mio t/Jahr
420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
transportiertes Rohöl
umgeschlagenes Rohöl
Kraftstoff
Flugkraftstoff
Heizöl
3.3.1 Aggregatoren zum Vertrieb von Kraftstoff und Heizöl Disposition von Tankkraftwagen, Kesselwagen, Binnenschiffen zum Vertrieb von Kraftstoff und Heizöl 420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
verteilter Kraftstoff
Flugkraftstoff
Heizöl
3.3.2 Tankstellennetz Verbindung von Tankstellen, Flugfeldbetankungsanlagen zur zentralen Versorgung mit Kraftstoff 420 Tsd t/Jahr
63,75 Tsd t/J
verteilter Kraftstoff
Flugkraftstoff
3.3.3 Standortübergreifende
Steuerung
Steuerung/Überwachung standortübergreifend anderer Anlagen 420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
verteilter Kraftstoff
Flugkraftstoff
Heizöl
3.4.1 Zentrale kommerzielle Steuerung Steuerung/Betriebsplanung mehrere Anlagen, kommerzielle Abwicklung, Clearing/Kollaboration 4.4 Mio t/Jahr
420 Tsd t/Jahr
63,75 Tsd t/J
620 Tsd t/Jahr
Abgewickeltes Rohöl
Kraftstoff
Flugkraftstoff
Heizöl
4.
Fernwärmeversorgung (Dienstleistung)
4.1.1 Heizwerk Erzeugung von Wärme zur Belieferung von Endkunden im Sinne der AVBFernwärmeV 2300 GWh/Jahrausgeleitete Wärmeenergie
4.1.2 Heizkraftwerk Erzeugung von elektrischer Energie und Nutzwärme nach §2 Nr. 14 KWKG 2300 GWh/Jahrausgeleitete Wärmeenergie
4.2.1 Fernwärmenetz Versorgung der Allgemeinheit mit Wärme 250 Tsdangeschlossene Haushalte
4.3.1 Standortübergreifende
Steuerung
Steuerung/Überwachung standortübergreifend anderer Anlagen 250 Tsd

2300 GWh/Jahr
angeschlossene Haushalte
ausgeleitete Wärmeenergie

up

Schwellenwerte

Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.

Strom

Der Schwellenwert für Erzeugung (1.1.1) und Steuerung/Bündelung (1.1.2) berechnet sich aus dem angenommenen Durchschnittsverbrauch von 1815 kWh Strom pro Person für 500.000 versorgte Personen:

Die 36 MW für Primärregelleistung präqualifizierter Anlagen ergeben sich aus EU-Verordnung 2016/631. Der Wert 3.700 GWh/Jahr für die Übertragung und Verteilung (1.2.1, 1.3.1) wird nicht (mehr) hergeleitet.

Der Schwellenwert für Stromhandel (1.4.1) ergibt sich aus dem angenommenen Gesamt­handels­volumen von 600 TWh und durchschnittlichem Handelsvolumen von 7460 KWh pro Person für 500.000 versorgte Personen:

Gas

Der Schwellenwert für die Anlagen 2.1.1 bis 2.4.1 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 10380 kWh Gas pro Person für 500.000 versorgte Personen:

Kraftstoff und Heizöl

Der Schwellenwert für die Anlagen 3.1.1 bis 3.4.1 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 0,84t Kraftstoff, 1,24t leichten Heizöl und 0,1275t Flugkraftstoff pro Person pro Jahr für 500.000 versorgte Personen, mit der Annahme von einer Tonne Rohöl pro 0,14t Heizöl.

Fernwärme

Der Schwellenwert für die Anlagen 4.1.1 bis 4.1.2 berechnet sich aus dem angenommenen Durchschnittsverbrauch von 4,528 MWh Energie pro Person für 500.000 versorgte Personen, der Schwellenwert für 4.2.1 direkt über Haushalte.

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren. Bei angeschlossenen Haushalten muss dies zum 30. Juni des Vorjahres ermittelt werden.

up

NIS2

Einrichtungen

Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.

aus NIS2-Umsetzungsgesetz, Entwurf Dezember 2023
^ - gemeint sind immer ganze Unternehmen als Betreiber von ...
Hinweis: Die Verweise auf EnWG-Nummern sind teils alte Fassungen
Nr. Teilsektor Einrichtungsart^ Besonderheit
Energie (Sektor, Anlage 1)
1.1
Stromversorgung (Teilsektor)
1.1.1 Stromlieferanten §3 Nr. 31a EnWG (§3 Nr. 31d nach n.F.)
1.1.2 Elektrizitätsverteilernetze §3 Nr. 3 EnWG
1.1.3 Übertragungsnetze §3 Nr. 10 EnWG
1.1.4 Erzeugungsanlagen §3 Nr. 18d EnWG
1.1.5 Strommarktbetreiber Art. 2 Nr. 8 (EU) 2019/943
1.1.6 Aggregatoren §3 Nr. 1a EnWG
1.1.7 Energiespeicheranlagen §3 Nr. 15d EnWG
1.1.8 Ausgleichsleistungen §3 Nr. 1b EnWG
1.1.9 Ladepunktbetreiber §2 Nr. 8 LSV
1.2
Fernwärme und -kälte (Teilsektor)
1.2.1 Fernwärme/Fernkälte §3 Nr. 19 und 20 GEG
1.3
Kraftstoff/Heizöl (Teilsektor)
1.3.1 Erdöl-Fernleitungen
1.3.2 Produktion, Raffination, Aufbereitung sowie Erdöllager
1.3.3 Zentrale Bevorratungsstellen im Sinne Art 2 f. 2009/119/EG
1.4
Gasversorgung (Teilsektor)
1.4.1 Gasverteilnetze §3 Nr. 8 EnWG
1.4.2 Fernleitungsnetze §3 Nr. 5 EnWG
1.4.3 Gasspeicheranlagen §3 Nr. 6 EnWG
1.4.4 LNG-Anlagen §3 Nr. 9 EnWG
1.4.5 Gaslieferanten §3 Nr. 19b EnWG
1.4.6 Gewinnung von Erdgas
1.4.7 Raffination und Aufbereitung von Erdgas
1.4.8 Wasserstofferzeugung, -speicherung, -fernleitung

up

Regulierung und Standards

Gesetze im Energiesektor

Bestimmte Betreiber im Energiesektor fallen neben KRITIS und NIS2 auch unter EnWG und weitere Energie-Regulierung. Dies hängt von betriebenen Anlagen ab, wie Energie­anlagen, Energie­versorgungsnetzen und weiteren. Es entsteht Mehrfachregulierung für Betreiber.

Ausnahmeregelungen

Für Energieunternehmen, die Energieversorgungsnetze oder Energieanlagen betreiben, gilt neben der KRITIS und NIS2-Regulierung möglicherweise auch das EnWG. Je nach konkreter Anlage und Situation gelten dann auch die Sicherheits­kataloge der BNetzA und es entsteht eine Mehrfach-Regulierung mit unterschiedlichen Vorgaben je Geltungsbereich.

Unternehmen Regulierung Ausschluss Dafür gilt
  • Betreiber Energieversorgungsnetze
  • Betreiber Energieanlagen
KRITIS bis 2024 KRITIS-Maßnahmen
§8a
EnWG §11
plus SiKat
  • Betreiber Energieversorgungsnetze
  • Betreiber Energieanlagen
NIS2 ab 2024 NIS2-Maßnahmen
fast alle
EnWG §5c
plus SiKat
  • Betreiber Energieversorgungsnetze
  • Betreiber Energieanlagen
DachG ab 2024 Resilienznachweise
§16 (1-6)
EnWG §5d
plus SiKat

Energiewirtschaftsgesetz (EnWG)

Das Energiewirtschaftsgesetz EnWG regelt die Pflichten der Betreiber von Energie­anlagen und Energieversorgungsnetzen. Dies ändert sich ab 2024 weiter mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz.

Die wichtigsten Regelungen und Anforderungen für KRITIS und EnWG bis 2024 sind:

Die wichtigsten Regelungen und Anforderungen für NIS2 und EnWG ab 2024 – teilweise abhängig von der genauen Betreiber- und Einrichtungsart im Energiesektor – sind:

Aus dem KRITIS-Dachgesetz werden ab 2024 äquivalente Pflichten zum Resilienznachweis ins EnWG übertragen:

EU-Verordnungen

Die Europäische Kommission hat im Oktober 2023 einen Entwurf für Cybersecurity in der EU-Stromversorgung zur Kommentierung vorgelegt. Der Entwurf ergänzt EU-Verordnung 2019/943 über den Elektrizitäts­binnenmarkt durch die Festlegung eines Netzkodexes mit Vorschriften für Cybersecurity grenz­überschreitender Strom­flüsse.

(Es existieren noch weitere EU-Verordnungen.)

Atomgesetz

Folgt

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

Industrienormen

up

Weitere Informationen

Quellen

  1. Vierte Verordnung zur Änderung der BSI-Kritisverordnung vom 29. November 2023, BGBl. 2023 I Nr. 339 vom 06.12.2023
  2. Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
  3. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 29. November 2023 (BGBl. 2023 I Nr. 339) geändert worden ist
  4. Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 9 des Gesetzes vom 22. März 2023 (BGBl. 2023 I Nr. 88) geändert worden ist
  5. Gesetz für die Erhaltung, die Modernisierung und den Ausbau der Kraft-Wärme-Kopplung (Kraft-Wärme-Kopplungsgesetz - KWKG) vom 21. Dezember 2015 (BGBl. I S. 2498), das zuletzt durch Artikel 7 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818) geändert worden ist
  6. Gesetz für den Ausbau erneuerbarer Energien (Erneuerbare-Energien-Gesetz - EEG 2017) vom 21. Juli 2014 (BGBl. I S. 1066), das zuletzt durch Artikel 6 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818) geändert worden ist
  7. Gesetz über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen (Messstellenbetriebsgesetz - MsbG) vom 29. August 2016 (BGBl. I S. 2034), das zuletzt durch Artikel 90 des Gesetzes vom 20. November 2019 (BGBl. I S. 1626) geändert worden ist"
  8. Gesetz über die Umweltverträglichkeitsprüfung (UVPG) in der Fassung der Bekanntmachung vom 24. Februar 2010 (BGBl. I S. 94), das zuletzt durch Artikel 117 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  9. Verordnung über Rohrfernleitungsanlagen (Rohrfernleitungsverordnung) vom 27. September 2002 (BGBl. I S. 3777, 3809), die zuletzt durch Artikel 224 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  10. Verordnung über Allgemeine Bedingungen für die Versorgung mit Fernwärme (AVBFernwärmeV) vom 20. Juni 1980 (BGBl. I S. 742), die zuletzt durch Artikel 16 des Gesetzes vom 25. Juli 2013 (BGBl. I S. 2722) geändert worden ist
  11. IT-Sicherheit im Energiesektor, Überblick und Bibliothek der relevanten Dokumente, Bundesnetzagentur (BNetzA)
  12. EU Electricity Supply, EU electricity supply – sector-specific rules on cybersecurity (network code), European Commission
  13. Entwurf eines NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetzes, Referentenentwurf, Innenministerium, 22.07.2024
  14. Referentenentwurf KRITIS-Dachgesetz – KRITIS-DachG April 2024, intrapol, August 2024