Die NIS-2-Umsetzung bringt neue Pflichten für fast alle Energieversorger: mehr Aufsicht, striktere Melde- und Nachweispflichten, höherer Bedarf an IT-Sicherheitsstrukturen. Thüga unterstützt mit Rahmenabkommen zu Notfallmanagement, Schwachstellenanalysen sowie Beratung und Audits, um Unternehmen trotz knapper Ressourcen schnell handlungsfähig zu machen.
An einigen Details verhandeln Bundestag und Bundesrat zwar noch. Doch die Grundstruktur des NIS2UmsuCG, des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“, steht seit dem Kabinettsbeschluss im Juli fest: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält erweiterte Aufsichts- und Kontrollbefugnisse. Hinzu kommen neue Melde-, Dokumentations- und Nachweispflichten.
Nahezu alle Unternehmen der Energiewirtschaft fallen künftig unter das Gesetz, allerdings in unterschiedlicher Einstufung und Tiefe der Pflichten. „Das ist für alle eine große Herausforderung“, sagt Ingo Krischker, IT-Sicherheitsbeauftragter der Wiesbadener ESWE Versorgungs AG. „Zunächst muss jedes Unternehmen seine konkrete Betroffenheit sauber klären und daraus die jeweils erforderlichen und verbindlichen Maßnahmen ableiten.“ Die Kunst dabei ist, „ein gesundes Mittelmaß zwischen NIS-2-Compliance und Praktikabilität im Arbeitsalltag zu treffen. Dabei hat uns der Aufbau eines strukturierten Risikomanagement-Frameworks sehr geholfen.“ Ein solches leistet zudem gute Hilfestellung, um Rollen und Verantwortlichkeiten auf Geschäftsführungs- und operativer Ebene klar zu verteilen. Ein guter Rat des ESWE-IT-Securitybeauftragten: die neuen Vorgaben eng mit bereits bestehenden Cybersecurity-Maßnahmen verzahnen. „Das vermeidet Doppelarbeit. Schließlich haben die meisten Versorger ihre IT-Sicherheit schon in den vergangenen Jahren deutlich gestärkt – ganz unabhängig von NIS-2.“ Deutschland ist mit der Umsetzung der Richtlinie spät dran. Spätestens Anfang 2026 wird das NIS2-UmsuCG voraussichtlich verabschiedet. Aber schon jetzt ist der Run auf die gefragten Dienstleistungen enorm. Die verfügbaren Ressourcen hingegen sind knapp.
Der Zugang zu kompetenten IT-Dienstleistern ist deshalb ein gewichtiger Punkt, der die neuen Thüga-Rahmenabkommen attraktiv macht. Zusammen mit sieben IT-Diensteistern schloss der Thüga-Bereich Digitalisierung & IT gemeinsam mit dem Thüga-Einkauf Rahmenvereinbarungen ab – und zwar für die drei zentralen NIS2UmsuCG-Anforderungen.
„Mit den neuen Rahmenabkommen ermöglichen wir den Unternehmen der Thüga-Gruppe, schnell auf externe Unterstützung durch unsere Dienstleister zuzugreifen“, erläutert Irana Mahrad aus dem Thüga-Bereich Digitalisierung & IT. „Zugleich bringt jeder Anbieter seine Schwerpunkte und Stärken ein, sodass Unternehmen je nach Bedarf und Ausgangslage den richtigen Dienstleister und die entsprechenden Leistungspakete wählen können.“ In gewissem Rahmen lassen die Pakete zudem kundenspezifische Anpassungen zu. Was Stadtwerker und Versorger in puncto NIS2UmsuCG im Blick behalten sollten: Anders als oft üblich, sieht der aktuelle Entwurf keine Übergangsfristen vor. Sobald das Gesetz in Kraft tritt, müssen alle Anforderungen erfüllt sein – ohne Aufschub.
Das NIS2UmsuCG erweitert den Fokus der IT-Sicherheit auf die gesamte Lieferkette. Dadurch sind künftig verstärkt auch Lieferanten, Dienstleister und Systemintegratoren betriebstechnischer Anlagen (OT) gefordert, angemessene Sicherheitsmaßnahmen nach dem Stand der Technik umzusetzen und diese gegenüber ihren NIS2-betroffenen Kunden nachzuweisen. Dies wird schrittweise durch entsprechende zusätzliche Anforderungen in relevanten Rahmenverträgen der Thüga im Bereich Netzmaterial und -dienstleistungen ergänzt.
Fachpartner und Unterstützer im Wandel der Energiebranche
Versicherungsschutz für Energieversorgungsunternehmen
Prozess- und Datenmanagement in der Energiewirtschaft
Regenerative Energieerzeugung aus Wind und Solar
Moderne IT-Lösungen und digitale Transformation
Energiehandelshaus und Prozessdienstleister
