Cybersicherheit, Netzwerke, Schloss

Cybersicherheit im Koalitionsvertrag: Hohe Priorität, aber kein Fahrplan 

30. Mai 2025

Trotz der Zunahme von Cyberangriffen auf Unternehmen in den letzten Jahren ist unklar, wann der deutsche Gesetzgeber die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU (NIS2-Richtlinie) umsetzt. Eigentlich hätte der Gesetzgeber die Richtlinie bis spätestens zum 17.10.2024 umsetzen müssen. An diesem Tag lief die Umsetzungsfrist der NIS2-Richtlinie ab. Aufgrund des Fristablaufs leitete die EU-Kommission am 28.11.2024 ein Vertragsverletzungsverfahren gegen Deutschland und 22 weitere Mitgliedstaaten ein. Stand Mai 2025 liegt das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) zwar als Regierungsentwurf vor. Doch das weitere Verfahren ist durch die Neuwahlen ins Stocken geraten.  

Die Bundesnetzagentur (BNetzA) hat hingegen bereits am 7.5.2025 das Konsultationsverfahren zur Überarbeitung der IT-Sicherheitskataloge nach § 11 Abs. 1a und 1b EnWG eröffnet. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einem Positionspapier zur Cybersicherheit im Energiesektor Deutschlands vom 21.5.2025 noch einmal auf die angespannte Bedrohungssituation hingewiesen. Insbesondere für Energieversorgungsunternehmen gibt es Bedrohungen durch staatlich unterstützte Cyberoperationen, cyberkriminelle Gruppen und sogenannte Hacktivisten. Das BSI fordert daher eine Reihe von (Schutz-)Maßnahmen.  

Koalition erkennt Umsetzungsnotwendigkeit 

Die Koalition aus CDU/CSU und SPD kündigt in ihrem Koalitionsvertrag „Verantwortung für Deutschland“ an, die Cybersicherheit zu stärken. Dazu soll u. a. das BSI zu einer Zentralstelle für Fragen der Informations- und Cybersicherheit ausgebaut werden. Zudem soll im Rahmen der Umsetzung der NIS2-Richtlinie das BSI-Gesetz umfassend novelliert werden. Dadurch soll kritische Energieinfrastruktur, insbesondere Netze und Erneuerbare-Energien-Anlagen, resilienter und bestmöglich geschützt werden. 

Zeitnahe Gesetzgebung macht Handeln notwendig 

Die Bundesregierung scheint der Umsetzung der NIS2-Richtlinie somit Priorität einzuräumen. Daher ist nun davon auszugehen, dass die Richtlinie zügiger umgesetzt wird. Im Hinblick auf die Gesetzesnovellierung ist es für Unternehmen unerlässlich, frühzeitig Maßnahmen zu ergreifen. Dabei ist zu beachten, dass der Referentenwurf des NIS2UmsuCG – entsprechend den Vorgaben der NIS2-Richtlinie – vorsieht, dass mehr Unternehmen erfasst sind. Deutlich mehr Unternehmen müssen daher die erweiterten IT-Sicherheitsvorgaben erfüllen. Dadurch sollen Ihre informationstechnischen Systeme, Komponenten und Prozesse effektiv geschützt werden (Neue Cybersicherheitsvorgaben: Wer ist betroffen?). Dies betrifft gerade Unternehmen aus der Energiebranche. Dazu gehören Strom- und Gaslieferanten.  

Der Referentenentwurf sieht zudem keine Umsetzungsfristen vor. Das führt dazu, dass das Gesetz unmittelbar nach seinem Inkrafttreten angewendet werden muss. Es ist ratsam, frühzeitig zu prüfen, in welchem Umfang das eigene Unternehmen von den gesetzlichen Regulierungen erfasst ist. Zudem sollten Unternehmen klären, welche Pflichten zur Stärkung der Cybersicherheit zukünftig zu erfüllen sind. 

BNetzA überarbeitet bereits die IT-Sicherheitskataloge  

Die BNetzA hat am 7.5.2025 ein Eckpunktepapier zur Überarbeitung der IT-Sicherheitskataloge veröffentlicht. Dies betrifft Betreiber von Energieversorgungsnetzen (§ 11 Abs. 1a EnWG) und Energieanlagen (§ 11 Abs. 1b EnWG). Die IT-Sicherheitskataloge dienen dazu, den angemessenen Schutz der Verfügbarkeit, Integrität und Vertraulichkeit der Systeme kritischer Infrastrukturen zu gewährleisten. Sie sollen auch eine Gefährdung der öffentlichen Sicherheit verhindern. Bis zum 11.6.2025 wird das Eckpunktepapier im ersten Verfahrensabschnitt konsultiert werden. Dabei sollen zunächst bei einer digitalen Fragerunde der BNetzA am 26.5.2025 Fragen zum Eckpunktepapier besprochen werden. Bemerkenswert ist, dass das Eckpunktepapier fast ausschließlich auf die aktuell noch geltende Rechtslage aufbaut. Aber nicht auf die nach der Umsetzung der NIS2-Richtlinie geltende. An die erste Konsultationsphase anschließend soll von der BNetzA eine vollständige Konsultationsfassung der neuen IT-Sicherheitskataloge veröffentlicht werden.  

Ansprechpartner:innen: Thomas Schmeding/Julien Wilmes-Horváth/Alexander Bartsch/Stefan Brühl/Kathrin Lemke 

Share
Weiterlesen
Strommasten, Stromzähler, Geldscheine, Euros

11 Juni

Das Strommarktdesign der Zukunft: Ein Blick in den Koalitionsvertrag 

Der  Koalitionsvertrag der neuen Bundesregierung aus CDU/CSU und SPD gibt Anlass, die geplanten Weichenstellungen im Energiebereich zu analysieren. Während wir bereits an anderer Stelle den Industriestrompreis und CCU/CCS näher beleuchtet haben, soll es hier um die Frage gehen, wie das...

Weiterlesen
Batteriespeicher, Strom, Windräder

10 Juni

Baukostenzuschüsse für Batteriespeicher zulässig? (Noch) keine Entscheidung des BGH  

Am 27.5.2025 wurde vor dem Bundesgerichtshof (BGH) mündlich über die Zulässigkeit von Baukostenzuschüssen (BKZ) für Batteriespeicher nach dem Leistungspreismodell verhandelt. Doch die sowohl von den Netzbetreibern als auch der Speicherbranche gespannt erwartete Entscheidung wurde nicht getroffen. Die Entscheidung hat der...

Weiterlesen