Cybersicherheit, Netzwerke, Schloss

Cybersicherheit im Koalitionsvertrag: Hohe Priorität, aber kein Fahrplan 

30. Mai 2025

Trotz der Zunahme von Cyberangriffen auf Unternehmen in den letzten Jahren ist unklar, wann der deutsche Gesetzgeber die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU (NIS2-Richtlinie) umsetzt. Eigentlich hätte der Gesetzgeber die Richtlinie bis spätestens zum 17.10.2024 umsetzen müssen. An diesem Tag lief die Umsetzungsfrist der NIS2-Richtlinie ab. Aufgrund des Fristablaufs leitete die EU-Kommission am 28.11.2024 ein Vertragsverletzungsverfahren gegen Deutschland und 22 weitere Mitgliedstaaten ein. Stand Mai 2025 liegt das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) zwar als Regierungsentwurf vor. Doch das weitere Verfahren ist durch die Neuwahlen ins Stocken geraten.  

Die Bundesnetzagentur (BNetzA) hat hingegen bereits am 7.5.2025 das Konsultationsverfahren zur Überarbeitung der IT-Sicherheitskataloge nach § 11 Abs. 1a und 1b EnWG eröffnet. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einem Positionspapier zur Cybersicherheit im Energiesektor Deutschlands vom 21.5.2025 noch einmal auf die angespannte Bedrohungssituation hingewiesen. Insbesondere für Energieversorgungsunternehmen gibt es Bedrohungen durch staatlich unterstützte Cyberoperationen, cyberkriminelle Gruppen und sogenannte Hacktivisten. Das BSI fordert daher eine Reihe von (Schutz-)Maßnahmen.  

Koalition erkennt Umsetzungsnotwendigkeit 

Die Koalition aus CDU/CSU und SPD kündigt in ihrem Koalitionsvertrag „Verantwortung für Deutschland“ an, die Cybersicherheit zu stärken. Dazu soll u. a. das BSI zu einer Zentralstelle für Fragen der Informations- und Cybersicherheit ausgebaut werden. Zudem soll im Rahmen der Umsetzung der NIS2-Richtlinie das BSI-Gesetz umfassend novelliert werden. Dadurch soll kritische Energieinfrastruktur, insbesondere Netze und Erneuerbare-Energien-Anlagen, resilienter und bestmöglich geschützt werden. 

Zeitnahe Gesetzgebung macht Handeln notwendig 

Die Bundesregierung scheint der Umsetzung der NIS2-Richtlinie somit Priorität einzuräumen. Daher ist nun davon auszugehen, dass die Richtlinie zügiger umgesetzt wird. Im Hinblick auf die Gesetzesnovellierung ist es für Unternehmen unerlässlich, frühzeitig Maßnahmen zu ergreifen. Dabei ist zu beachten, dass der Referentenwurf des NIS2UmsuCG – entsprechend den Vorgaben der NIS2-Richtlinie – vorsieht, dass mehr Unternehmen erfasst sind. Deutlich mehr Unternehmen müssen daher die erweiterten IT-Sicherheitsvorgaben erfüllen. Dadurch sollen Ihre informationstechnischen Systeme, Komponenten und Prozesse effektiv geschützt werden (Neue Cybersicherheitsvorgaben: Wer ist betroffen?). Dies betrifft gerade Unternehmen aus der Energiebranche. Dazu gehören Strom- und Gaslieferanten.  

Der Referentenentwurf sieht zudem keine Umsetzungsfristen vor. Das führt dazu, dass das Gesetz unmittelbar nach seinem Inkrafttreten angewendet werden muss. Es ist ratsam, frühzeitig zu prüfen, in welchem Umfang das eigene Unternehmen von den gesetzlichen Regulierungen erfasst ist. Zudem sollten Unternehmen klären, welche Pflichten zur Stärkung der Cybersicherheit zukünftig zu erfüllen sind. 

BNetzA überarbeitet bereits die IT-Sicherheitskataloge  

Die BNetzA hat am 7.5.2025 ein Eckpunktepapier zur Überarbeitung der IT-Sicherheitskataloge veröffentlicht. Dies betrifft Betreiber von Energieversorgungsnetzen (§ 11 Abs. 1a EnWG) und Energieanlagen (§ 11 Abs. 1b EnWG). Die IT-Sicherheitskataloge dienen dazu, den angemessenen Schutz der Verfügbarkeit, Integrität und Vertraulichkeit der Systeme kritischer Infrastrukturen zu gewährleisten. Sie sollen auch eine Gefährdung der öffentlichen Sicherheit verhindern. Bis zum 11.6.2025 wird das Eckpunktepapier im ersten Verfahrensabschnitt konsultiert werden. Dabei sollen zunächst bei einer digitalen Fragerunde der BNetzA am 26.5.2025 Fragen zum Eckpunktepapier besprochen werden. Bemerkenswert ist, dass das Eckpunktepapier fast ausschließlich auf die aktuell noch geltende Rechtslage aufbaut. Aber nicht auf die nach der Umsetzung der NIS2-Richtlinie geltende. An die erste Konsultationsphase anschließend soll von der BNetzA eine vollständige Konsultationsfassung der neuen IT-Sicherheitskataloge veröffentlicht werden.  

Ansprechpartner:innen: Thomas Schmeding/Julien Wilmes-Horváth/Alexander Bartsch/Stefan Brühl/Kathrin Lemke 

Share
Weiterlesen
Mann in Anzug und mit Brille, Hände in den Taschen, lächelnd

14 Januar

Interview: Wasserwirtschaftliche Jahrestagung mit Hendrik Rösch, Technischer Geschäftsführer, Harzwasserwerke GmbH

Vom 28.1.2026 bis 30.1.2026 findet in Meisenheim die Wasserwirtschaftliche Jahrestagung „Wachsende Investitionen in der (Ab-)Wasserwirtschaft erfolgreich umsetzen“ statt. Die Branche steht vor enormen Herausforderungen: Ein großer Teil der Infrastruktur erreicht das Ende seiner Nutzungsdauer, Klimawandel, demografische Veränderungen und neue Vorschriften...

Weiterlesen
bunte Pfeile, Taschenrechner, Glühbirne

13 Januar

Die Ausgestaltung des Industriestrompreises nimmt Konturen an –und die Erweiterung der Strompreiskompensation ist amtlich 

Seit Jahren wird in Politik und Wirtschaft über die Einführung eines Industriestrompreises diskutiert. Nun nehmen die Pläne der Bundesregierung, stromintensive Unternehmen mit diesem Instrument zu entlasten, weiter Gestalt an. Nachdem Ende letzten Jahres der Entwurf der Eckpunkte zum Industriestrompreis veröffentlicht wurde, liegt ein erster Entwurf einer Förderrichtlinie vor.  Ziel des Industriestrompreises ist es, Industriezweige zu entlasten, die mit höheren Stromkosten konfrontiert sind als Wettbewerber in...

Weiterlesen