Bin ich Energieversorger nach NIS 2?
NIS 2 führt Energie in Anhang I Sektor 1 mit fünf Teilsektoren (Strom, Fernwärme und Fernkälte, Öl, Gas, Wasserstoff) und mehreren Einrichtungsarten pro Teilsektor. Artikel 2(1) NIS 2 ergänzt den Größentest. KRITIS-Schwellen nach BSI-KritisV stehen separat darüber und entscheiden nicht über die NIS 2 Anwendbarkeit.
Die Kurzfassung
Energie ist Sektor 1 von Anhang I NIS 2. Die Richtlinie nennt fünf Teilsektoren (Strom, Fernwärme und Fernkälte, Öl, Gas, Wasserstoff) und listet für jeden die Einrichtungsarten: Erzeuger, Verteilernetzbetreiber, Übertragungsnetzbetreiber, Versorger, nominierte Strommarktbetreiber, Marktteilnehmer, Betreiber von Raffinerien und Aufbereitungsanlagen, Betreiber von Ölpipelines und Lagern, zentrale Bevorratungsstellen, Betreiber von LNG-Anlagen, Betreiber der Wasserstofferzeugung und des Wasserstofftransports. Ein Teilsektor reicht, um in den Anwendungsbereich zu fallen.
Artikel 2(1) NIS 2 ergänzt den Größentest mit Verweis auf die Empfehlung 2003/361/EG: mittleres Unternehmen oder größer, also mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz und Bilanzsumme. Die meisten etablierten Energieunternehmen liegen darüber. Darunter ist man regulär außerhalb von NIS 2, sofern nicht eine der Größenüberschreitungen aus Artikel 2(2) greift.
Deutschland setzt das mit §28 BSIG (Anwendungsbereich) und dem Einrichtungskatalog der Anlagen 1 und 2 BSIG um. Separat legt die BSI-KritisV (Verordnung zur Bestimmung Kritischer Anlagen) sektorspezifische Schwellen für das strengere KRITIS-Regime fest (zum Beispiel angeschlossene Endkunden in der Stromverteilung oder gelieferte Jahresmengen). Wird eine KRITIS-Schwelle überschritten, kommen Pflichten oben drauf (unabhängiger Audit alle drei Jahre nach §65 BSIG). Wird sie nicht überschritten, bleibt NIS 2 trotzdem.
NIS 2 Richtlinie (EU) 2022/2555, Anhang I Sektor 1 (Energie)
Sektor 1 Energie: (a) Elektrizität, einschließlich Elektrizitätsunternehmen, Verteilernetzbetreiber, Übertragungsnetzbetreiber, Erzeuger, nominierte Strommarktbetreiber und Marktteilnehmer, die Aggregierungs-, Laststeuerungs- oder Energiespeicherdienste erbringen; (b) Fernwärme und Fernkälte, einschließlich Betreiber von Fernwärme oder Fernkälte; (c) Erdöl, einschließlich Betreiber von Erdölfernleitungen, Betreiber von Anlagen zur Förderung, Raffination und Aufbereitung von Erdöl, Lager- und Transportanlagen sowie zentrale Bevorratungsstellen; (d) Gas, einschließlich Versorgungsunternehmen, Verteilernetzbetreiber, Fernleitungsnetzbetreiber, Speicheranlagenbetreiber, LNG-Anlagenbetreiber, Erdgasunternehmen sowie Betreiber von Anlagen zur Erdgasraffination und -aufbereitung; (e) Wasserstoff, einschließlich Betreiber der Erzeugung, der Speicherung und des Transports von Wasserstoff.
Anhang I Sektor 1 zieht die Perimeterlinie. Wer eine dieser Tätigkeiten ausübt und den Größentest aus Artikel 2(1) besteht, fällt grundsätzlich unter NIS 2. Die Liste je Einrichtungsart ist innerhalb des Teilsektors nicht abschließend, daher werden auch Aggregierung, Laststeuerung und Speicherung im Stromteil ausdrücklich erfasst, obwohl das nicht das klassische Versorgerbild ist.
Artikel 2(1) NIS 2 plus Empfehlung 2003/361/EG
Diese Richtlinie gilt für öffentliche oder private Einrichtungen einer in Anhang I oder Anhang II genannten Art, die als mittlere Unternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG einzustufen sind oder die Schwellenwerte für mittlere Unternehmen nach Absatz 1 jenes Artikels überschreiten.
Der Größentest lautet: mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz und Bilanzsumme. Er gilt für die juristische Person, nicht je Geschäftsbereich. Ein 30-Personen-Wasserstofferzeuger mit 8 Millionen Euro Umsatz liegt regulär darunter. Ein 200-Personen-Verteilernetzbetreiber liegt klar darüber. Artikel 2(2) listet Größenüberschreitungen, die auch kleinere Einrichtungen erfassen (etwa wenn man in einem Mitgliedstaat einziger Anbieter einer wesentlichen Dienstleistung ist). Der Regelweg bleibt der Größentest.
§28 BSIG plus BSI-KritisV (Deutschland)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
§28 BSIG ist die deutsche Eingangstür in den NIS 2 Anwendungsbereich. Anlage 1 BSIG listet die besonders wichtigen Einrichtungsarten, Anlage 2 die wichtigen. Die Energie-Teilsektoren liegen weitgehend in Anlage 1. Die BSI-KritisV (Verordnung zur Bestimmung Kritischer Anlagen) setzt separat die KRITIS-Schwellen. Wer eine KRITIS-Schwelle überschreitet, ist zugleich Betreiber einer Kritischen Anlage und landet aus diesem Grund im strengeren Korb der besonders wichtigen Einrichtungen, mit dreijähriger Auditpflicht nach §65 BSIG.
Welche Tätigkeit aus Anhang I übe ich aus?
Die fünf Teilsektoren durchgehen: Strom, Fernwärme und Fernkälte, Öl, Gas, Wasserstoff. In jedem Teilsektor nennt die Richtlinie die Einrichtungsarten (Erzeuger, Verteilernetzbetreiber, Übertragungsnetzbetreiber, Versorger, Speicher- und LNG-Betreiber, Raffinerie- und Aufbereitungsbetreiber, zentrale Bevorratungsstellen, Marktbetreiber und Marktteilnehmer). Ein Treffer reicht. Erneuerbare Erzeuger, Biogasversorger und Wasserstoff-Start-ups sind nicht per Definition befreit, sie passen unter Erzeuger oder Versorgungsunternehmen.
Bin ich mindestens mittleres Unternehmen?
Test auf Ebene der juristischen Person anwenden: mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz und Bilanzsumme. Etablierte Energieunternehmen liegen meist darüber. Neue Marktteilnehmer im Bereich Erneuerbare oder Wasserstoff liegen oft darunter und bleiben außerhalb, sofern keine Größenüberschreitung nach Artikel 2(2) greift. Konzernstrukturen: die Regeln der Empfehlung 2003/361/EG zu verbundenen und Partnerunternehmen gelten, eine kleine operative GmbH in einem großen Konzern kann zusammen mit der Mutter als groß zählen.
Überschreite ich eine BSI-KritisV-Schwelle?
Die sektorspezifischen Schwellen der BSI-KritisV entscheiden über das KRITIS-Regime, nicht über NIS 2. Das gut dokumentierte Beispiel in der Stromverteilung sind 100.000 angeschlossene Endkunden bzw. rund 3.700 GWh jährlich gelieferte Strommenge. Vergleichbare Schwellen gibt es für Gas, Fernwärme und Öl. Wird eine überschritten, gelten die strengeren Auditpflichten (unabhängiger Audit alle drei Jahre nach §65 BSIG) zusätzlich zu NIS 2. Liegt man unter allen Schwellen, schuldet man trotzdem den vollen §28 BSIG und Artikel 21 NIS 2 Katalog.
NIS 2 sitzt auf dem EnWG, nicht daneben
Energieunternehmen in Deutschland leben bereits unter §11(1a) und §11(1b) EnWG. Diese Vorschriften verlangen einen IT-Sicherheitskatalog, den die Bundesnetzagentur im Einvernehmen mit dem BSI veröffentlicht. NIS 2 ersetzt das nicht. Beide Regime überschneiden sich auf Artikel 21 Gebiet (Risikomanagement). NIS 2 ergänzt aber die §33 BSIG Registrierungspflicht, den §32 BSIG Meldezyklus bei erheblichen Sicherheitsvorfällen, die Schulungspflicht der Leitungsorgane nach Artikel 20 sowie die Lieferkettenpflichten aus Artikel 21(2)(d). Den EnWG-Katalog umzusetzen ist notwendig, nicht hinreichend.
KRITIS-Schwellen gelten je Tätigkeit, NIS 2 gilt je Einrichtung
Die Schwellen der BSI-KritisV sind je Tätigkeit definiert (Stromverteilung, Stromerzeugung, Gasspeicherung etc.) und gelten für die betriebene Anlage. Der NIS 2 Anwendungsbereich nach §28 BSIG und Artikel 2(1) NIS 2 gilt für die juristische Person. Ein vertikal integriertes Energieunternehmen kann unter jeder einzelnen KRITIS-Schwelle liegen und trotzdem volle NIS 2 Einrichtung sein, weil die Gesamtfirma den Größentest besteht.
BSI nach §28 BSIG, §32 Meldepflichten, §33 Registrierung
Das BSI ist die Cyberbehörde nach dem BSIG. Es betreibt das §33 Registrierungsportal, in dem jede Energieeinrichtung im NIS 2 Anwendungsbereich ihre Stammdaten meldet und nach Artikel 27(2) Änderungen binnen zwei Wochen nachzieht. Es nimmt Meldungen erheblicher Sicherheitsvorfälle nach §32 BSIG im NIS 2 Takt entgegen. Wer zusätzlich Betreiber einer Kritischen Anlage ist, übermittelt dem BSI den Nachweis aus dem dreijährlichen Audit nach §65 BSIG.
Bundesnetzagentur und IT-Sicherheitskatalog nach §11 EnWG
Die Bundesnetzagentur ist die Sektorbehörde für Strom und Gas. §11(1a) und §11(1b) EnWG verpflichten Energienetz- und Energieanlagenbetreiber, den von der Bundesnetzagentur im Einvernehmen mit dem BSI veröffentlichten IT-Sicherheitskatalog umzusetzen. Katalog und Artikel 21 NIS 2 überschneiden sich stark, werden aber separat beaufsichtigt. Die Bundesnetzagentur betreibt zudem die Zertifizierung des Katalogs.
ENISA Technical Implementation Guidance
Die ENISA TIG erklärt, wie sich die Maßnahmen aus Artikel 21 NIS 2 in den Energie-Teilsektoren umsetzen lassen. Andere Mitgliedstaaten setzen Anhang I Sektor 1 wortgleich um (die Liste ist EU-Recht). Unterschiedlich ist die zuständige Behörde: ACER und nationale Energieregulierer für die Sektorrolle, nationale NIS-Aufsichten für die Cyberrolle. Grenzüberschreitende Energieunternehmen reden mit mehreren Behörden gleichzeitig.
Wir setzen den IT-Sicherheitskatalog nach §11 EnWG um, NIS 2 ist damit abgedeckt.
Der Katalog deckt einen großen Teil von Artikel 21 NIS 2 ab, aber nicht alles. Die §33 BSIG Registrierung ist separat. Die §32 BSIG Meldung erheblicher Sicherheitsvorfälle ist separat. Die Schulungspflicht der Leitungsorgane nach Artikel 20 NIS 2 ist separat. Die Lieferkettenpflichten aus Artikel 21(2)(d) gehen über den Katalog hinaus. Der Katalog ist ein starker Vorsprung, kein Ersatz.
Wir liegen unter der BSI-KritisV-Schwelle, also gilt NIS 2 für uns nicht.
KRITIS-Schwellen entscheiden über das KRITIS-Regime, nicht über NIS 2. Ein Stromverteilernetzbetreiber mit 60.000 angeschlossenen Endkunden liegt unter der dokumentierten Schwelle von 100.000 und ist nicht Betreiber einer Kritischen Anlage. Derselbe Netzbetreiber ist weiter eine NIS 2 Einrichtung nach §28 BSIG und schuldet den vollen Artikel 21 Katalog, die §33 Registrierung und die §32 Meldepflicht.
Wir sind ein Erneuerbaren-Unternehmen (Wind, Solar, Biogas, grüner Wasserstoff), NIS 2 betrifft uns nicht.
Anhang I Sektor 1 listet Stromerzeuger ohne Unterscheidung der Erzeugungstechnologie. Wind, Solar, Wasser, Biogas und Wasserstoff zählen alle. Ein Erneuerbaren-Betreiber, der den Größentest aus Artikel 2(1) besteht, fällt unter dieselben Regeln wie ein konventioneller Erzeuger. Der einzige Ausweg ist der Größentest, nicht die Erzeugungsart.
Ein typisches mittelständisches deutsches Energieunternehmen mit 150 Beschäftigten, einer Stromverteilung mit rund 40.000 Endkunden, einem Gasvertrieb und einem kleinen Erneuerbaren-Erzeugungsportfolio fällt klar in den NIS 2 Anwendungsbereich über Anhang I Sektor 1 (Teilsektoren Strom und Gas). Der Größentest ist auf Ebene der juristischen Person erfüllt. Die BSI-KritisV-Schwellen der Verteilung sind nicht überschritten, daher entfällt die Auditpflicht nach §65 BSIG, §28 BSIG gilt aber. Der EnWG §11 Katalog läuft am Netz bereits, ein großer Teil von Artikel 21 ist also vor Beginn der NIS 2 Arbeit unterwegs.
Das Risikomanagement nach §30 muss OT und SCADA über Verteilnetz, Gasnetzleitstelle und Erzeugungsportfolio gemeinsam abdecken. Die Meldung nach §32 läuft über das BSI im NIS 2 Takt. Die Registrierung nach §33 ist eine Meldung für die ganze juristische Person. Die Schulungspflicht nach Artikel 20 NIS 2 ist für die meisten Vorstände und Geschäftsführungen in diesem Segment neu und vom EnWG-Katalog nicht abgedeckt. Die Lieferkettenmaßnahmen nach Artikel 21(2)(d) sind das zweite große Delta gegenüber der EnWG-Welt.
Die Anwendbarkeitsprüfung geht die Teilsektoren aus Anhang I Sektor 1 durch, fragt nach Beschäftigten und Umsatz auf Ebene der juristischen Person und gibt aus, in welchen §28 BSIG Korb man fällt und ob eine Tätigkeit zusätzlich KRITIS auslöst. Das Ergebnis ist ein Memo, das die Geschäftsführung und die Ansprechperson bei der Bundesnetzagentur gleichermaßen lesen können.
Wo sich Artikel 21 NIS 2 und der EnWG §11 Katalog überschneiden, mappt die Plattform die Anforderungen einmal und lässt dasselbe Evidence-Stück für beides zählen. Das Asset-Modul nimmt OT- und IT-Inventar über alle Teilsektoren in einer Ansicht auf. Die §33 Registrierung läuft inklusive Zwei-Wochen-Fortschreibung nach Artikel 27(2) auf der Plattform.
- Richtlinie (EU) 2022/2555 (NIS 2), Anhang I Sektor 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 2(1) und Artikel 2(2) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Empfehlung 2003/361/EG der Kommission zur Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen
- BSI-Gesetz (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (Audits) in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes — gesetze-im-internet.de
- Verordnung zur Bestimmung Kritischer Anlagen (BSI-KritisV), sektorspezifische Schwellen für Energie
- Energiewirtschaftsgesetz (EnWG), §11(1a) und §11(1b) — gesetze-im-internet.de
- IT-Sicherheitskatalog der Bundesnetzagentur für Energienetz- und Energieanlagenbetreiber