NIS2 & KRITIS-Dachgesetz für Energieversorger und Stadtwerke
Doppel-Compliance ab 2026, ISO 27019 und die passende Cyberversicherung
Energieversorger und Stadtwerke stehen 2026 in einer besonderen Compliance-Falle: Seit dem 6.
Dezember 2025 gilt das NIS2-Umsetzungsgesetz (NIS2UmsuCG), seit dem 17.
März 2026 zusätzlich das neue KRITIS-Dachgesetz mit All-Hazards-Ansatz (physische plus Cyber-Resilienz).
Parallel laufen weiterhin der IT-Sicherheitskatalog der BNetzA nach § 11 EnWG, die ISO 27001 plus ISO 27019 für Netzbetreiber und der B3S Energie als branchenspezifischer Sicherheitsstandard.
Diese Seite zeigt, wer betroffen ist, wie sich die Compliance-Layer überschneiden und welche Cyberversicherungs-Bausteine ein mittelständischer Stadtwerk-Versorger 2026 braucht.
Inhaltsverzeichnis
Stadtwerke unter NIS2 plus KRITIS-Dachgesetz: die Doppel-Compliance-Falle
Der Energiesektor steht in Anlage I (hohe Kritikalität, Sektor 1) der NIS2-Richtlinie - also bei den besonders wichtigen Einrichtungen, die einer schärferen Aufsicht unterliegen. Gleichzeitig wurde am 17. März 2026 das neue KRITIS-Dachgesetz wirksam, das mit einem All-Hazards-Ansatz auch physische Bedrohungen abdeckt (Sabotage, Drohnenangriffe, Naturkatastrophen) und zusätzliche Resilienz-Anforderungen mitbringt. Stadtwerke müssen damit gleichzeitig drei Compliance-Stränge bedienen: erstens NIS2 (Cyber-Resilienz nach § 30 BSIG mit BSI-Aufsicht), zweitens KRITIS-Dachgesetz (Hybrid-Resilienz nach BBK-Aufsicht), drittens den seit Jahren bestehenden IT-Sicherheitskatalog der BNetzA nach § 11 EnWG (Netzbetreiber-Pflicht mit BNetzA-Aufsicht). Praktisch bedeutet das: drei Behörden, ein integriertes Sicherheitsmanagement notwendig. Wer das nicht systematisch löst, riskiert parallele Verfahren mit jeweils sechs- bis siebenstelligen Bußgeldern.
Schwellen: Wann ist mein Stadtwerk wesentlich oder wichtig?
NIS2 unterscheidet zwischen besonders wichtigen Einrichtungen (besondere Aufsicht, höhere Bußgelder) und wichtigen Einrichtungen. Für Energie gilt: besonders wichtig sind Unternehmen ab 250 Mitarbeitern oder 50 Mio EUR Jahresumsatz (bei einer Bilanzsumme über 43 Mio EUR). Wichtige Einrichtungen sind alle ab 50 Mitarbeitern oder 10 Mio EUR. Damit fällt praktisch jedes Stadtwerk ab Mittelgröße in NIS2. Zusätzlich gelten die KRITIS-Schwellenwerte nach der BSI-KritisV: ab 500.000 versorgten Einwohnern wird ein Versorger zur kritischen Anlage und unterliegt zusätzlich der KRITIS-Aufsicht des BSI. Größenunabhängig erfasst sind Betreiber qualifizierter Vertrauensdienste, TLD-Registries, DNS-Diensten und Telekommunikationsanbieter - was für Stadtwerke mit Glasfaser-Tochter oder eigener Trinkwasser-Sparte relevant ist. Ergebnis: Mittelständisches Stadtwerk mit 200 MA, 60 Mio EUR Umsatz und 80.000 versorgten Einwohnern ist NIS2-pflichtig (wichtige Einrichtung), aber noch nicht KRITIS-pflichtig - die Schwellen sind separat zu prüfen.
Top-Risiken Energie 2026: SCADA, IS-U, Hybrid-Sabotage
Erstens Angriffe auf Leitstellen und SCADA-Systeme. Staatlich gelenkte Akteure (Russland, China, Iran) haben in den letzten Jahren mehrfach versucht, deutsche EVU-Netzleitstellen zu kompromittieren - Stuxnet hat gezeigt was technisch möglich ist, und der Cyberangriff auf das ukrainische Stromnetz 2015 ist das wegweisende Worst-Case-Szenario. Smart-Meter-Backend ist eine wachsende Angriffsfläche, weil über die SMGW-Infrastruktur theoretisch tausende Endkunden gleichzeitig beeinflussbar wären. Zweitens Ransomware auf Verwaltungs- und Abrechnungs-IT. SAP IS-U ist ein klassisches Stadtwerk-System und gleichzeitig ein dankbares Ziel - ein Stillstand bedeutet kein Abrechnungs-Lauf, also Liquiditätskrise. Drittens hybride Sabotage mit physischer plus Cyber-Komponente. Das KRITIS-Dachgesetz reagiert genau darauf: Drohnen-Aufklärung gefolgt von Cyber-Angriff auf Steuerung, Brandstiftung an Trafo-Station mit gleichzeitiger Manipulation der Notabschaltung. Solche kombinierten Szenarien sind 2026 nicht mehr Science-Fiction.
§ 30 BSIG plus IT-Sicherheitskatalog BNetzA: die Schnittmengen-Matrix
Der IT-Sicherheitskatalog der BNetzA (§ 11 Abs. 1a EnWG) ist seit Jahren für Netzbetreiber Pflicht und verlangt im Kern ein zertifiziertes ISMS nach ISO 27001 plus die branchenspezifische Ergänzung ISO 27019. Die zehn NIS2-Mindestmaßnahmen nach § 30 BSIG überschneiden sich zu rund 80 Prozent mit dem IT-Sicherheitskatalog - aber nicht vollständig. Lücken bestehen typischerweise bei: Lieferketten-Sicherheit nach § 30 Abs. 2 Nr. 4 BSIG (BNetzA-Katalog deckt das nur rudimentär), dokumentierte Geschäftsführer-Schulung nach § 38 BSIG (BNetzA-Katalog hat keine vergleichbare Pflicht), 24-Stunden-Meldepflicht ans BSI (BNetzA-Meldungen laufen separat). Praktisches Vorgehen: bestehendes ISO-27001-/27019-ISMS als Grundlage nehmen, NIS2-Gap-Analyse darauf aufsetzen, einheitliche Meldekette ans BSI und an die BNetzA etablieren. Wer beide Aufsichten parallel pflegt, ohne sie zu integrieren, verbrennt Audit-Budget und riskiert widersprüchliche Aussagen gegenüber Behörden.
ISO 27019 als Compliance-Hebel
ISO/IEC 27019 ist die branchenspezifische Ergänzung zur ISO 27001 für die Energieversorgungsindustrie. Sie konkretisiert die ISO-27001-Controls für Prozessleittechnik, SCADA, EMS, Smart-Meter-Gateways und vergleichbare OT-Systeme im Energiesektor. Ein bestehendes ISO-27019-Zertifikat erfüllt rund 85 Prozent der NIS2-Pflichten plus rund 90 Prozent des BNetzA-IT-Sicherheitskatalogs. Praktisch ist ISO 27019 damit der zentrale Compliance-Hebel für Stadtwerke - wer hier zertifiziert ist, hat die meisten Hausaufgaben automatisch erledigt. Lücken: NIS2-spezifische Meldefristen (24-Stunden-Erstmeldung) und die persönliche Geschäftsführerhaftung nach § 38 BSIG sind in ISO 27019 nicht abgedeckt. Diese Punkte separat dokumentieren. Wer noch nicht zertifiziert ist, sollte ISO 27001 plus ISO 27019 als Sprint priorisieren - meist deutlich günstiger als drei separate Compliance-Audits pro Jahr.
Meldepflichten: BSI plus BNetzA - zwei Behörden, eine Meldung?
Stadtwerke haben 2026 ein Meldepflicht-Problem: BSI verlangt nach NIS2 die dreistufige Meldung (24 Stunden Frühwarnung, 72 Stunden Detailmeldung, 30 Tage Abschlussbericht). BNetzA verlangt nach § 11 EnWG eine separate Meldung erheblicher IT-Sicherheitsvorfälle, mit eigenen Fristen. Bei besonders kritischen Vorfällen kommt ggf. das BBK nach KRITIS-Dachgesetz dazu. Lösung: einheitliches Incident-Response-Playbook mit klarem Verantwortlichen-Mapping (wer meldet was an wen in welcher Frist), automatisierte Vorbereitung der Meldetexte via Template, Eskalation an die Geschäftsleitung bei jeder Erstmeldung. Wer hier nur den BSI-Pfad pflegt und BNetzA vergisst, riskiert separate Bußgelder bis 500.000 EUR pro verpasster Frist - jeweils. Empfehlung: Tabletop-Exercise mindestens halbjährlich mit allen drei Meldepfaden, Verantwortlichkeiten in der Rufbereitschaft 24/7 klären.
Cyberversicherung für Stadtwerke: BU, Versorgungsunterbrechung, Kundendaten
Eine NIS2- und KRITIS-konforme Cyberversicherung für Stadtwerke und Energieversorger muss vier Bausteine abdecken. Erstens Betriebsunterbrechung mit OT-spezifischer Klausel: Ein SCADA-Ausfall im Strom- oder Gasnetz erzeugt nicht nur direkten BU-Schaden, sondern auch regulatorische Folgekosten (BNetzA-Sanktionen bei Versorgungsunterbrechung). Versicherungssummen unter 5 Mio EUR sind für mittelgroße Stadtwerke meist unzureichend. Zweitens Versorgungsunterbrechung als eigener Baustein - das ist eine Branchen-Spezialität, die nicht jede Standard-Cyberpolice abdeckt. Drittens Kundendaten- und DSGVO-Folgen: Stadtwerke verwalten Energiedaten von 10.000 bis 100.000 Endkunden, ein Datenleck triggert Benachrichtigungspflichten, Anwaltskosten und Bußgeld-Verteidigung. Viertens 24/7-IT-Forensik mit OT-Erfahrung: SAP-IS-U-, SCADA- und Smart-Meter-Gateway-Kenntnis ist Pflicht, klassische Office-Forensiker scheitern hier. Bei mehreren Anbietern - siehe unseren Anbieter-Vergleich - sind Allianz, HDI und Württembergische für Industrie-Risiken besonders aufgestellt.
KRITIS-Dachgesetz-All-Hazards: was bedeutet das für die Police?
Das KRITIS-Dachgesetz seit 17. März 2026 erweitert die bisherige reine Cyber-Resilienz um physische Bedrohungen. Für die Versicherungslandschaft bedeutet das einen Paradigmenwechsel: Eine reine Cyberpolice deckt klassisch nur IT-Vorfälle ab. Ein Drohnen-Angriff mit physischem Schaden plus Cyber-Komponente fällt zwischen die Stühle: Cyberpolice sagt nein (kein IT-Vorfall), Sachversicherung sagt teilweise (Drohnen-Schäden sind klassisch ausgeschlossen), Betriebsunterbrechungs-Police sagt nur Sach-bezogene Folgen. Diese Lücke wird aktuell von wenigen Versicherern adressiert - Allianz und Württembergische haben angekündigt, 2026 spezielle KRITIS-Dachgesetz-Klauseln in die Cyberpolicen aufzunehmen. Pflicht-Prüfung mit dem eigenen Versicherungsmakler: ist hybride Bedrohung mitversichert, oder braucht es eine separate KRITIS-Police? Empfehlung: bei Vertragsverlängerung 2026 explizit nach KRITIS-Dachgesetz-Klausel fragen.
Häufige Fragen
Mein Stadtwerk hat 180 MA und 55 Mio EUR Umsatz - bin ich NIS2-pflichtig?
Reicht meine bestehende ISO 27001 plus ISO 27019 als NIS2-Nachweis?
Müssen wir parallel an BSI und BNetzA melden?
Versichert eine Cyberpolice auch hybride Bedrohungen nach KRITIS-Dachgesetz?
Welche Versicherungssumme braucht ein Stadtwerk mit 100.000 versorgten Einwohnern?
Unabhängiger Versicherungsmakler mit Spezialisierung auf Cyberversicherungen für KMU, Arztpraxen und Kanzleien. Erlaubnis nach §34d GewO.
Kostenlos beraten lassen – in 60 Sekunden
Füllen Sie das kurze Formular aus und erhalten Sie eine unverbindliche Empfehlung von unseren zertifizierten Cyber-Experten.
DSGVO-konform · SSL-verschlüsselt · Keine Weitergabe an Dritte