NIS-2-Richtlinie: Was Betreiber von Windparks und Windkraftanlagen jetzt wissen müssen

Dieser Artikel beleuchtet, wer in der Windbranche betroffen ist, welche Sektoren und Einrichtungen in den Geltungsbereich fallen und welche Anforderungen aus der Richtlinie entstehen. Dabei beziehen wir uns maßgeblich auf die Stellungnahme des Bundesverbandes WindEnergie e.V. (BWE) zum Referentenentwurf sowie auf aktuelle Leitfäden der EU-Agentur ENISA.

1. Wer ist von der NIS-2-Richtlinie betroffen?

Die Richtlinie betrifft alle Unternehmen, die kritische Dienstleistungen in bestimmten Sektoren erbringen und eine bestimmte Unternehmensgröße überschreiten. Entscheidend sind dabei insbesondere:

• Sektorenzugehörigkeit (wie z. B. Energieerzeugung)
• Größe des Unternehmens (≥ 50 Mitarbeitende oder ≥ 10 Mio. € Jahresumsatz)
• Bedeutung der Einrichtung (klassifiziert als „wichtige“ oder „besonders wichtige“ Einrichtung)

Klassifizierung von Unternehmen

Das deutsche Umsetzungsgesetz unterscheidet:

• „Besonders wichtige Einrichtungen“: hohe Bedeutung für die Versorgungssicherheit und IT-Kritikalität.
• „Wichtige Einrichtungen“: weniger kritisch, aber dennoch relevant für gesellschaftliche Funktionen.

Windenergieunternehmen fallen unter das Gesetz, wenn sie:

• Betreiber von Energieerzeugungsanlagen sind (§ 3 Nr. 18d EnWG),
• Dienstleistungen für solche Betreiber erbringen (z. B. SCADA-Systeme, Betriebsführung),
• IT-basierte Prozesse mit externem Zugriff umfassen (z. B. Fernsteuerung, Datenübertragung).

Spezielle Herausforderung für Betreibergesellschaften

In der Windbranche ist es üblich, dass Windparks in eigenständige Gesellschaften ausgegliedert werden (z. B. GmbH & Co. KG). Diese Gesellschaften fallen allein meist nicht unter die Regelung, da sie zu klein sind. Allerdings sieht § 28 des Gesetzentwurfs vor, dass bei verbundenen Unternehmen auch die Mitarbeiter- und Umsatzzahlen der Muttergesellschaft anteilig zugerechnet werden können – sofern keine Unabhängigkeit besteht.

In der Praxis sind diese Tochtergesellschaften aber oft vollständig abhängig von IT-Systemen der Muttergesellschaft, was zu einer Betroffenheit führt – auch wenn sie selbst keine Kontrolle über die IT haben.

2. Welche Sektoren sind betroffen?

Die NIS-2-Richtlinie gilt für Einrichtungen aus 18 Sektoren, unterteilt in zwei Kategorien:

2.1 Sektoren mit hoher Kritikalität („besonders wichtige Einrichtungen“)

Dazu zählt u. a.:

• Energie (Elektrizität, einschließlich Stromerzeugung, -übertragung und -verteilung)
• Digitale Infrastruktur
• Transport
• Finanz- und Versicherungswesen

2.2 Weitere kritische Sektoren („wichtige Einrichtungen“)

Dazu gehören:

• Herstellung von Komponenten für Energietechnik
• Abfallwirtschaft
• Post- und Kurierdienste
• Chemie, Lebensmittel, Gesundheitswesen

Für die Windbranche relevant:

• Betreiber von Stromerzeugungsanlagen
• IT-Dienstleister im Bereich SCADA-Systeme, Condition Monitoring, Betriebsführungssoftware
• Unternehmen mit Zugriff auf Fernsteuerung von Anlagen

3. Welche Anforderungen gibt es?

3.1 Technische und organisatorische Maßnahmen

Betroffene Unternehmen müssen Maßnahmen nach dem Stand der Technik umsetzen (§ 30 des Referentenentwurfs). Dazu gehören u. a.:

• Konzepte zur Risikobewertung und IT-Sicherheit
• Sicherstellung der Geschäftskontinuität (z. B. Backups, Notfallpläne)
• Zugriffs- und Zugangskontrollen, Multi-Faktor-Authentifizierung
• Mitarbeiterschulungen und Personalüberprüfung
• Management von Sicherheitsvorfällen
• Lieferkettenschutz

Besonderheit für die Windbranche: Betreiber, die Aufgaben an externe Betriebsführer oder IT-Dienstleister ausgelagert haben, müssen die Umsetzung dieser Maßnahmen vertraglich absichern.

3.2 Cybersicherheitszertifizierung

§ 30 Abs. 6 des Gesetzesentwurfs sieht eine Pflicht zur Zertifizierung von IKT-Produkten, -Diensten und -Prozessen vor – auf Grundlage europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881. Diese Pflicht betrifft:

• Produkte wie Windparkregler, SCADA-Systeme
• Software für Betriebsführung
• Remote-Zugriffslösungen

Aktuell fehlen weiterhin verbindliche Zeitpläne. Allerdings hat die ENISA im Juni 2025 erste technische Leitfäden veröffentlicht, die Orientierung für Hersteller und Betreiber bieten.

3.3 Meldepflichten

Einrichtungen müssen Sicherheitsvorfälle innerhalb definierter Fristen melden:

• Binnen 24 Stunden: Frühwarnung
• Binnen 72 Stunden: ausführlicher Bericht
• Binnen 30 Tagen: Abschlussbericht

Neu ist, dass auch Geschäftsleitungen persönlich haftbar sind, wenn diese Pflichten verletzt werden.

4. Praktische Herausforderungen für die Windbranche

Unklare Abgrenzung der Betroffenheit

Die zentrale Kritik des BWE betrifft die unklare Definition von „Unabhängigkeit“. Wenn eine Betreibergesellschaft nicht eigenständig über IT-Systeme verfügt, aber formal unter das Gesetz fällt, ist die Umsetzung kaum realistisch. Der BWE fordert daher:

• Eine differenzierte Betrachtung bei Tochtergesellschaften
• Keine Pflicht für Unternehmen ohne faktischen Einfluss auf IT-Sicherheit
• Klare Abgrenzung zwischen Betreiber und IT-Verantwortlichen

Schnittstelle zum Net Zero Industry Act

Im Kontext des Net Zero Industry Act (NZIA) wird Cybersicherheit künftig auch als Präqualifikationskriterium für Ausschreibungen herangezogen. Daher schlägt der BWE vor, das NIS-2-Umsetzungsgesetz an die Anforderungen des NZIA anzupassen. Ziel: Ausschreibungen sollen nur Anbieter erhalten, die sichere IT-Systeme einsetzen – und zwar EU-basiert.

5. Fristen und Übergangsregelungen

• Ursprüngliche Umsetzungsfrist: 18. Oktober 2024 (in Deutschland verpasst).
• Nationale Umsetzung: frühestens ab Q2/2025.
• Nach Inkrafttreten: Unternehmen müssen Anforderungen binnen 3 Jahren erfüllen.
• Für Zertifizierungspflichten sind Übergangsregelungen noch offen.

6. Was ist jetzt zu tun?

Empfohlene Maßnahmen für Marktteilnehmer:

• Selbsteinschätzung vornehmen: Fällt Ihr Unternehmen unter die NIS-2-Kategorien?
• IT-Risiken analysieren: Welche Systeme sind kritisch? Welche Zugriffe bestehen?
• Verträge prüfen: Können Dienstleister zur Einhaltung der Anforderungen verpflichtet werden?
• Mitarbeiterschulungen etablieren: Sensibilisierung für Cybersicherheit ist Pflicht.
• Prozesse für Incident Reporting vorbereiten.
• Kontakt mit Verbänden suchen: Bleiben Sie über den BWE oder andere Fachverbände informiert über künftige Verordnungen.

Fazit

Die NIS-2-Richtlinie bringt eine neue Dimension in die Cybersicherheit der Windbranche. Viele Betreiber, Dienstleister und Managementgesellschaften werden – direkt oder indirekt – betroffen sein. Besonders kritisch: die aktuelle Unsicherheit über die konkrete Betroffenheit sowie die praktischen Umsetzungsmöglichkeiten für Tochtergesellschaften ohne eigenen IT-Zugriff.

Umso wichtiger ist es, jetzt aktiv zu werden: Risikoanalyse durchführen, Prozesse anpassen, Verträge überprüfen und auf Melde- und Zertifizierungspflichten vorbereiten. Auch wenn das deutsche Umsetzungsgesetz noch aussteht, gilt die Richtlinie bereits – wer wartet, riskiert Bußgelder und Haftung.