wind-turbine.com
englishespañolfrançaisitalianopolskiportuguêsру́сскийdansknederlands
Anmelden
Inserieren
Suchauftrag
wind-turbineMatch
Mit uns finden Sie den passenden Anbieter!
Erstellen Sie eine Anfrage und wir vermitteln Ihnen kostenfrei relevante Anbieter.
Jetzt Anfrage erstellen
  • kostenfrei
  • schnell & einfach
  • verifizierte Anbieter
  • unverbindlich
Anmelden
  1. Home
  2. Magazin
  3. Neues vom Markt
  4. NIS-2-Richtlinie: Was Betreiber von ...

NIS-2-Richtlinie: Was Betreiber von Windparks und Windkraftanlagen jetzt wissen müssen

25.05.2025

Ein informativer Überblick für Marktteilnehmer der deutschen Windbranche wie Betreibergesellschaften, Dienstleister und Energieversorger. Mit der NIS-2-Richtlinie (EU) 2022/2555 zur „Stärkung der Cybersicherheit in der Union“ verfolgt die EU das Ziel, die Resilienz kritischer Infrastrukturen gegen Cyberbedrohungen deutlich zu erhöhen. Die Richtlinie ersetzt die bisherige NIS-Richtlinie von 2016 und muss bis Oktober 2024 in nationales Recht überführt werden – in Deutschland durch das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

Dieser Artikel beleuchtet, wer in der Windbranche betroffen ist, welche Sektoren und Einrichtungen in den Geltungsbereich fallen und welche Anforderungen aus der Richtlinie entstehen. Dabei beziehen wir uns maßgeblich auf die Stellungnahme des Bundesverbandes WindEnergie e.V. (BWE) vom Juli 2024 zum Referentenentwurf des BMI.

1. Wer ist von der NIS-2-Richtlinie betroffen?

Die Richtlinie betrifft alle Unternehmen, die kritische Dienstleistungen in bestimmten Sektoren erbringen und eine bestimmte Unternehmensgröße überschreiten. Entscheidend sind dabei insbesondere:

  • Sektorenzugehörigkeit (wie z. B. Energieerzeugung)
  • Größe des Unternehmens (z. B. Mitarbeiterzahl, Jahresumsatz, Bilanzsumme)
  • Bedeutung der Einrichtung (klassifiziert als „wichtige“ oder „besonders wichtige“ Einrichtung)

Klassifizierung von Unternehmen

Das deutsche Umsetzungsgesetz unterscheidet:

  • „Besonders wichtige Einrichtungen“: hohe Bedeutung für die Versorgungssicherheit und IT-Kritikalität.
  • „Wichtige Einrichtungen“: weniger kritisch, aber dennoch relevant für gesellschaftliche Funktionen.

Windenergieunternehmen fallen unter das Gesetz, wenn sie:

  • Betreiber von Energieerzeugungsanlagen sind (§ 3 Nr. 18d EnWG),
  • Dienstleistungen für solche Betreiber erbringen (z. B. SCADA-Systeme, Betriebsführung),
  • IT-basierte Prozesse mit externem Zugriff umfassen (z. B. Fernsteuerung, Datenübertragung).

Spezielle Herausforderung für Betreibergesellschaften

In der Windbranche ist es üblich, dass Windparks in eigenständige Gesellschaften ausgegliedert werden (z. B. GmbH & Co. KG). Diese Gesellschaften fallen allein meist nicht unter die Regelung, da sie zu klein sind. Allerdings sieht § 28 des Gesetzentwurfs vor, dass bei verbundenen Unternehmen auch die Mitarbeiter- und Umsatzzahlen der Muttergesellschaft anteilig zugerechnet werden können – sofern keine Unabhängigkeit besteht.

In der Praxis sind diese Tochtergesellschaften aber oft vollständig abhängig von IT-Systemen der Muttergesellschaft, was zu einer Betroffenheit führt – auch wenn sie selbst keine Kontrolle über die IT haben.


2. Welche Sektoren sind betroffen?

Die NIS-2-Richtlinie gilt für Einrichtungen aus 18 Sektoren, unterteilt in zwei Kategorien:

2.1 Sektoren mit hoher Kritikalität („besonders wichtige Einrichtungen“)

Dazu zählt u. a.:

  • Energie (Elektrizität, einschließlich Stromerzeugung, -übertragung und -verteilung)
  • Digitale Infrastruktur
  • Transport
  • Finanz- und Versicherungswesen

2.2 Weitere kritische Sektoren („wichtige Einrichtungen“)

Dazu gehören:

  • Herstellung von Komponenten für Energietechnik
  • Abfallwirtschaft
  • Post- und Kurierdienste
  • Chemie, Lebensmittel, Gesundheitswesen

Für die Windbranche relevant:

  • Betreiber von Stromerzeugungsanlagen
  • IT-Dienstleister im Bereich SCADA-Systeme, Condition Monitoring, Betriebsführungssoftware
  • Unternehmen mit Zugriff auf Fernsteuerung von Anlagen

3. Welche Anforderungen gibt es?

3.1 Technische und organisatorische Maßnahmen

Betroffene Unternehmen müssen Risikomanagementmaßnahmen nach § 30 des Gesetzentwurfs umsetzen. Dazu zählen u. a.:

  • Konzepte zur Risikobewertung und IT-Sicherheit
  • Sicherstellung der Geschäftskontinuität (z. B. Backups, Notfallpläne)
  • Zugriffs- und Zugangskontrollen
  • Mitarbeiterschulungen und Personalüberprüfung
  • Management von Sicherheitsvorfällen

Besonderheit für die Windbranche: Betreiber, die Aufgaben an externe Betriebsführer oder IT-Dienstleister ausgelagert haben, müssen die Umsetzung dieser Maßnahmen vertraglich absichern.

3.2 Cybersicherheitszertifizierung

§ 30 Abs. 6 des Gesetzesentwurfs sieht eine Pflicht zur Zertifizierung von IKT-Produkten, -Diensten und -Prozessen vor – auf Grundlage europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881. Diese Pflicht betrifft:

  • Produkte wie Windparkregler, SCADA-Systeme
  • Software für Betriebsführung
  • Remote-Zugriffslösungen

Aktuell fehlen noch die konkreten Verordnungen und Zeitpläne – daher ist die Unsicherheit bei Unternehmen hoch. Der BWE fordert hier frühzeitige Klarheit, damit Unternehmen mit der Umsetzung beginnen können.

3.3 Meldepflichten

Einrichtungen müssen Sicherheitsvorfälle innerhalb definierter Fristen melden:

  • Binnen 24 Stunden: Frühwarnung
  • Binnen 72 Stunden: ausführlicher Bericht
  • Binnen 30 Tagen: Abschlussbericht

Diese Pflichten gelten nur für die als „betroffen“ klassifizierten Einrichtungen.


4. Praktische Herausforderungen für die Windbranche

Unklare Abgrenzung der Betroffenheit

Die zentrale Kritik des BWE betrifft die unklare Definition von „Unabhängigkeit“. Wenn eine Betreibergesellschaft nicht eigenständig über IT-Systeme verfügt, aber formal unter das Gesetz fällt, ist die Umsetzung kaum realistisch. Der BWE fordert daher:

  • Eine differenzierte Betrachtung bei Tochtergesellschaften
  • Keine Pflicht für Unternehmen ohne faktischen Einfluss auf IT-Sicherheit
  • Klare Abgrenzung zwischen Betreiber und IT-Verantwortlichen

Schnittstelle zum Net Zero Industry Act

Im Kontext des Net Zero Industry Act (NZIA) wird Cybersicherheit künftig auch als Präqualifikationskriterium für Ausschreibungen herangezogen. Daher schlägt der BWE vor, das NIS-2-Umsetzungsgesetz an die Anforderungen des NZIA anzupassen. Ziel: Ausschreibungen sollen nur Anbieter erhalten, die sichere IT-Systeme einsetzen – und zwar EU-basiert.


5. Fristen und Übergangsregelungen

  • Unternehmen, die unter die neuen Regelungen fallen, müssen die Anforderungen binnen 3 Jahren nach Inkrafttreten nachweisen.
  • Die Frist ersetzt frühere strengere Anforderungen (z. B. alle zwei Jahre).
  • Offen ist noch, ob und wie Übergangsfristen für Zertifizierungspflichten ausgestaltet werden.

6. Was ist jetzt zu tun?

Empfohlene Maßnahmen für Marktteilnehmer:

  • Selbsteinschätzung vornehmen: Fällt Ihr Unternehmen unter die NIS-2-Kategorien?
  • IT-Risiken analysieren: Welche Systeme sind kritisch? Welche Zugriffe bestehen?
  • Verträge prüfen: Können Dienstleister zur Einhaltung der Anforderungen verpflichtet werden?
  • Mitarbeiterschulungen etablieren: Sensibilisierung für Cybersicherheit ist Pflicht.
  • Kontakt mit Verbänden suchen: Bleiben Sie über den BWE oder andere Fachverbände informiert über künftige Verordnungen.

Fazit

Die NIS-2-Richtlinie bringt eine neue Dimension in die Cybersicherheit der Windbranche. Viele Betreiber, Dienstleister und Managementgesellschaften werden – direkt oder indirekt – betroffen sein. Besonders kritisch: die aktuelle Unsicherheit über die konkrete Betroffenheit sowie die praktischen Umsetzungsmöglichkeiten für Tochtergesellschaften ohne eigenen IT-Zugriff.

Umso wichtiger ist es, sich jetzt frühzeitig mit den neuen Anforderungen auseinanderzusetzen, Prozesse zu prüfen und sich rechtzeitig auf Zertifizierungs- und Meldepflichten vorzubereiten. Der Gesetzgeber steht in der Pflicht, für Klarheit zu sorgen – aber auch die Unternehmen müssen jetzt handeln.

weitere Neuigkeiten

Unsere Partner im Windenergie.Macher HUB
Folgen Sie uns auf