NIS2 für Stadtwerke & kommunale Versorger
800 bis 1.500 Querverbundunternehmen in Deutschland stehen vor einer einzigartigen Herausforderung: Der Energieteil fällt unter das EnWG (§§5c–5e), der Nicht-Energieteil unter das BSIG — zwei Regulierungsregime in einem Unternehmen.
Herausforderungen für Stadtwerke & kommunale Versorger
Stadtwerke sind als Querverbundunternehmen in mehreren NIS2-Sektoren gleichzeitig betroffen — Energie (Anlage 1), Wasser (Anlage 1), Abfallwirtschaft (Anlage 2) und teils ÖPNV.
Querverbund-Regulierung
Stadtwerke betreiben Energie, Wasser, Abfall und ÖPNV unter einem Dach. Jeder Bereich fällt unter einen anderen NIS2-Sektor — mit unterschiedlichen Schwellenwerten, Aufsichtsbehörden und Nachweispflichten.
EnWG als lex specialis für Energieteil
§28 Abs. 5 BSIG befreit Energieunternehmen von §§30, 31, 32, 35, 36, 38, 39 BSIG — stattdessen gelten §§5c–5e EnWG mit IT-Sicherheitskatalog und BNetzA-Aufsicht. Der Nicht-Energieteil bleibt unter BSIG.
Knappe IT-Budgets
Kommunale Versorger haben begrenzte IT-Budgets und kleine IT-Teams. Die gleichzeitige Umsetzung von NIS2, EnWG-Anforderungen und KRITIS-Dachgesetz überfordert viele Organisationen.
Dezentrale Infrastruktur
Wasserwerke, Umspannwerke, Kläranlagen und Busdepots sind über das gesamte Versorgungsgebiet verteilt — mit OT-Systemen, Fernwirktechnik und zunehmend vernetzten IoT-Sensoren.
Was Stadtwerken droht
Stadtwerke unterliegen einem gemischten Regulierungsregime: Der Energieteil fällt unter das EnWG mit BNetzA-Aufsicht, der Nicht-Energieteil unter das BSIG mit BSI-Aufsicht. Beide Regime kennen Bußgelder und Meldepflichten.
Art. 21 — Relevante Maßnahmen für Stadtwerke
Von den 10 Maßnahmenbereichen des Art. 21 sind diese besonders relevant für kommunale Versorger — 3 davon prüft Wolf-Agents automatisiert.
| Art. 21 | Maßnahme | Stadtwerke-Relevanz | Status |
|---|---|---|---|
| (a) | Risikoanalyse | Getrennte Risikobewertung für Energie (EnWG) und Nicht-Energie (BSIG), ISMS mit sektorspezifischen Scopes, IEC 62443 für OT | Fragebogen |
| (d) | Lieferkettensicherheit | Cybersicherheitsanforderungen an OT-Lieferanten, SCADA-Hersteller, Cloud-Dienste und kommunale IT-Dienstleister | Fragebogen |
| (e) | Sichere Systeme | Kundenportale, Online-Abschlagszahlung, Störungsmeldungen — Security Headers, SSL/TLS und Härtung von Webinterfaces | Automatisiert |
| (h) | Kryptografie | Verschlüsselung von Kundendaten, Verbrauchsdaten und Abrechnungsinformationen, DANE für E-Mail-Kommunikation | Automatisiert |
| (f) | Wirksamkeitsbewertung | Regelmäßige Überprüfung der Sicherheitsmaßnahmen über beide Regulierungsregime hinweg, automatisiertes Monitoring | Automatisiert |
| (i) | Zugriffskontrolle | Rollenkonzepte für Leitwarten, Fernwirktechnik und Verwaltungssysteme, MFA für kritische Zugänge, Notfallzugriffe dokumentiert | Fragebogen |
Prüfen → Überwachen → Dokumentieren
NIS2-Compliance für kommunale Versorger: Automatische Prüfung Ihrer Kundenportale, Störungsmeldungen und E-Mail-Infrastruktur — über beide Regulierungsregime hinweg.
Prüfen
Web Security Scanner prüft Kundenportale, Online-Services und Störungsmeldungen auf Security Headers, SSL/TLS und bekannte Schwachstellen.
Überwachen
Automatisches Monitoring alle 6 Stunden: Score-Verschlechterung, DNS-Änderungen, Blacklist-Listings und Zertifikatsablauf — sofortige Alerts.
Dokumentieren
Score-History, Maßnahmen-Log und NIS2-Compliance-Report — nachweisbar für BSI-Audits, BNetzA-Nachweise und die kommunale Geschäftsleitung.
Ist Ihr Stadtwerk betroffen?
Prüfen Sie in 30 Sekunden, ob Ihr kommunaler Versorger von der NIS2-Richtlinie betroffen ist. Kostenlos, ohne Registrierung.