Auf einen Blick
Die EU-Cybersicherheitsagentur ENISA hat eine technische Umsetzungshilfe zur NIS2-Richtlinie veröffentlicht und damit Mindestanforderungen an Risikomanagement, Meldeprozesse und Lieferkettenkontrollen konkretisiert. Für Betreiber großer Batteriespeicher, darunter Anlagen mit Tesvolt Großspeicher, wird Cyber-Schutz damit planungs- und kostenrelevant.
Das Wichtigste
- ENISA konkretisiert technische und organisatorische Maßnahmen zur Umsetzung der EU-Richtlinie NIS2 für betroffene Einrichtungen.
- NIS2 sieht unter anderem gestufte Meldefristen für erhebliche Cybervorfälle vor (frühe Warnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats).
- Betreiber im Energiesektor müssen Maßnahmen und Zuständigkeiten nachweisbar etablieren; Anforderungen können in Beschaffung und Betrieb von Großspeichern durchschlagen.
ENISA präzisiert NIS2-Maßnahmen für Energieanlagen
Die EU-Cybersicherheitsagentur ENISA hat eine technische Umsetzungshilfe für die NIS2-Richtlinie vorgelegt. Der Leitfaden beschreibt, wie betroffene Einrichtungen im Energiesektor Cyberrisiken managen und Vorfälle melden sollen. Für große Batteriespeicher rückt damit der Nachweis von Sicherheitsprozessen und Lieferkettenkontrollen stärker in den Vordergrund.
Was der Leitfaden konkretisiert
Die NIS2-Richtlinie (EU) 2022/2555 verpflichtet „wesentliche“ und „wichtige“ Einrichtungen zu einem Mindestniveau an Cybersicherheitsmaßnahmen. Dazu zählen laut Richtlinientext unter anderem Konzepte für Risikoanalyse und Incident-Handling, Business-Continuity-Maßnahmen, Zugriffskontrollen sowie Vorgaben zur Sicherheit in der Lieferkette. ENISA ordnet diese Pflichten in einer technischen Umsetzungshilfe und beschreibt Nachweise, die Aufsichtsbehörden typischerweise prüfen können.
Für Betreiber von Batteriespeichern kann das praktisch bedeuten, dass Sicherheitsanforderungen über Schnittstellen zwischen Betriebs-IT und Anlagensteuerung sowie über Fernwartung und Monitoring dokumentiert und abgesichert werden müssen. Speicherprojekte mit Anbietern wie Tesvolt werden dadurch nicht unmittelbar reguliert, können aber über Lieferketten- und Vertragsanforderungen der Betreiber betroffen sein.
Wichtig: Welche einzelnen Speicherbetreiber in Deutschland im Rahmen der nationalen Umsetzung als „wesentliche“ oder „wichtige“ Einrichtung eingestuft werden, ist derzeit nicht bekannt.
Bedeutung für Deutschland und Europa
NIS2 ist als EU-Richtlinie von den Mitgliedstaaten in nationales Recht zu überführen; die Umsetzung kann sich im Detail zwischen den Staaten unterscheiden. Für Deutschland und andere EU-Länder ergeben sich für betroffene Energieunternehmen insbesondere organisatorische Pflichten: Sie müssen Zuständigkeiten für Cybersicherheit festlegen, Maßnahmen dokumentieren und im Fall erheblicher Vorfälle innerhalb definierter Fristen an die zuständigen Stellen melden. In grenzüberschreitenden Lieferketten kann dies die Anforderungen an Dienstleister und Technologiezulieferer von Großspeichern beeinflussen, etwa bei Fernzugriffen, Wartung oder Software-Updates.
Nächste Schritte bei Umsetzung und Nachweisen
Betroffene Einrichtungen müssen die in NIS2 geforderten Risikomanagement-Maßnahmen organisatorisch verankern und technisch umsetzen. Dazu gehören nach Richtlinientext und ENISA-Orientierung unter anderem Verfahren für Meldungen, Tests und Audits sowie Vorgaben für die Lieferkettensicherheit. Für Betreiber von Großspeichern ist außerdem relevant, wie Sicherheitsanforderungen an Anlagenkomponenten, Leitstellenanbindungen und Wartungszugänge vertraglich abgebildet werden.
Einordnung
Mit der ENISA-Umsetzungshilfe werden NIS2-Pflichten für betroffene Energieeinrichtungen greifbarer. Für Großspeicherprojekte wird Cybersicherheit damit stärker zu einem nachweis- und kostenrelevanten Faktor in Planung, Betrieb und Lieferkette. Der unmittelbare Regulierungsdruck richtet sich an die Betreiber; Auswirkungen auf Hersteller ergeben sich vor allem indirekt über Anforderungen der Kunden.
