Home/Insights/NIS2 in Deutschland – Einordnung für Stadtwerke und Versorger
Veröffentlicht am 4. März 2026
Lesedauer ca. 4 Minuten
Audit & Assurance

NIS2 in Deutschland – Einordnung für Stadtwerke und Versorger

  • NIS2 gilt in Deutschland seit dem 6. Dezember 2025.
  • Stadtwerke bündeln Versorgung und stehen deshalb häufig im NIS2-Fokus.
  • Ransomware und DDoS treffen Verfügbarkeit, NIS2 stärkt Organisation und Meldung.
Adam Sacher
Prüfungsleiter
Anfrage senden
Stadtwerke bündeln Daseinsvorsorge, Strom und Gas, Fernwärme und Kälte, Trinkwasser und Abwasser. NIS2 setzt dafür seit dem 6. Dezember 2025 neue Pflichten in Deutschland. Der Kreis der betroffenen Unternehmen wächst deutlich. Wenn Ihr Unternehmen betroffen ist, müssen Sie es beim Bundesamt für Sicherheit in der Informationstechnik melden. Der Artikel ordnet ein, warum Verfügbarkeit im Fokus steht und wie Versorger NIS2 als Programm aus Leistungen, Risiken und Reaktionswegen strukturieren.

NIS2 in Deutschland – Wie Stadtwerke und Versorger ihren Weg durch neue Cybersicherheits-Pflichten finden

Es beginnt oft nicht mit einer Schlagzeile, sondern mit einem kleinen Bruch in der Routine. In der Leitwarte häufen sich Störmeldungen, weil ein System nicht mehr sauber antwortet. Ein Dienstleister kommt nicht in die Fernwartung, obwohl der Zugriff bisher verlässlich war. In der Abrechnung stauen sich Vorgänge, weil Schnittstellen stocken. Für sich genommen wirkt das wie Alltag in komplexen Netzen. Zusammengenommen kann es der Moment sein, in dem ein Versorger merkt, dass digitale Abhängigkeiten längst so kritisch geworden sind wie Pumpen, Schieber, Transformatoren und Leitungen.

Genau aus dieser Perspektive lässt sich NIS2 lesen. Die zweite EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen ist kein Technikprogramm, sondern eine Antwort auf die Frage, wie Europa Versorgung und wirtschaftliche Stabilität schützt, wenn Angriffe schneller werden, Lieferketten länger und Zuständigkeiten diffuser. Deutschland hat die Vorgaben mit einem Umsetzungsgesetz in nationales Recht übertragen; es gilt seit dem 6. Dezember 2025. Das Ziel ist eine deutliche Ausweitung, statt bislang rund 4.500 regulierten Einrichtungen sollen künftig mehr als 30.000 Einrichtungen erfasst sein.

Wer Stadtwerke im Blick hat, versteht sofort, warum diese Ausweitung wirkt. Stadtwerke sind selten nur Energieversorger oder nur Wasserbetrieb. Viele bündeln Strom und Gas, Fernwärme oder Wärmenetze, teils auch Kälteversorgung, und oft kommen Wasserversorgung und Abwasserentsorgung in derselben kommunalen Struktur dazu. Diese Bündelung ist betriebswirtschaftlich sinnvoll, sie erzeugt aber einen besonderen NIS2-Effekt. Betroffenheit entsteht nicht allein aus einer Sparte, sondern aus der Summe kritischer Leistungen, ihrer digitalen Steuerung, ihrer Dienstleisterbeziehungen und ihrer Größe.

Ein belastbarer Blick in die Struktur liefert das Statistische Unternehmensregister von Destatis. Im Wirtschaftsabschnitt D „Energieversorgung“ weist Destatis für 2024 insgesamt 74.485 rechtliche Einheiten aus; davon liegen 583 Einheiten in der Größenklasse 50 bis unter 250 Beschäftigten und 233 Einheiten bei 250 und mehr Beschäftigten. Im Wirtschaftsabschnitt E „Wasserversorgung, Abwasser- und Abfallentsorgung und Beseitigung von Umweltverschmutzungen“ weist Destatis 11.366 rechtliche Einheiten aus, 1.025 davon liegen bei 50 bis unter 250 Beschäftigten und 205 bei 250 und mehr Beschäftigten. Als reine Größen-Orientierung ergibt das über beide Abschnitte zusammen 2.046 rechtliche Einheiten mit mindestens 50 Beschäftigten, die typischerweise in den Regulierungs-Korridor fallen können, sobald Tätigkeit und Einordnung nach NIS2 greifen.

Wie kam es zu dieser Schärfung? Die EU begann mit NIS1, um Mindeststandards und Meldewege zu etablieren. Mit der Zeit wurde sichtbar, dass Mindeststandards nicht reichen, wenn Angreifer professioneller arbeiten und wenn der Schaden nicht auf Daten beschränkt bleibt, sondern direkt auf Betrieb und Verfügbarkeit zielt. Das Bundesamt für Sicherheit in der Informationstechnik beschreibt im Kontext der Ukraine-Krise ein breiteres Bedrohungsspektrum und deutlich mehr DDoS-Aktivität. Parallel dazu wirkt klassische Cyberkriminalität weiter als wirtschaftlicher Druck: Das Bundeslagebild Cybercrime 2024 weist 950 angezeigte Ransomware-Angriffe aus und ordnet Ransomware als zentrale Bedrohungslinie ein. Die europäische Agentur ENISA spiegelt diese Logik europaweit. In der Threat Landscape 2024 stehen Bedrohungen gegen die Verfügbarkeit an der Spitze, gefolgt von Ransomware.

Für Stadtwerke ist diese Reihenfolge ein Warnsignal, weil Verfügbarkeit der gemeinsame Nenner fast aller Sparten ist. Sie gilt im Stromnetz genauso wie in Gasnetzen und Druckregelanlagen. Sie trägt Wärmenetze und Kälteversorgung durch Spitzenlasten. Sie entscheidet über Wasserförderung, Aufbereitung und Transport, und sie steuert Abwasserwege bis zur Kläranlage. Wer Verfügbarkeit schützen will, muss deshalb mehr als einzelne Systeme absichern. Er muss Leistungsketten verstehen, Schwachstellen an Übergängen finden und Reaktionswege im Ernstfall so aufsetzen, dass sie unter Zeitdruck funktionieren.

NIS2 versucht, genau diesen Kettencharakter in Regeln zu übersetzen. Der Blick wandert weg vom Einzelprojekt und hin zur verlässlichen Organisation. In der Praxis bewährt sich ein dreiteiliger Weg, der nicht nach Checkliste aussieht, aber die Anforderungen trägt. Am Anfang steht Klarheit über Leistung, Systemlandschaft und Dienstleisterzugänge. Darauf folgt Verlässlichkeit in Rollen, Entscheidungswegen und Notfallprozessen, damit Betrieb und IT im Vorfall nicht aneinander vorbeiarbeiten. Am Ende steht Übung, weil Vorfallsbehandlung Theorie bleibt, solange Wiederanlauf, Ersatzbetrieb und Kommunikation nicht erprobt sind. So entsteht Resilienz nicht als Zusatz, sondern als Bestandteil der Daseinsvorsorge.

Der nüchterne Schluss lautet deshalb, NIS2 will Sicherheit nicht „zusätzlich“ machen, sondern sie in den Weg der Versorgung einbauen. Für Stadtwerke und Versorger ist das unbequem, weil Schnittstellen sichtbar werden, die lange pragmatisch behandelt wurden. Es ist zugleich eine Chance zur Ordnung, weil dieselbe Struktur, die NIS2 verlangt, auch im realen Störfall Zeit, Missverständnisse und Folgeschäden reduziert.

Wir unterstützen Stadtwerke und Versorgungsbetriebe dabei, NIS2 strukturiert umzusetzen und die erforderlichen Prozesse und Maßnahmen so zu verankern, dass sie im Betrieb tragen. Das IT-Team der SGE-Energie bringt dafür Expertise in allen geforderten Themenfeldern mit, von Governance und Risikomanagement über Incident Response und Meldeprozesse bis zu IT- und OT-Schutz.

Aus dem Newsletter
„Stadtwerke Kompass“

Ähnliche Beiträge

Alle Beiträge zu diesem Thema
04.03.2026

Price-Cap in der Fernwärme – Regulierung mit Augenmaß?

Ist eine pauschale Preisobergrenze (Price-Cap) in der Fernwärme ein geeignetes Instrument zur Begrenzung überhöhter Entgelte – oder greift sie strukturell...
Rechtsberatung
04.03.2026

Investitions(un)sicherheit im Ausbaugebiet Teil 1: Förderlogik nach BEG und BEW im Fokus

Die Beschleunigung der Wärmewende ist für die Erreichung der Klimaziele essenziell. Sowohl dezentrale Wärmepumpen als auch leitungsgebundene Wärmenetze gelten als...
Advisory & IT
04.03.2026

Eckpunktepapier der Bundesregierung – Wie geht es weiter mit dem Gebäudeenergiegesetz?

Mit dem Eckpunktepapier vom 24.2.2026 kündigt die Bundesregierung die Abkehr vom „Heizungsgesetz“ an. Zentrale Vorgaben des GEG 2023 – insbesondere...
Rechtsberatung
04.03.2026

ESG wird kreditrelevant – warum Stadtwerke für Finanzierungen ESG umsetzen müssen

Energieversorger und Stadtwerke stehen vor gewaltigen Transformationsaufgaben – und benötigen dafür erhebliche externe Finanzierung. Gleichzeitig steigt mit BRUBEG der Druck...
Advisory & IT