IT-Sicherheit in der Energie­wirtschaft: Die neuen Pflichten nach §§ 5c ff. EnWG und §§ 28 ff. BSIG

Was Geschäftsführer und IT-Verantwortliche jetzt wissen und tun müssen

Am 6. Dezember 2025 ist das Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS2UmsG) in Kraft getreten und hat das BSI-Gesetz (BSIG) grundlegend novelliert sowie wesentliche Änderungen im Energiewirtschaftsgesetz (EnWG) mit sich gebracht. Die Zahl der regulierten Einrichtungen in Deutschland steigt damit von bislang rund 2.100 auf etwa 29.000. Diese mussten sich bis zum 6. März 2026 registrieren lassen. 

Registrierungspflicht seit dem 6. März 2026

Betroffene Unternehmen mussten sich spätestens drei Monate nach Inkrafttreten des Gesetzes – also bis zum 6. März 2026 – beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Die Registrierungspflicht ergibt sich aus § 33 Abs. 1 S. 1 BSIG sowie für Betreiber von Energieversorgungsnetzen zusätzlich aus § 5d Abs. 4 EnWG. 

Ob das eigene Unternehmen von der Registrierungspflicht betroffen ist, wird von keiner Behörde mitgeteilt. Unternehmen müssen dies selbst bestimmen. Diese Eigenverantwortung macht eine sorgfältige Betroffenheitsprüfung unverzichtbar.

Welche Unternehmen sind betroffen?

Betreiber von Energieversorgungsnetzen

Gemäß § 5c Abs. 1 Satz 1 Nr. 1 EnWG sind alle Betreiber von Energieversorgungsnetzen erfasst, unabhängig von ihrer Größe oder Netzspannungsebene. Dies umfasst Übertragungsnetzbetreiber: Unternehmen, die Höchstspannungsnetze betreiben und für die überregionale Stromübertragung verantwortlich sind, sowie Verteilnetzbetreiber, die Mittel- und Niederspannungsnetze betreiben und die Stromversorgung der Endkunden sicherstellen. Ebenso erfasst sind Gasnetzbetreiber: Unternehmen, die Gasverteilungs- und Gasfernleitungsnetze betreiben.

Betreiber von Energieanlagen

Nach § 5c Abs. 1 Satz 1 Nr. 2 EnWG sind Betreiber von Energieanlagen erfasst, wenn sie als "besonders wichtige Einrichtung" nach § 28 Abs. 1 BSIG oder als "wichtige Einrichtung" nach § 28 Abs. 2 BSIG klassifiziert sind und deren Energieanlage an ein Energieversorgungsnetz angeschlossen ist. Die Klassifizierung erfolgt anhand der Kriterien des BSIG:

Das neue BSIG unterscheidet zwischen „besonders wichtigen Einrichtungen" (bwE) und „wichtigen Einrichtungen" (wE). Die Einstufung erfolgt nach einem kombinierten System aus Sektorzugehörigkeit und Unternehmensgröße. 

Als besonders wichtige Einrichtung nach § 28 Abs. 1 BSIG gelten unter anderem Betreiber kritischer Anlagen, qualifizierte Vertrauensdiensteanbieter sowie sonstige Einrichtungen, die einer der in Anlage 1 BSIG bestimmten Einrichtungsarten zuzuordnen sind und mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro bei einer Jahresbilanzsumme von über 43 Millionen Euro aufweisen.

Als wichtige Einrichtung nach § 28 Abs. 2 BSIG gelten sonstige Einrichtungen, die einer der in den Anlagen 1 und 2 BSIG bestimmten Einrichtungsarten zuzuordnen sind und mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen. 

Der Sektor Energie ist in Anlage 1 des BSIG erfasst und umfasst zahlreiche Teilsektoren und Einrichtungsarten. Im Bereich der Stromversorgung sind unter anderem betroffen: Stromlieferanten, Elektrizitätsverteilernetze, Übertragungsnetze, Erzeugungsanlagen, Strommarktbetreiber, Aggregatoren, Energiespeicheranlagen, Betreiber von Anlagen zur Erbringung von Ausgleichsleistungen und Ladepunktbetreiber. Darüber hinaus werden die Teilsektoren Gasversorgung, Fernwärme und Fernkälte sowie Kraftstoff- und Heizölversorgung erfasst.

Betreiber digitaler Energiedienste

§ 5c Abs. 1 Satz 1 Nr. 3 EnWG erfasst Betreiber digitaler Energiedienste, die als besonders wichtige oder wichtige Einrichtung klassifiziert sind und den digitalen Energiedienst an einer Energieanlage ausüben, die an ein Energieversorgungsnetz angeschlossen ist. Hierzu gehören insbesondere Betreiber von Energiemanagementsystemen, Anbieter von Lastmanagement-Dienstleistungen sowie ggf. Anbieter von Smart-Metering-Diensten. Die Abgrenzung zwischen den verschiedenen Kategorien kann in der Praxis komplex sein, insbesondere bei Konzernstrukturen oder diversifizierten Unternehmensgruppen. Entscheidend ist stets die konkrete Ausübung der jeweiligen Tätigkeit und deren Einstufung nach den Schwellenwerten des BSIG.

Pflichten

Betroffene Unternehmen haben eine Reihe von Pflichten.

Registrierung

Zunächst besteht eine Pflicht zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik. Die Frist lief am 6. März 2026 ab. Allerdings haben sich von den geschätzt 29.000 betroffenen Unternehmen nur ca. 11.500 bis zum 6. März registrieren lassen. Hier wird es im Laufe des Monats März und danach noch einige Nachmeldungen geben.

IT-Risikovorsorge: Der IT-Sicherheitskatalog als zentrales Instrument

Die Kernvorschrift § 5c Abs. 1 EnWG verpflichtet alle betroffenen Betreiber, einen "angemessenen Schutz gegen Bedrohungen" zu gewährleisten. Die konkreten Anforderungen werden durch die Bundesnetzagentur im Einvernehmen mit dem BSI in einem IT-Sicherheitskatalog festgelegt. 

Die Mindestanforderungen des IT-Sicherheitskatalogs gemäß § 5c Abs. 4 EnWG umfassen mehrere zentrale Bereiche. Dazu gehören Konzepte für Risikoanalyse und IT-Sicherheit mit systematischer Identifizierung und Bewertung von IT-Sicherheitsrisiken einschließlich regelmäßiger Aktualisierung. 

Weiterhin sind Maßnahmen zur Bewältigung von Sicherheitsvorfällen erforderlich einschließlich umfassender Notfallplanung inklusive Backup-Management, Wiederherstellungsverfahren und Krisenmanagement. Hinzu kommen die Sicherheit der Lieferkette, Implementierung von Security-by-Design-Prinzipien, Bewertung der Wirksamkeit durch regelmäßige Audits und Tests, grundlegende Verfahren der Cyberhygiene mit Schulungskonzepten und Sensibilisierungsmaßnahmen für Mitarbeiter sowie eine Reihe weiterer Punkte. 

Zum gegenwärtigen Zeitpunkt befinden sich die IT-Sicherheitskataloge der BNetzA in der Überarbeitung. Daher sind im Moment noch die alten Sicherheitskataloge anzuwenden, die die BNetzA zu § 11 Abs. 1a u. 1b EnWG veröffentlicht hatte.

Pflichten der Geschäftsführung: Prüfung, Umsetzung, Fortbildung und Haftung

§ 5e EnWG etabliert eine besondere Verantwortung der Geschäftsleitung, die weit über die allgemeinen gesellschaftsrechtlichen Pflichten hinausgeht.

Umsetzungs- und Überwachungspflicht (§ 5e Abs. 1 EnWG) Die Geschäftsleitung ist persönlich verpflichtet, die Anforderungen des IT-Sicherheitskatalogs umzusetzen und die Umsetzung zu überwachen. Diese Pflicht umfasst die Verantwortung für die Gesamtstrategie mit Entwicklung und Implementierung einer umfassenden IT-Sicherheitsstrategie, die Sicherstellung ausreichender Ressourcen, die organisatorische Verankerung sowie die regelmäßige Überwachung der Wirksamkeit der implementierten Maßnahmen.

Fortbildungspflicht (§ 5e Abs. 3 EnWG) Die Geschäftsleitung muss außerdem regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können. Diese Fortbildungspflicht stellt sicher, dass die Geschäftsleitung die IT-Sicherheit als strategisches Thema versteht und fachlich fundierte Entscheidungen treffen kann. Die Schulungen müssen praxisorientiert sein und aktuelle Bedrohungsszenarien sowie Abwehrmaßnahmen berücksichtigen.

Haftungsrisiken (§ 5e Abs. 2 EnWG) Die Haftung der Geschäftsleitung ist bewusst scharf formuliert: Bei Verletzung der Pflichten nach § 5e Abs. 1 EnWG haftet die Geschäftsleitung ihrer Einrichtung für einen schuldhaft verursachten Schaden. Dies bedeutet konkret eine persönliche Haftung, die die einzelnen Mitglieder der Geschäftsleitung persönlich trifft. Die Haftung richtet sich nach den gesellschaftsrechtlichen Grundsätzen, insbesondere nach § 93 AktG für Aktiengesellschaften, § 43 GmbHG für GmbHs bzw. den entsprechenden Vorschriften anderer Rechtsformen. 

Meldepflichten bei IT-Sicherheitsvorfällen: Die 24/72-Stunden-Regel

§ 5d Abs. 3 EnWG in Verbindung mit § 32 BSIG etabliert ein strenges Meldeverfahren für IT-Sicherheitsvorfälle mit engen Fristen. Das BSI und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe richten eine gemeinsame Meldestelle ein. Betroffene Unternehmen müssen erhebliche Sicherheitsvorfälle an diese Meldestelle berichten. 

Das Meldeverfahren ist vierstufig aufgebaut. Die erste Stufe ist die frühe Erstmeldung, die unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung erfolgen muss. Die zweite Stufe ist die Meldung innerhalb von 72 Stunden nach Kenntniserlangung zur Bestätigung oder Aktualisierung der Informationen aus der frühen Erstmeldung sowie einer ersten Bewertung des Vorfalls. Die dritte Stufe ist die Zwischenmeldung, die auf Ersuchen des BSI relevante Statusaktualisierungen mit aktuellen Informationen zur Entwicklung des Vorfalls übermittelt. Die vierte Stufe ist die Abschlussmeldung, die spätestens einen Monat nach der Erstmeldung eine ausführliche Beschreibung des Sicherheitsvorfalls, Angaben zur Art der Bedrohung bzw. Ursache, Angaben zu getroffenen und laufenden Abhilfemaßnahmen sowie gegebenenfalls grenzüberschreitende Auswirkungen enthalten muss.

Weitere relevante Pflichten

Neben den bereits genannten Pflichten etablieren die neuen Regelungen weitere wichtige Verpflichtungen: Die Dokumentationspflichten gemäß § 5d Abs. 1 EnWG verpflichten die Unternehmen, die Einhaltung der Anforderungen des IT-Sicherheitskatalogs umfassend zu dokumentieren. Betreiber von Energieversorgungsnetzen und Betreiber von Energieanlagen, die besonders wichtige Einrichtungen sind, müssen die Dokumentation unverzüglich nach Erstellung an die Bundesnetzagentur übermitteln.

Außerdem haben die betroffenen Unternehmen die Pflicht, den Beauftragten der BNetzA das Betreten der Geschäfts- und Betriebsräume zu gestatten und auf Verlangen Aufzeichnungen, Schriftstücke und Unterlagen vorzulegen sowie Auskunft zu erteilen. 

Praxisbeispiel: Lebensmittelhersteller mit Windpark

Die Betroffenheitsprüfung wird besonders komplex, wenn ein Unternehmen in mehreren Sektoren tätig ist. Das gilt beispielsweise für ein mittelständisches Unternehmen, das mit 300 Mitarbeitern und einem Jahresumsatz von 60 Millionen Euro in der industriellen Lebensmittelproduktion, der -verarbeitung und dem Großhandel tätig ist und auf einer seiner Flächen einen Windpark mit einer angeschlossenen Erzeugungsanlage betreibt. 

Für die Beurteilung sind mehrere Prüfungsschritte erforderlich:

Erster Schritt – Sektortätigkeit: Das Unternehmen ist im Sektor industrielle Lebensmittelproduktion samt Verarbeitung und Großhandel tätig, also einem Sektor nach Anlage 2 zum BSIG. Außerdem ist es Betreiber einer Energieanlage nach § 5c Abs. 1 EnWG sowie einer Stromerzeugungsanlage nach Anlage 1 zum BSIG.

Zweiter Schritt – Schwellenwerte: Das Unternehmen überschreitet mit seinen 300 Mitarbeitern die Schwellenwerte für eine besonders wichtige Einrichtung.

Dritter Schritt – Vernachlässigbarkeit: Bei der Zuordnung können nach § 28 Abs. 3 BSIG solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. Beschäftigt das Unternehmen etwa nur 2 von 300 Mitarbeitern im Bereich des Windparks, könnte die Energieerzeugung als vernachlässigbar eingestuft werden. In diesem Fall würde keine Zuordnung zur Einrichtungsart „Erzeugungsanlage" erfolgen und eine Regulierung nach dem EnWG entfiele – es verbliebe die Regulierung nach dem BSIG für die übrigen Geschäftstätigkeiten.

Vierter Schritt – Nebentätigkeit: Ist der Windparkbetrieb nicht vernachlässigbar, kommt die Abgrenzungsnorm des § 28 Abs. 5 S. 4 BSIG zum Tragen. Stellt der Betrieb der Energieanlage im Hinblick auf die gesamte Geschäftstätigkeit lediglich eine Nebentätigkeit dar, findet das EnWG keine Anwendung, mit der Folge, dass das Unternehmen nicht nach dem EnWG, sondern ausschließlich nach dem BSIG reguliert wird. Der Gesetzgeber wollte mit dieser Regelung eine Doppelregulierung für Anlagen verhindern, bei denen die Energieerzeugung lediglich ein Nebenzweck im Rahmen anderer Tätigkeiten darstellt. Im konkreten Fall muss das Unternehmen die Tätigkeiten genau abgrenzen und sorgfältig begründen, warum die Energieerzeugung nur eine Nebentätigkeit ist.

Fünfter Schritt – Doppelregulierung bei gleichrangigen Geschäftstätigkeiten: Ist der Windparkbetrieb weder vernachlässigbar noch eine bloße Nebentätigkeit – also ein gleichrangiger Geschäftsbereich –, dann greift die Sonderregel des § 28 Abs. 5 S. 2 und 3 BSIG. In diesem Fall unterliegt die IT, die für den Betrieb der Lebensmittelproduktion, der –verarbeitung und dem Großhandel erforderlich ist, dem BSIG, während die IT, die für den Betrieb der Energieanlage erforderlich ist, nach dem EnWG reguliert wird. Das Unternehmen wäre dann mit zwei Aufsichtsbehörden, BSI und BNetzA, und unterschiedlichen Anforderungen an die IT-Sicherheit konfrontiert. 

Gerade für Mehrspartenunternehmen ist daher eine sorgfältige und gut dokumentierte Betroffenheitsprüfung unerlässlich.

Fazit und Handlungsempfehlungen

Die neuen Regelungen stellen Unternehmen der Energiewirtschaft vor erhebliche organisatorische und technische Herausforderungen. Geschäftsführer und IT-Verantwortliche sollten folgende Maßnahmen prioritär angehen:

Die Betroffenheitsprüfung muss nachvollziehbar dokumentiert werden, insbesondere bei Mehrspartenunternehmen ist eine sorgfältige Analyse erforderlich. Die Registrierung im BSI-Portal ist seit dem 6. März 2026 verpflichtend; wer bisher nicht registriert ist, sollte unverzüglich handeln. Die Governance-Strukturen müssen so angepasst werden, dass Verantwortlichkeiten für Risikomanagement, Lieferkettensicherheit und Schulungen klar zugeordnet sind, insbesondere auch die schnelle Entdeckung von Vorfällen und die Einhaltung der strikten Meldefristen von 24 bzw. 72 Stunden. Die Geschäftsleitung muss ihre Umsetzungs- und Überwachungspflichten aktiv wahrnehmen und regelmäßige Schulungen absolvieren.

Weitere Informationen erhalten Sie hier oder sprechen Sie uns direkt an.