NIS-2: Was bedeutet die neue EU-Cybersicherheitsrichtlinie für PV und Speichersysteme

NIS-2 ist eine EU-Richtlinie, die verbindliche Mindeststandards für Cybersicherheit festlegt. Sie soll ein einheitlich hohes Sicherheitsniveau in allen Mitgliedstaaten schaffen und ersetzt die ursprüngliche NIS-Richtlinie von 2016. Betroffen sind mittlere und große Unternehmen in insgesamt 18 Sektoren, darunter Energie, Wasser, Verkehr, Gesundheit, öffentliche Verwaltung und verschiedene digitale Dienste.

NIS-2 ist seit Januar 2023 als EU-Richtlinie in Kraft und muss von allen Mitgliedstaaten in nationales Recht umgesetzt werden. Die Frist für diese Umsetzung endete am 17. Oktober 2024. Die einzelnen Länder setzen die Vorgaben mit eigenen Gesetzen um, die sich in Details unterscheiden können, aber alle auf denselben EU-Anforderungen beruhen.

Nein. Private Betreiber von PV-Anlagen auf Wohngebäuden gelten nicht als NIS-2-pflichtige Einrichtungen. Indirekt profitieren sie aber davon, dass Hersteller, Energieversorger und Plattformbetreiber höhere Sicherheitsanforderungen erfüllen müssen – zum Beispiel durch sichere Cloud-Portale, verschlüsselte Kommunikation und regelmäßige Sicherheitsupdates.

Als „wichtige Einrichtungen“ gelten in der Regel Unternehmen mit mindestens 50 Beschäftigten oder mehr als 10 Mio. Euro Jahresumsatz bzw. Bilanzsumme, wenn sie in einem der NIS-2-Sektoren tätig sind. „Besonders wichtige Einrichtungen“ beginnen bei mindestens 250 Beschäftigten oder deutlich höheren Finanzkennzahlen. Dazu können im Energiesektor z. B. Stadtwerke, Betreiber großer PV-Anlagen und Speichersysteme oder Energiedienstleister gehören. Sicherheitsbehörden wie das BSI unterstützen bei der Einstufung.

Direkt betroffene Unternehmen müssen ein Informationssicherheitsmanagement (z. B. nach ISO 27001 ggf. auch IEC 62443) aufbauen, Risiken regelmäßig bewerten und technische wie organisatorische Schutzmaßnahmen umsetzen. Sie brauchen Prozesse zur Angriffserkennung, klare Verantwortlichkeiten und feste Meldewege für Sicherheitsvorfälle, die innerhalb kurzer Fristen an die zuständigen Behörden gemeldet werden müssen. Die Geschäftsleitung trägt ausdrücklich Verantwortung für die Umsetzung dieser Vorgaben.

Kleinere Betriebe unterschreiten oft die formalen Schwellenwerte und sind daher nicht direkt NIS-2-pflichtig. Trotzdem können sie über die Lieferkette betroffen sein: NIS-2-regulierte Kunden werden Sicherheitsanforderungen in Ausschreibungen und Verträgen verankern. Dann werden z. B. Nachweise zu Cyberhygiene, Patchmanagement, Zugriffs- und Backupkonzepten oder Zertifizierungen wie ISO 27001 oder IEC 62443 verlangt.

Es kann vorkommen, dass kleinere Installations-Betriebe größere Unternehmen, die unter die NIS-2-Anforderungen fallen, bedienen. In solchen Fällen müssen die Anforderungen der NIS-2 beachtet und umgesetzt werden.

NIS-2 betrachtet nicht nur einzelne Unternehmen, sondern ganze Wertschöpfungsketten. Wenn Sie Komponenten oder Dienstleistungen für NIS-2-pflichtige Unternehmen liefern, werden Sicherheitsanforderungen an Sie weitergegeben. Dazu gehören klare Update- und Backupprozesse, definierte Ansprechpersonen für Sicherheitsvorfälle und gegebenenfalls Sicherheits-SLAs in Verträgen.

Zertifizierungen wie ISO 27001 oder IEC 62443 gelten als Beispiele für Informationssicherheit nach dem Stand der Technik. Sie helfen, NIS-2-Anforderungen strukturiert umzusetzen und dienen gegenüber Kunden, Auditoren und Behörden als nachvollziehbarer Nachweis. Für Installateure und Zulieferer können solche Zertifizierungen ein wichtiges Kriterium sein, um in sensiblen Projekten und Lieferketten berücksichtigt zu werden.

Die erweiterte Radio Equipment Directive (RED) führt zusätzliche Cybersicherheitsanforderungen für funkbasierte Geräte ein. Ab 1. August 2025 müssen Hersteller bei Geräten mit Funkverbindungen – etwa Wechselrichtern mit Funkmodulen, Smart-Metern oder Kommunikations-Gateways – nachweisen, dass diese Netzwerke schützen, personenbezogene Daten und Privatsphäre wahren und vor Manipulation geschützt sind. Nur konforme Produkte dürfen dann in der EU verkauft und installiert werden. Als eine adäquate Zertifizierung hat sich die EN 303 645 etabliert.

Installationsbetriebe müssen stärker darauf achten, welche Komponenten sie verbauen und wie sie diese betreiben. Wichtige Punkte sind: Sicherheitsupdates konsequent einplanen, keine Standardpasswörter verwenden, sichere Portale und Cloud-Plattformen auswählen, Verantwortlichkeiten vertraglich klären und die eigene Rolle in der NIS-2-Lieferkette kennen. Nachweisbare IT-Sicherheit kann zum entscheidenden Vorteil in Ausschreibungen und bei langfristigen Kundenbeziehungen werden.

Endkunden profitieren von einem insgesamt höheren Sicherheitsniveau: Energienetze, Plattformen und Cloud-Lösungen müssen robuster gegen Angriffe werden, und Hersteller sind zu strukturiertem Sicherheitsmanagement verpflichtet. Für Betreiber von PV-Anlagen bedeutet das mehr Schutz für Daten und Anlagenbetrieb – auch wenn sie selbst nicht direkt unter die Richtlinie fallen.

NIS-2 ist EU-Recht und gilt direkt nur für Unternehmen mit Sitz oder Standort in einem EU-Mitgliedstaat. Unternehmen außerhalb der EU, die für europäische Kunden arbeiten oder Teil deren Lieferkette sind, werden jedoch häufig ähnliche Sicherheitsanforderungen erfüllen müssen – weil NIS-2-pflichtige Kunden diese Vorgaben in Verträgen und Projekten weitergeben.