Neue Cybersecurity-Gesetzgebung trifft auch die Branche der Erneuerbaren 2. Teil Blogreihe: "Recht der Erneuerbaren"

Alexander Feitzinger, Associate Partner bei FPS, beschreibt in diesem zweiten Teil, welche Pflichten sich für Marktteilnehmer aus der aktuellen Cybersecurity-Gesetzgebung ergeben.

Einleitung

Im ersten Teil der Blogreihe „Neues vom Recht der Erneuerbaren“ beleuchteten Dr. Carmen Schneider, Partnerin bei FPS, und Katharina Imfeld, Associate Partner bei FPS, Integrierte Projektentwicklung (IPA), die Zusammenarbeit aller wesentlichen Beteiligten eines Erneuerbare-Energie-Projekts (Ingenieure, Juristen, etc.) als entscheidenden Baustein für die Beschleunigung derartiger Projekte. Alexander Feitzinger, Associate Partner bei FPS, beschreibt in diesem zweiten Teil, welche Pflichten sich für Marktteilnehmer aus der aktuellen Cybersecurity-Gesetzgebung ergeben.

Rechtsakte mit Cybersecurity-Bezug

Die europäische NIS-2-Richtlinie bezweckt, in der gesamten EU ein einheitliches Cyber-Sicherheitsniveau sicherzustellen. Die auf Basis dieser Richtlinie reformierten Gesetze über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen („BSIG“) und das Energiewirtschaftsgesetz („EnWG“) betreffen auch die Branche der Erneuerbaren.

Ist die Umsetzung von BSIG und EnWG für Unternehmen der Energiebranche schon so sehr komplex, kommen mit dem Cyber Resilience Act (produktbezogene Cybersicherheits-Anforderungen für Produkte mit digitalen Elementen) und dem KRITIS-Dachgesetz (Schutz vor physischen Bedrohungen wie Naturkatastrophen oder Terror) noch weitere Cybersecurity-Anforderungen für Unternehmen der Energiebranche hinzu.

Besondere Bedrohung für Unternehmen aus der Branche der Erneuerbaren

Laut einem Bericht der Agentur der Europäischen Union für Cybersicherheit (ENISA) aus dem Jahr 2024 sind Unternehmen im Bereich der erneuerbaren Energien wie Betreiber von Solar- und Windkraftanlagen besonders im Fokus von Cyberattacken, etwa durch Ransomware (Verschlüsselung von Systemen verbunden mit einer Lösegeldforderung) oder durch DDoS-Angriffe (Überlastung eines Servers mit einer Flut von Datenverkehr). Gründe dafür sind u.a. eingeschränkte Mittel und Ressourcen und die mit der Energie- und Klimawende einhergehende Digitalisierung des Stromnetzes etwa durch Cloud-Energiemanagement oder via Smartphone gesteuerte Anlagen.  

Pflichten nach dem alten und neuen BSIG und dem ebenfalls geänderten EnWG

Betreiber von Windparks, Solarparks oder Wasserkraftanlagen konnten schon vor der NIS-2-Richtlinie zur Umsetzung weitreichender Maßnahmen zur IT-Sicherheit verpflichtet sein, wenn bestimmte Schwellenwerte aus der Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz („BSI-KritisV“) (z.B. eine sehr große Zahl versorgter Personen) überschritten wurden und das Unternehmen für das Gemeinwesen von erheblicher Bedeutung war.  

Das seit Dezember 2025 geltende neue BSIG und das ebenfalls geänderte EnWG verpflichten nun sogenannte wichtige und besonders wichtige Einrichtungen und erweitern den Kreis der zu Cybersecurity-Maßnahmen Verpflichteten erheblich.

Zu den wichtigen Einrichtungen im Sinne des neuen BSIG zählen etwa Unternehmen, die Strom aus erneuerbaren Energien erzeugen (Windkraft, Solarparks, Biomasse) oder verteilen, oder Betreiber im Bereich Wasserstofferzeugung, wenn die Mitarbeiterzahl dieser Unternehmen 50 übersteigt oder der Jahresumsatz bzw. die Jahresbilanzsumme 10 Millionen Euro übersteigen. Die Mitarbeiter- und Umsatzzahlen der Unternehmensgruppe sind bei der Berechnung mitzuberücksichtigen. Bei einer Mitarbeiterzahl über 250 oder einem Jahresumsatz bzw. einer Jahresbilanzsumme über 50 bzw. 43 Millionen Euro können diese Unternehmen sogar zu den besonders wichtigen Einrichtungen zählen.

Wenn Unternehmen aus der Branche der Erneuerbaren in den Anwendungsbereich des EnWG fallen, gelten für diese Unternehmen vorrangige Regelungen zur Cybersicherheit des parallel zum BSIG geänderten EnWG. Das sind Betreiber von Energieanlagen, die als wichtige oder besonders wichtige Einrichtung einzustufen sind.

Ein Hersteller von für die Solarenergie erforderlichen elektronischen Erzeugnissen wie Wechselrichter, Speicher und Energiemanagementsystemen kann zu den wichtigen Einrichtungen im Sinne des neuen BSIG zählen, ohne dass das EnWG auf ihn anwendbar ist.

Das BSIG und das EnWG verpflichten in ihre Anwendungsbereiche fallende Unternehmen zu einer regelmäßigen Risikoanalyse und zur Umsetzung von technischen und organisatorischen Maßnahmen. Dazu zählen auch Schulungen, Verschlüsselungsmaßnahmen und Maßnahmen zum Schutz der Lieferkette. Sicherheitsvorfälle sind sehr kurzfristig (Frühwarnmeldung binnen 24 h und ausführliche Update-Meldung binnen 72 h) zu melden.

Teilweise verweist das EnWG auf das BSIG. Teilweise enthält das EnWG auch speziellere Regelungen, etwa die Pflicht zur Beachtung von durch die Bundesnetzagentur erstellten IT-Sicherheitskatalogen.

Sowohl wichtige als auch besonders wichtige Einrichtungen haben sich nach § 33 BSIG beim Bundesamt für Sicherheit in der Informationstechnik („BSI“) zu registrieren. Die Frist für diese Registrierung lief in Deutschland am 6. März 2026 ab, was natürlich nicht bedeutet, dass man die Registrierung nicht noch nachholen kann.

Eine Registrierung beim BSI hat durch unter das EnWG fallende Unternehmen ebenfalls zu erfolgen. Das BSI leitet diese Informationen an die Bundesnetzagentur weiter, die Behörde, die eigentlich für durch das EnWG regulierte Unternehmen zuständig ist.

Abhängig von der Einordnung als wichtige oder besonders wichtige Einrichtungen stehen dem BSI Aufsichtsbefugnisse in unterschiedlichem Umfang zu.

Fazit und Ausblick

Unternehmen aus der Branche der Erneuerbaren sollten genau prüfen, ob die gesetzlichen Anforderungen des BSIG bzw. des EnWG auf sie anwendbar sind. Sollten die erforderlichen Maßnahmen noch nicht umgesetzt sein, sollten die notwendigen Schritte zügig eingeleitet werden. Im dritten und letzten Teil der Blog-Reihe blicken wir auf die wichtigsten geplanten Neuerungen im EEG 2027.

Gastautor:

Alexander Feitzinger, M.A., Rechtsanwalt / Associate Partner, Fachanwalt für Informationstechnologierecht, Fachanwalt für Gewerblichen Rechtsschutz, Fachanwalt für Urheber- und Medienrecht sowie Zertifizierter Datenschutzbeauftragter (TÜV®).