Ein Interview mit Gilles Schneider, Geschäftsbereichsleiter Public Sector, und Andreas Grau, Cybersecurity-Experte bei Consileon
Stadtwerke versorgen Millionen Bürgerinnen und Bürger mit Strom, Gas, Wasser, Wärme und zunehmend auch mit digitaler Infrastruktur. Gleichzeitig geraten sie zunehmend in den Fokus von Cyberkriminellen und daher auch von Regulierungsbehörden. Mit NIS-2 steigen die Anforderungen an Cybersicherheit, Governance und Risikomanagement deutlich. Im Interview erklären Gilles Schneider und Andreas Grau, warum nahezu alle Stadtwerke jetzt handeln müssen, welche Herausforderungen die Umsetzung mit sich bringt und wie sich Compliance wirtschaftlich und nachhaltig gestalten lässt.
Herr Schneider, Herr Grau, warum betrifft NIS-2 Stadtwerke in besonderem Maße?
Gilles Schneider: Stadtwerke nehmen eine besondere Rolle ein, da sie für mehrere kritische Versorgungsbereiche gleichzeitig verantwortlich sind. Strom, Gas, Trinkwasser, Fernwärme oder Telekommunikation sind essenzielle Leistungen für Bürgerinnen und Bürger. Kommt es auch nur zu einer partiellen Unterbrechung, sind die Folgen für die öffentliche Versorgung unmittelbar spürbar. Genau deshalb stehen Stadtwerke zunehmend im Fokus der Cyberkriminalität.
Andreas Grau: Gleichzeitig hat sich die regulatorische Perspektive verändert. Während bislang nur ein Teil der Versorgungsunternehmen unter KRITIS oder NIS-1 fiel, erweitert NIS-2 den Kreis der betroffenen Unternehmen deutlich. Für viele Stadtwerke bedeutet dies eine grundlegende Veränderung ihrer regulatorischen Anforderungen. Cybersicherheit wird von einer IT-Aufgabe zu einem strategischen Managementthema.
Was hat sich mit NIS-2 konkret verändert?
Andreas Grau: Die Anforderungen gehen deutlich weiter als bisher. NIS-2 betrachtet nicht nur technische Schutzmaßnahmen, sondern die gesamte Organisation. Dazu gehören Risikomanagement, Incident Handling, Notfallmanagement, Lieferketten, Schulungen und Governance-Strukturen.
Besonders relevant ist die Verantwortung der Geschäftsleitung. NIS-2 macht ausdrücklich klar, dass die Einhaltung der Anforderungen nicht delegiert werden kann. Geschäftsführungen müssen sich mit dem Thema aktiv auseinandersetzen, selbst schulen, Maßnahmen überwachen und deren Wirksamkeit nachvollziehen können.
Viele Verantwortliche fragen sich aktuell: Sind wir überhaupt betroffen?
Gilles Schneider: Genau diese Frage hören wir sehr häufig. Tatsächlich unterschätzen viele Stadtwerke ihre Betroffenheit. Durch die erweiterten Kriterien fallen heute deutlich mehr Unternehmen unter die Regulierung als früher. Relevant sind unter anderem Unternehmensgröße, Umsatz und die Zugehörigkeit zu kritischen Sektoren wie Energie, Wasser oder Telekommunikation. Für viele Stadtwerke lautet die Antwort deshalb: Ja, sie sind betroffen.
Deshalb empfehlen wir immer, zunächst eine strukturierte Betroffenheitsanalyse durchzuführen. Consileon führt diese stets in enger Kooperation mit spezialisierter Rechtsberatung durch, denn erst wenn klar ist, welche Einstufung vorliegt und welche Anforderungen konkret gelten, können die richtigen Prioritäten gesetzt werden.
Können Sie ein Beispiel aus der Praxis nennen?
Andreas Grau: Stellen wir uns ein mittelgroßes Stadtwerk vor. Die IT läuft stabil, es gab bislang keine größeren Sicherheitsvorfälle und man geht davon aus, grundsätzlich gut aufgestellt zu sein.
Bei einer näheren Analyse zeigt sich dann häufig ein anderes Bild: Es gibt zwar technische Sicherheitsmaßnahmen, aber keine dokumentierten Risikoanalysen. Lieferanten werden nicht systematisch bewertet und es bestehen ggf. riskante Abhängigkeiten zu einzelnen Dienstleistern. Interne Meldeprozesse für Sicherheitsvorfälle sind nicht definiert, was dazu führt, dass im Ernstfall die NIS-2-Meldepflicht nicht eingehalten werden kann. Die Geschäftsleitung erhält keine regelmäßigen Reports zum Sicherheitsstatus und kann die Wirksamkeit nicht, wie erwähnt, nachvollziehen.
Technisch funktioniert vieles, regulatorisch entstehen jedoch erhebliche Lücken. Genau diese Diskrepanz wird durch NIS-2 sichtbar.
Wo liegen aktuell die größten Herausforderungen für Stadtwerke?
Andreas Grau: OT-Landschaften wie Leitstellen sowie Steuerungs- und Netzsysteme sind häufig historisch gewachsen und wurden ursprünglich nicht für die heutigen Bedrohungsszenarien entwickelt. Gleichzeitig müssen sie hochverfügbar bleiben. Das macht Veränderungen deutlich anspruchsvoller als in klassischen Office-IT-Umgebungen.
Welche Rolle spielt die persönliche Haftung der Geschäftsleitung?
Gilles Schneider: Das ist einer der Punkte, der aktuell die größte Aufmerksamkeit erzeugt. Viele Geschäftsführer stellen erstmals fest, dass sie persönlich Verantwortung tragen.
Wichtig ist dabei: NIS-2 verlangt nicht, dass die Geschäftsleitung selbst technische Sicherheitsmaßnahmen umsetzt. Sie muss jedoch sicherstellen können, dass Risiken bekannt sind, geeignete Maßnahmen beschlossen wurden und deren Umsetzung regelmäßig überwacht wird.
Cybersicherheit wird damit zu einem festen Bestandteil der Unternehmenssteuerung und der Corporate Governance.
Wie können Stadtwerke den Aufwand wirtschaftlich bewältigen?
Gilles Schneider: Genau hier stoßen klassische Ansätze häufig an ihre Grenzen. Die manuelle Prüfung von Richtlinien, Prozessen, Sicherheitskonzepten und Nachweisen verursacht erheblichen Aufwand.
Deshalb setzen wir zunehmend auf KI-gestützte Verfahren. Moderne Analysewerkzeuge können große Dokumentenmengen wie Richtlinien und Verträge systematisch prüfen, regulatorische Anforderungen mit vorhandenen Nachweisen abgleichen und potenzielle Lücken identifizieren. Dadurch lassen sich Ressourcen gezielter einsetzen und Compliance-Prozesse deutlich effizienter gestalten.
Was bedeutet Continuous Compliance und warum wird es immer wichtiger?
Andreas Grau: Viele Organisationen betrachten Compliance noch immer als einmaliges Projekt. Genau das funktioniert bei NIS-2 und der Cybersicherheit im Allgemeinen nicht.
Die Anforderungen verändern sich, Systeme entwickeln sich weiter, neue Risiken entstehen. Deshalb braucht es einen kontinuierlichen Prozess. Compliance muss dauerhaft überwacht, dokumentiert und regelmäßig bewertet werden. Nur so bleibt die Organisation langfristig handlungsfähig.
Was raten Sie Stadtwerken, die jetzt mit dem Thema starten?
Gilles Schneider: Nicht auf die perfekte Lösung warten. Der wichtigste Schritt ist, Transparenz zu schaffen. Wo stehen wir heute? Welche Anforderungen gelten für uns? Wo bestehen Risiken und Handlungsbedarfe?
Andreas Grau: Wer früh beginnt, kann die Umsetzung strukturiert planen und in bestehende Prozesse integrieren. Wer wartet, riskiert Zeitdruck, höhere Kosten und unnötige Unsicherheit. Das BSI hat die Lage inzwischen verschärft: Die gesetzliche Registrierungsfrist ist bereits im März abgelaufen, und das BSI überwacht den Stand der Anmeldungen aktiv. Mit einer Nachfrist bis zum 31. Juli 2026 bietet die Behörde erneut die Gelegenheit, die Registrierung nachzuholen. Danach sind empfindliche Bußgelder realistisch. NIS-2 sollte nicht als regulatorische Pflichtübung verstanden werden, sondern als Chance, Cybersicherheit nachhaltig zu stärken und die eigene Resilienz zu erhöhen.
NIS-2 mit Consileon: Von der Betroffenheitsanalyse bis zur dauerhaften Compliance
Consileon unterstützt Stadtwerke entlang des gesamten NIS-2-Lebenszyklus. Von der Betroffenheitsanalyse über Audits, Registrierungsberatung und Geschäftsleitungsschulungen bis hin zur Umsetzungsbegleitung und zum Continuous Compliance Management entsteht ein ganzheitlicher Ansatz für regulatorische Sicherheit und nachhaltige Cyberresilienz.
