Cybersicherheit für Energieversorger

Die geopolitische Lage hat Energieinfrastrukturen ins Zentrum
sicherheitspolitischer Bedrohungen gerückt. Angriffswellen auf europäische Netzbetreiber im Jahr 2024, die zu massiven Störungen und Preissprüngen führten sowie der Anschlag auf die Nord-Stream-Pipelines verdeutlichen dies. Kritische Energieinfrastrukturen sind zu strategischen Angriffszielen geworden. Parallel zu physischen Angriffen nehmen auch Cyberbedrohungen deutlich zu. Die Vielzahl an Störungen und Sabotagevorfällen in den vergangenen Jahren deutet auf mögliche Verbindungen zu staatlichen Akteuren hin und verdeutlicht die zunehmende Komplexität moderner Cyberrisiken.

Die vorliegenden Statistiken verdeutlichen die Entwicklung deutlich:

• Massiver Anstieg: 80 Prozent mehr Cyberangriffe auf
  Energieunternehmen
• Klarer Fokus: 11 Prozent aller weltweiten Cyberangriffe zielen auf den Energiesektor
• Geografische Schwerpunkte: USA und Europa stehen
  besonders im Visier

Technologische Realität: Die IT/OT-Konvergenz als zentrale Herausforderung

Die fortschreitende Verschmelzung von IT und OT (IT/OT-Konvergenz) bringt neue Risiken mit sich. Während für IT-Systeme zahlreiche Schutzmaßnahmen möglich sind, bleiben viele OT-Komponenten veraltet. Für sie sind moderne Sicherheitslösungen wie Endpoint Detection & Response (EDR) oder automatisierte Patchprozesse nicht geeignet.

Die Verschmelzung von IT und OT (Operational Technology) führt zu zusätzlichen Herausforderungen:

• Hybride IT-Landschaften mit Cloud- und On-Premise-Komponenten
• Mangelnde Standardisierung und eingeschränkte Automatisierungsmöglichkeiten
• Hohe Komplexität bei der Integration sicherheitsrelevanter Prozesse

Regulatorischer Wandel: Neue Verantwortung für Energieversorger

Staatliche Behörden weltweit haben die zunehmende Bedeutung von Cybersicherheit im Energiesektor erkannt und auch in Europa sowie in Deutschland mit einer Reihe gezielter regulatorischer Maßnahmen reagiert.

EU-Ebene:

• EU Cyber Security Act (CSA): Zertifizierungsrahmen für IKT-Produkte seit 2019
• NIS2-Richtlinie: Die Umsetzung der NIS2-Richtlinie bringt neue Anforderungen wie ein verpflichtendes Risikomanagement, technische Schutzmaßnahmen sowie umfassende Meldepflichten bei Sicherheitsvorfällen
• CER/CRE-Richtlinie: Physische Sicherheit kritischer Infrastrukturen
• Cyber Resilience Act: Cybersicherheitsstandards für digitale Produkte

Deutsche Umsetzung:

• NIS2-Umsetzungsgesetz (NIS2UmsuCG): Nationale Implementierung der EU-Vorgabe
• KRITIS-Dachgesetz: Umsetzung der CER/CRE-Richtlinie
• Energiewirtschaftsgesetz (EnWG): Branchenspezifische Regelungen

• IT-Sicherheitskataloge (SiKat): Operative Anforderungen der Bundesnetzagentur

Abb. 1: Cybersicherheits-Regulatorik

Für Energieversorger ergibt sich daraus ein komplexes Spannungsfeld: Einerseits müssen sie technologische Modernisierung vorantreiben, andererseits hohe Sicherheitsstandards erfüllen und den wachsenden regulatorischen Anforderungen gerecht werden. Die zentrale Herausforderung besteht darin, diese drei Dimensionen – Sicherheit, Verfügbarkeit und Compliance – in Einklang zu bringen, ohne die operative Stabilität zu gefährden.

IT-Sicherheitskatalog im Wandel: Von OT-Sicherheit zu Resilienz und BCM - Neuer Fokus auf OT-Sicherheit

Seit Mai 2025 überarbeitet die Bundesnetzagentur die SiKat im Rahmen einer Konsultation, um den neuen Anforderungen aus NIS2 und dem KRITIS-Dachgesetz gerecht zu werden. Dabei rücken erstmals systematisch die OT-Sicherheit, die Business Continuity und die physische Resilienz in den Fokus.

Zentrale Änderungen:

• Erweiterte Risikoanalysen für IT/OT-Systeme 
• Verschärfte Meldepflichten bei Cybervorfällen (24h-Erstmeldung, 72h-Folgemeldung, Abschlussbericht (NIS2))
• Neue Anforderungen an Lieferkettenmanagement
• Verstärkte Schulungspflichten für Führungskräfte und erhöhte persönliche Verantwortung / Haftung der Unternehmensleitung (NIS2)
• Einführung eines Business-Continuity-Managements (BCM) als Pflichtbestandteil
• Anwendung eines Allgefahren-Ansatzes (nicht nur Cyber, auch Naturgefahren, Ausfälle, physische Risiken)
• Konsolidierung der bisher getrennten Kataloge (Stromnetz, Gasnetz, Energieanlagen)

Abb. 2: Unmittelbare Handlungsfelder für Betreiber kritischer Energieinfrastruktur

Synergien nutzen:

Die parallele Umsetzung von NIS2, EnWG-Anforderungen und den SiKat der BNetzA ermöglicht Effizienzgewinne durch koordinierte Umsetzung.

Bewährte Standards als Fundament:
NIS2, KRITIS und die SiKat stützen sich überwiegend auf etablierte internationale Standards, wie

• ISO/IEC 27001:2022: Basis für ISMS-Anforderungen in allen Regulatorien
• NIST Cybersecurity Framework: Strukturierter Ansatz für Risiko- und Incident-Management
• IEC 62443: Standard für OT-Sicherheit in Industrie & Steuerungssystemen
• COBIT: Referenzmodell für IT-Governance und -Management
• ISO 22301 (Business Continuity Management): Rahmenwerk für Business Continuity Management
• DIN EN ISO/IEC 27019: Spezifische Ergänzung für Energie- und Prozessleitsysteme

Abb. 3: Zeitplan der regulatorischen Umsetzung

• Ab 2025: Angriffserkennungspflicht wird aktiv geprüft und auditiert (seit 2023 gesetzlich verankert)
• 2025: Konsultationsphase & Entwurf des neuen, konsolidierten SiKat
• 2025: Geplante Verabschiedung des NIS2-Umsetzungsgesetzes (verzögert durch Regierungswechsel)
• 2025/2026: Schrittweise Umsetzung KRITIS-Dachgesetz ab 2025, volle Wirksamkeit plausibel bis 2026
• Ab 2026: Vollständiger Nachweis von BCM- und Resilienzpflichten im Audit
• Kontinuierlich: Anpassung branchenspezifischer Verordnungen
• Fortwährend: Anpassungen fortlaufend durch BNetzA

Die regulatorische Verdichtung führt zu Überschneidungen und kann bei unkoordinierter Umsetzung zu erheblichen Mehrkosten führen. Die neue Prozessorientierung, die Pflicht zur Resilienzplanung sowie Aspekte wie Asset-Transparenz, Management-Haftung und Krisenübungen verdeutlichen, dass der SiKat zunehmend als Gesamtresilienzrahmen verstanden ist – nicht mehr nur als klassisches IT/OT-Sicherheitsinstrument.

Vom Risiko zur Resilienz: Deloitte Toolbox für Energieversorger

Gemeinsam mit Energieversorgern hat Deloitte eine modulare, ganzheitliche Lösung entwickelt, die regulatorische Anforderungen mit operativer Widerstandsfähigkeit verbindet. Der Ansatz bildet die End-to-End-Journey eines IT/OT-Sicherheitsprogramms ab – von der ersten Risikoanalyse bis hin zum nachhaltigen Betriebsmodell. Dabei finden die Anforderungen der Energiebranche sowie relevante Standards wie NIS2, KRITIS, EnWG, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27019 und IEC 62443 besondere Berücksichtigung.

Dank umfangreicher Projekterfahrung – von der Absicherung von Windparks bis hin zur Entwicklung von OT-Sicherheitsarchitekturen – unterstützt Deloitte Energieversorger bei der Umsetzung moderner Sicherheitskonzepte.

Die Grundlagen unserer Strategie sind:

• Security-by-Design
• Zero-Trust-Prinzipien
• Defense-in-Depth
• Monitoring und angepasste Endpoint-Security-Lösungen

Ergänzend tragen Services wie Managed SOC, Incident Response Support und Awareness-Kampagnen dazu bei, eine schnelle und effektive Angriffsdetektion und -abwehr (Threat Intelligence & Hunting) sowie eine resiliente Sicherheitskultur zu gewährleisten. Dabei begleitet Deloitte Versorger von der Strategieentwicklung bis in den dauerhaften Betrieb.

Abb. 4: Phasen des IT/OT-Sicherheitsprogramms

Fazit und Handlungsempfehlungen

Die neue regulatorische Landschaft im Bereich der Cybersicherheit stellt Energieversorger vor erhebliche Herausforderungen, eröffnet ihnen aber auch die Möglichkeit, ihre Cyberresilienz systematisch zu stärken.

Erfolgsfaktoren:

• Frühzeitige Planung: Rechtzeitige Vorbereitung auf regulatorische Deadlines
• Integrierte Ansätze: Koordinierte Umsetzung verschiedener Compliance-Anforderungen
• Risikoorientierung: Systematischer Fokus auf kritische Assets sowie deren Bedrohungen und Schwachstellen – in einem integrierten System, das IT-, OT- und regulatorische Managementbereiche verbindet
• Kontinuierliche Verbesserung: Aufbau adaptiver Sicherheitsarchitekturen

Effizienzfaktoren:

Die Komplexität der regulatorischen Landschaft und die kritische Bedeutung der Energieinfrastruktur erfordern spezialisierte Expertise. Erfolgreiche Unternehmen setzen zur Durchführung eines schlanken und zielgerichteten Programms auf:

• Regulatorische Expertise: Fundiertes Verständnis relevanter gesetzlicher, normativer und branchenspezifischer Anforderungen
• Technische Kompetenz: Praktische Erfahrung in der Umsetzung von Sicherheitsmaßnahmen in IT- und OT-Umgebungen
• Branchen-Know-how: Spezifisches Verständnis der Herausforderungen in der Energiewirtschaft
• Umsetzungserfahrung: Bewährte Methoden und Tools

Laden Sie hier unser Whitepaper zum Thema „Cybersicherheit im Fokus: Regulatorischer Wandel als strategische Herausforderung für Energieversorger“ herunter und erfahren Sie alle Ergebnisse im Detail.

Über Deloitte Cyber

Deloitte Cyber ist ein führender Anbieter von Cybersecurity-Beratung. Unsere Spezialist:innen unterstützen Unternehmen dabei, ihre digitale Transformation sicher zu gestalten. Unser Fokus auf kritische Infrastrukturen und langjährige Erfahrung in der Energiewirtschaft machen uns zum vertrauensvollen Partner für die Herausforderungen der Energiewende.