01
OT/IT-Konvergenz unter NIS-2
Operational Technology war air-gapped. NIS-2 zieht sie unter dasselbe Risikomanagement wie IT.
IMPACTCyber-physische Vorfälle lösen 24h-Meldung aus.
BRANCHENPRAXIS · ENERGIE & VERSORGUNG
EU-Compliance für den Energiesektor
NIS2 (Anlage 1, wesentliche Einrichtung), KRITIS-Dachgesetz, BSI-Grundschutz-Profil „Netzbetreiber", IT-SiG und EnWG-Sicherheitsvorgaben für Energieversorger und Netzbetreiber.
REGULIERUNG.STACK · ENERGIE● 09
NIS-2Wesentliche Einrichtung Energie
CERResilienz kritischer Einrichtungen
NCCSNetwork Code Cybersecurity
DSGVOSmart Meter und Kundendaten
REMITEnergiegroßhandelsmärkte
AI ACTNetz-Optimierung und Prognose-KI
EEDEnergieeffizienzrichtlinie
RED IIIErneuerbare-Energien-Richtlinie III
EU ETSEmissionshandelssystem
KOSTENLOSE 30-MIN-BERATUNG
Gespräch mit einem Senior-Berater.
Antwort innerhalb eines Werktages. Klare nächste Schritte und indikative Vergütung.
ANTWORT IN 1 WERKTAG·NDA AUF WUNSCH·KEINE VERPFLICHTUNG
01 / WEN WIR BETREUEN
Sechs Energie-Profile, eine Compliance-Karte.
Vom Übertragungsnetzbetreiber bis zu Endkunden-Lieferanten und Erneuerbaren-Entwicklern. Die regulatorische Last folgt der Wertschöpfungsposition.
ÜNB / VNB
Übertragungs- und Verteilnetzbetreiber
NIS-2 wesentliche Einrichtung, Network-Code-Cybersecurity, Smart-Meter-Daten.
NIS-2NCCSDSGVO
ERZEUGUNG
Erzeugung und Erneuerbare
REMIT-Meldungen, ETS-Zertifikate, RED-III-Nachhaltigkeitskriterien.
REMITEU ETSRED III
VERTRIEB
Energieversorger und Vertrieb
Kundendaten, Abrechnung, schutzbedürftige Verbraucher, Wechselpflichten.
DSGVOEEDREMIT
HANDEL
Energiehändler und Broker
REMIT-Transaktionsmeldung, MAR für Derivate, Marktmissbrauch.
REMITMAREMIR
ÖL & GAS
Öl- und Gas-Betreiber
CER kritische Einrichtung, Methan-Emissionen, Lieferkettensorgfalt.
CERNIS-2CSDDD
SMART GRID
Smart Grid und Energie-Tech
KI für Netzprognose, IoT für Umspannwerke, kundenseitige Apps.
AI ACTDSGVONIS-2
02 / LAGE
Die Regulatorik-Uhr im Energiesektor.
Mehrere Regime greifen ineinander. Wir takten sie an Ihrer Betriebsfrequenz.
IN KRAFTNIS-2
IN KRAFT
Energie als wesentliche Einrichtung
Risikomanagement, Meldung in 24h/72h, Lieferkettensicherheit, Vorstandsverantwortung.
IN KRAFTREMIT
IN KRAFT
Energiegroßhandelsmärkte
Offenlegung von Insiderinformationen, Transaktionsmeldung an ACER, Marktmanipulationsverbot.
IN KRAFTRED III
IN KRAFT
Erneuerbare-Energien-Richtlinie III
42,5% EE-Ziel bis 2030, Nachhaltigkeitskriterien, Herkunftsnachweise.
IN KRAFTCER
IN KRAFT
Resilienz kritischer Einrichtungen
Identifizierung kritischer Einrichtungen, Risikobewertung, Vorfallmeldung, Überprüfungen.
FOLGTNCCS
2026
Network Code Cybersecurity
Sektorspezifische Cybersicherheit für Elektrizität. Risikobewertung, gemeinsame Mindestanforderungen.
KRITISCHAI ACT
AUG 2026
KI in kritischer Infrastruktur
Netz-Optimierungs-KI als Hochrisiko nach Annex III. Konformität, Human Oversight, Monitoring.
FOLGTCSDDD
2027
Lieferketten-Sorgfaltspflichten
Sorgfaltspflichten in der Lieferkette für Energieunternehmen über Schwellen. Gestaffelte Anwendung.
GEPLANTEU ETS
LAUFEND
Emissionshandelssystem II
Erweiterung auf Straßenverkehr und Gebäude ab 2027. Aktualisierte MRV-Anforderungen.
03 / WAS ZU LÖSEN IST
Wo Energieunternehmen feststecken.
02
Smart-Meter-Daten unter DSGVO
Hochfrequente Verbrauchsdaten sind personenbezogen. Art. 6 Grundlage plus Art. 9 bei abgeleiteter Sonderkategorie.
IMPACTAufsichtsverfahren in mehreren Mitgliedstaaten.
03
REMIT-Offenlegung von Insiderinformationen
Ungeplante Ausfälle, Asset-Verfügbarkeit, Kapazitätsänderungen. Zeitfenster sind eng.
IMPACTSechsstellige REMIT-Bußgelder bei verspäteter Offenlegung.
04
Nachhaltigkeitskriterien Erneuerbare
RED III verlangt Nachweis der Nachhaltigkeit über die Lieferkette. Dokumentationslast hoch.
IMPACTVerlust von Herkunftsnachweisen beeinflusst Erlös.
05
CER- und NIS-2-Doppelbereich
CER baut auf NIS-2 auf. Manche Risikobewertungen duplizieren, andere divergieren.
IMPACTZwei parallele Programme ohne gemeinsame Konzeption.
06
AI Act für Netzprognosen
ML-Modelle zur Netzbalance fallen unter Annex III Hochrisiko für kritische Infrastruktur.
IMPACTKonformitätsbewertung und Post-Market-Monitoring erforderlich.
04 / ANGEBOT
Unsere Leistungen für den Energiesektor
EX-01
NIS-2-Readiness Energie
Klassifizierung, ISMS nach ISO 27001, Lieferketten-Due-Diligence, Meldepfade.
DGap-BerichtDISMSDIncident-SOP
EX-02
OT/IT-Cybersecurity-Programm
IEC-62443-Rahmen, Netzsegmentierung, Asset-Inventar OT, Schwachstellenmanagement.
DIEC 62443DSegmentierungDInventar
EX-03
REMIT-Compliance-Programm
Insider-Register, Transaktionsmeldung an ACER, Marktmissbrauchs-Surveillance, Schulung.
DII-RegisterDACERDSurveillance
EX-04
DSGVO für Smart Meter
Rechtsgrundlagen-Mapping, Privacy by Design für AMI, Transparenz, Datenminimierung.
DRG-MappingDAMI-PIADHinweise
EX-05
CER-Support für kritische Einrichtungen
Risikobewertung, Überprüfungen, Vorfallmeldung, Geschäftskontinuität.
DRisikoregisterDBCPDMeldungen
EX-06
Erneuerbare-Nachhaltigkeit
RED-III-Compliance, GO-Verfahren, Nachhaltigkeitsdokumentation über die Wertschöpfungskette.
DGO-VerfahrenDNachhaltigkeitDDokumentation
EX-07
AI Act für Netz-KI
Annex-III-Klassifizierung, technische Akte, Human Oversight, Post-Market-Monitoring.
DKlassifizierungDAnnex IVDPMM
EX-08
Vorfallreaktion 24/7
Energiespezifisches Runbook, CERT-Koordination, ACER-Meldung, Aufsichtskontakt.
DRunbookDCERTDMeldungen
EX-09
Externer Energie-Compliance-Officer
Senior-Berater mit Energie-Erfahrung, Vorstandsreporting, Programm-Stewardship.
DRetainerDVorstandsmemoDKalender
05 / AUSGEWÄHLTE ARBEIT
Alle Fallstudien →Mandate im Energiesektor.
CASE 01Regionaler VNB
NIS-2-Programm live, OT/IT-Integration abgeschlossen, erstes Audit bestanden.
47
STANDORTE
11K+
ASSETS
Bestanden
AUDIT
UMFANGNIS-2 · IEC 62443 · ISMS · Incident-SOP
CASE 02Großhandelshändler
REMIT-Programm nach ACER-Review neu aufgebaut, Meldegenauigkeit 99,7%.
99,7%
MELDUNG
Geschlossen
REVIEW
100%
SCHULUNG
UMFANGREMIT · MAR · ACER-Kontakt · Surveillance
CASE 03Erneuerbare-Entwickler
RED-III-Compliance über 12 Wind- und Solarprojekte. GO-Zertifikate erteilt.
12
PROJEKTE
Ja
GO ERTEILT
Gesichert
ERTRAG
UMFANGRED III · GO-Verfahren · Nachhaltigkeit · Audit
06 / KOSTENLOSES TOOL
Kartieren Sie Ihren Energie- Stack zum EU-Regelwerk.
Acht Fragen zu Wertschöpfungsposition, Asset-Basis und Datenflüssen. Indikative Pflichtenkarte über NIS-2, CER, REMIT, RED III und AI Act.
Pflichten-Mapper starten~ 4 MINMAPPER.PREVIEWSCHRITT 4 / 8
Sind Sie als kritische oder wesentliche Einrichtung nach CER oder NIS-2 klassifiziert?
Ja, kritische Einrichtung nach CERA
Ja, wesentliche Einrichtung nach NIS-2B
Wichtige Einrichtung nach NIS-2C
Noch nicht klassifiziertD
INDIKATIV → NIS-2 ART. 21 + CER ART. 6
07 / HÄUFIGE FRAGEN
Häufige Fragen aus dem Energiesektor
01Sind wir NIS-2 wesentlich oder wichtig?+
Energiesektor-Einrichtungen für Strom, Gas, Öl, Fernwärme oder Wasserstoff sind im Allgemeinen wesentlich nach NIS-2 Anhang I. Spezifische Tests gelten für Übertragung, Verteilung und Erzeugung. Wir klären die Klassifizierung als ersten Schritt.
02Wie interagiert NIS-2 mit CER?+
CER fokussiert physische Resilienz; NIS-2 die Cybersicherheit. Beide können für dieselbe Einrichtung gelten. Wir designen eine integrierte Risikobewertung für beide Richtlinien.
03Brauchen wir IEC 62443 für OT?+
Nicht zwingend, aber der am weitesten verbreitete Rahmen für OT in der Energie. NIS-2-Durchführungsakte verweisen darauf, und die meisten Aufsichten erwarten ihn als technische Basis für industrielle Steuerungssysteme.
04Was ist der Network Code Cybersecurity?+
Sektorspezifische Cybersicherheitsregeln für Elektrizität. Risikobewertungen, gemeinsame Mindestanforderungen und ein koordinierter Vorfallreaktionsrahmen. Anwendung ab 2026.
05Sind Smart Meter DSGVO-sensitiv?+
Ja. Hochfrequente Verbrauchsdaten zeigen Haushaltsmuster und können durch Ableitung zur besonderen Kategorie werden. DSFAs sind typischerweise bei AMI-Rollouts erforderlich.
06Brauchen wir einen sektorspezifischen DSB?+
Energieunternehmen in der Größe benötigen i.d.R. einen DSB. Wir stellen einen Senior-DSB mit Energie-Erfahrung im Retainer, benannt bei Ihrer nationalen Aufsicht.
08 / VERWANDT
Verwandte Praxen.
NIS-2-Compliance
Scoping, ISMS, Lieferkette und Vorfallmeldung für wesentliche Einrichtungen.
Praxis öffnen →Cybersecurity
ISMS, ISO 27001, IEC 62443 und OT-Sicherheitsprogramme.
Praxis öffnen →Lieferantenmanagement
Lieferketten-Due-Diligence und IKT-Drittparteienrisiko.
Praxis öffnen →09 / GET STARTED
Starten Sie Ihre NIS2- und BSI-Compliance
Kostenloses Erstgespräch, 30 Minuten. Wir klären Betroffenheit, prüfen den Reifegrad und liefern einen priorisierten Umsetzungsplan innerhalb eines Werktages.