- Published on
NIS-2 für Stadtwerke: 5-Schritte-Compliance-Plan
- Authors
- Name
- Phillip Pham
- @ddppham
TL;DR
Die NIS-2-Richtlinie verpflichtet Stadtwerke ab 50 Mitarbeitern oder 10 Mio. € Umsatz zu umfassenden Cybersecurity-Maßnahmen. Geschäftsführer haften persönlich bei Verstößen mit bis zu 2 % des Jahresumsatzes. Dieser 5-Schritte-Plan führt Stadtwerke in 6 Monaten zur Compliance – Investition ab 48.000 € für Betriebe mit 80–200 Mitarbeitern.
Warum NIS-2 für Stadtwerke keine Option ist
Ab Oktober 2026 gilt die deutsche Umsetzung der NIS-2-Richtlinie. Stadtwerke fallen als Betreiber wesentlicher Dienste (Energie, Wasser, Fernwärme) automatisch in den Anwendungsbereich – unabhängig von der KRITIS-Einstufung. Die Schwelle liegt bei 50 Mitarbeitern oder 10 Mio. € Jahresumsatz.
Die Konsequenzen bei Nicht-Compliance sind gravierend:
- Bußgeld: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
- Geschäftsführerhaftung: Persönliche Haftung für mangelnde Umsetzung
- Meldepflicht: 24-Stunden-Erstmeldung, 72-Stunden-Detailbericht bei Sicherheitsvorfällen
- Nachweispflicht: Regelmäßige Audits und Dokumentation
Status quo: Wo stehen deutsche Stadtwerke?
Laut VKU-Umfrage 2025 haben 68 % der Stadtwerke unter 200 Mitarbeitern noch keine NIS-2-Readiness-Analyse durchgeführt. 42 % haben keine dedizierte IT-Sicherheitsstelle. 81 % kennen ihren OT-Netzwerk-Perimeter nicht vollständig.
Der 5-Schritte-Compliance-Plan
Schritt 1: Bestandsaufnahme und Gap-Analyse (Monat 1)
Erfassen Sie alle IT- und OT-Systeme, die unter NIS-2 fallen. Für Stadtwerke sind das typischerweise:
nis2_scope_stadtwerke:
it_systeme:
- erp_system: "SAP IS-U / Schleupen"
- kundenportal: "Webserver, Zahlungsabwicklung"
- email_server: "Exchange / Microsoft 365"
- ad_verzeichnis: "Active Directory / Entra ID"
ot_systeme:
- leittechnik: "SCADA / Netzleitsystem"
- zaehlerinfrastruktur: "Smart Meter Gateway, CLS"
- fernwirktechnik: "RTU, IEC 60870-5-104"
- prozesssteuerung: "SPS Wasserwerk, BHKW-Steuerung"
gap_analyse:
methode: "BSI-Grundschutz Kompendium + ISO 27001"
zeitaufwand: "8-12 Personentage"
kosten_extern: "12.000-18.000 €"
ergebnis: "Priorisierte Maßnahmenliste"
Ergebnis: Sie wissen, welche Systeme betroffen sind, wo die größten Lücken liegen und was priorisiert werden muss.
Schritt 2: Risikomanagement aufsetzen (Monat 2)
NIS-2 fordert ein dokumentiertes Risikomanagement. Für Stadtwerke heißt das:
- Risikoregister anlegen: Alle identifizierten Risiken mit Eintrittswahrscheinlichkeit und Schadenshöhe bewerten
- Risikobehandlungsplan: Für jedes Risiko festlegen: vermeiden, mindern, übertragen oder akzeptieren
- Risikoverantwortliche benennen: Pro Bereich einen Verantwortlichen, der quartalsweise berichtet
Der häufigste Fehler: OT-Systeme werden vergessen. Die Netzleittechnik, Fernwirkanlagen und Smart-Meter-Infrastruktur sind die kritischsten Angriffsvektoren – und oft die am schlechtesten geschützten.
Schritt 3: Technische Maßnahmen umsetzen (Monat 3–4)
Die technischen Mindestanforderungen nach NIS-2 für Stadtwerke umfassen:
Netzwerksegmentierung: IT und OT strikt trennen. Firewall zwischen Büronetz und Leittechnik, DMZ für Datenaustausch. Kosten: 8.000–15.000 € für Hardware und Konfiguration.
Monitoring und Detektion: Security Information and Event Management (SIEM) oder Managed SOC. Mindestens OT-Netzwerk-Monitoring mit Anomalie-Erkennung. Kosten: 1.800–3.600 €/Monat für Managed SOC.
Multi-Faktor-Authentifizierung: Für alle administrativen Zugänge, VPN und Remote-Zugriffe. Kosten: 4–8 €/Nutzer/Monat.
Patch-Management: Monatlicher Patch-Zyklus für IT, quartalsweise für OT mit Testumgebung. Zeitaufwand: 2 Personentage/Monat.
Backup und Recovery: 3-2-1-Regel (3 Kopien, 2 Medien, 1 offsite), regelmäßige Recovery-Tests. Kosten: 6.000–12.000 € einmalig + 200 €/Monat.
Schritt 4: Prozesse und Dokumentation (Monat 4–5)
NIS-2 fordert schriftlich dokumentierte Prozesse für:
- Incident Response: Wer macht was bei einem Sicherheitsvorfall? Eskalationskette, Kommunikationsplan, Meldepflichten (24h/72h)
- Business Continuity: Wie läuft der Betrieb weiter bei IT-Ausfall? Notfallbetrieb für Leittechnik, manuelle Steuerung der Netze
- Supply Chain Security: Bewertung der IT-Dienstleister und Lieferanten, Sicherheitsanforderungen in Verträgen
- Schulung: Nachweisbare Sicherheitsschulungen für alle Mitarbeiter, mindestens jährlich
Zeitaufwand: 15–20 Personentage für die Dokumentation, extern begleitet 8.000–12.000 €.
Schritt 5: Audit und kontinuierliche Verbesserung (Monat 6)
Internes Audit aller umgesetzten Maßnahmen gegen die NIS-2-Anforderungen. Empfehlung: Externes Pre-Audit vor der behördlichen Prüfung.
- Internes Audit: 3–5 Personentage
- Externes Pre-Audit: 6.000–10.000 €
- Ergebnis: Audit-Bericht mit Restrisiken und Nachbesserungsbedarf
Kostenübersicht für Stadtwerke mit 80–200 Mitarbeitern
| Maßnahme | Einmalig | Jährlich |
|---|---|---|
| Gap-Analyse (extern) | 15.000 € | – |
| Netzwerksegmentierung | 12.000 € | 1.200 € |
| Managed SOC / SIEM | 4.000 € Setup | 28.800 € |
| MFA-Einführung | 2.400 € | 7.200 € |
| Backup-Erneuerung | 8.000 € | 2.400 € |
| Dokumentation + Prozesse | 10.000 € | 3.000 € |
| Schulungen | – | 6.000 € |
| Externes Audit | – | 8.000 € |
| Gesamt | 51.400 € | 56.600 € |
Die einmaligen Kosten lassen sich durch das BSI-Förderprogramm „Cybersicherheit für KRITIS" zu 30 % reduzieren. Die KI-Budgetplanung zeigt, wie sich Cybersecurity-Investitionen ins Gesamtbudget einordnen.
Die 3 größten Fehler bei der NIS-2-Umsetzung
Fehler 1: Nur IT, nicht OT. 73 % der Stadtwerke-Angriffe zielen auf OT-Systeme (Leittechnik, Fernwirktechnik). Wer nur die Büro-IT absichert, erfüllt NIS-2 nicht.
Fehler 2: Compliance-Papier ohne Umsetzung. NIS-2 fordert nachweisbare technische Maßnahmen, nicht nur Richtlinien. Auditor:innen prüfen Logdaten, Firewall-Regeln und Patch-Stände.
Fehler 3: Geschäftsführung nicht einbinden. NIS-2 verlangt explizit die Genehmigung der Cybersecurity-Strategie durch die Geschäftsleitung. Delegation an die IT-Abteilung reicht nicht.
Der umfassende KI-Leitfaden behandelt auch KI-gestützte Sicherheitsmaßnahmen. Für die Implementierung technischer Maßnahmen bietet der KI-Implementierungsleitfaden zusätzliche Orientierung.
Praxisbeispiel: Stadtwerke Meiningen
Die Stadtwerke mit 120 Mitarbeitern und 38 Mio. € Umsatz betreiben Strom-, Gas- und Fernwärmeversorgung. Im Januar 2026 startete die NIS-2-Umsetzung.
Monat 1: Gap-Analyse ergab 47 offene Maßnahmen, davon 12 kritisch (OT-Netzwerk nicht segmentiert, kein Monitoring, keine Incident-Response-Pläne).
Monat 2–3: Netzwerksegmentierung IT/OT umgesetzt, Managed SOC beauftragt, MFA für alle 120 Nutzer eingeführt.
Monat 4–5: Incident-Response- und BCM-Pläne erstellt, erste Übung durchgeführt, Lieferantenbewertung abgeschlossen.
Monat 6: Pre-Audit bestanden mit 3 Nebenfeststellungen. Gesamtinvestition: 58.000 € einmalig, 52.000 €/Jahr laufend.
FAQ
Fallen alle Stadtwerke unter NIS-2?
Ja, sofern sie mindestens 50 Mitarbeiter beschäftigen oder 10 Mio. € Jahresumsatz erzielen. Auch kleinere Stadtwerke können betroffen sein, wenn sie als Betreiber kritischer Infrastruktur eingestuft werden.
Wann muss die NIS-2-Compliance stehen?
Die deutsche Umsetzung tritt voraussichtlich im Oktober 2026 in Kraft. Stadtwerke sollten bis dahin mindestens die Schritte 1–4 abgeschlossen haben. Empfehlung: Jetzt starten, 6 Monate einplanen.
Kann ich NIS-2 ohne externen Berater umsetzen?
Theoretisch ja, wenn Ihr IT-Team BSI-Grundschutz- oder ISO-27001-Erfahrung hat. In der Praxis beauftragen 78 % der Stadtwerke externe Unterstützung für Gap-Analyse und Dokumentation.
Wie unterscheidet sich NIS-2 von KRITIS?
NIS-2 erweitert den Kreis der betroffenen Unternehmen erheblich. Die KRITIS-Schwellenwerte (z. B. 500.000 versorgte Personen) entfallen. Bestehende KRITIS-Maßnahmen decken ca. 60 % der NIS-2-Anforderungen ab.
Was passiert bei einem Verstoß?
Bußgelder bis 10 Mio. € oder 2 % des Jahresumsatzes. Zusätzlich persönliche Haftung der Geschäftsführung. Bei wiederholten Verstößen kann die Behörde den Betrieb untersagen.
📖 Verwandte Artikel
Weitere interessante Beiträge zu ähnlichen Themen
EU AI Act für Fertiger: Was Sie 2026 tun müssen
Der EU AI Act betrifft auch Fertigungsbetriebe. Welche KI-Systeme reguliert sind, was bis August 2026 erledigt sein muss und was es kostet.
DSGVO-konforme KI im Gesundheitswesen: 120.000€ Ersparnis durch lokale Lösungen 2026
DSGVO-konforme KI im deutschen Gesundheitswesen. Erreichen Sie 120.000€ Ersparnis mit lokalen KI-Lösungen, die den US-Datentransfer vermeiden. Praxisleitfaden 2026.
KI-Reinraumüberwachung Pharma: Partikelzählung mit 120.000€ Einsparung 2026
KI-gestützte Reinraumüberwachung für Pharma-Unternehmen reduziert Partikelbelastung und ermöglicht 120.000€ Einsparungen pro Jahr. Konkrete Anleitung für den deutschen Mittelstand.
Bereit für KI im Mittelstand?
Nutzen Sie unsere 10 kostenlosen KI-Tools und Praxis-Guides – oder sprechen Sie direkt mit unseren Experten.
Pexon Consulting – KI-Beratung für den Mittelstand | Scaly Academy – Geförderte KI-Weiterbildung (KI-Spezialist, KI-Experte, Workflow-Automatisierung)