Ihr Problem ist nicht noch eine Regulierung. Ihr Problem ist der Compliance-Flickenteppich, der daraus entsteht.
Stadtwerke stehen bereits unter KRITIS-Druck. Audits. Nachweise. technische Mindeststandards. Meldewege. Lieferantenrisiken. Jetzt kommen NIS2 und das KRITIS-Dachgesetz dazu. Parallel. Mit Überschneidungen. Mit Haftungsrisiken für die Geschäftsführung.
Wer jetzt jedes Gesetz isoliert bearbeitet, baut Doppelstrukturen. Doppelte Tools. Doppelte Audits. Doppelte Kosten. Und am Ende trotzdem Lücken.
NIS2 und KRITIS für Stadtwerke: Anforderungen im Überblick
Für Stadtwerke ist NIS2 kein abstraktes IT-Thema. Es betrifft Netzbetrieb, Leittechnik, OT, Dienstleistersteuerung, Incident Response, physische Sicherheit und Geschäftsleiterpflichten.
Der entscheidende Punkt: Bestehende KRITIS-Pflichten verschwinden nicht. Sie werden ergänzt.
Das BSI formuliert die Richtung klar: „Unternehmen, die als Kritische Infrastruktur (KRITIS) eingestuft sind, unterliegen zusätzlich dem künftigen KRITIS-Dachgesetz... müssen IT- und physische Sicherheitsmaßnahmen koordiniert und integriert umsetzen.“
Das ist kein Hinweis für die Rechtsabteilung. Das ist eine operative Vorgabe.
Für die Praxis heißt das:
- IT-Sicherheit und physische Sicherheit dürfen nicht mehr getrennt laufen.
- KRITIS-Audit, NIS2-Risikomanagement und KRITIS-DachG-Resilienz müssen auf ein gemeinsames Kontrollsystem einzahlen.
- Geschäftsführung und Werkleitung müssen nachweisen können, dass Risiken erkannt, bewertet, priorisiert und behandelt werden.
- Lieferanten, Dienstleister und MSPs werden Teil Ihrer Nachweiskette.
- OT-Systeme, Legacy-Altlasten und Netzleitstellen dürfen nicht als „Sonderwelt“ außerhalb der Governance behandelt werden.
Der gefährliche Irrtum: „Wir sind doch schon KRITIS-geprüft.“
Das reicht nicht automatisch. Aber es ist verwertbar. Richtig aufgesetzt, können bestehende KRITIS-Nachweise auf NIS2 angerechnet werden. Falsch aufgesetzt, bezahlen Sie denselben Kontrollpunkt zweimal.
Warum getrennte Compliance-Programme Doppelstrukturen erzeugen
Ein ISO-Template löst Ihr Problem nicht. Eine neue Firewall auch nicht.
Stadtwerke haben keine grüne Wiese. Sie haben:
- gewachsene Netzstrukturen,
- OT-Systeme mit langen Lebenszyklen,
- knappe IT- und ISMS-Ressourcen,
- externe Betriebsführer und Dienstleister,
- regulatorische Schnittstellen zu BSI, Bundesnetzagentur, Landesbehörden und Wirtschaftsprüfern,
- bestehende KRITIS-Auditzyklen, die nicht ignoriert werden dürfen.
Genau hier verschweigen viele Anbieter den entscheidenden Punkt: NIS2 darf nicht als separates Projekt neben KRITIS gebaut werden.
Sonst entsteht ein Papier-Tiger:
- ein NIS2-Risikoregister neben dem KRITIS-Nachweis,
- ein neues Tool neben bestehenden ISMS-Strukturen,
- ein externer Audit neben dem bestehenden Prüfprogramm,
- neue Policies ohne operative Wirkung in Leitwarte, Netzbetrieb und Dienstleistersteuerung.
Das Ergebnis: hohe Kosten. Mehr Aufwand. Kein belastbarer Schutz. Keine saubere Entlastung der Geschäftsführung.
Der richtige Ansatz ist anders: Mapping statt Neuaufbau.
Bestehende KRITIS-Kontrollen, Auditberichte, Maßnahmenpläne, Notfallkonzepte und Lieferantennachweise müssen systematisch gegen NIS2-Anforderungen und KRITIS-DachG-Erwartungen gespiegelt werden. Was bereits erfüllt ist, wird dokumentiert. Was fehlt, wird gezielt geschlossen. Keine Doppel-Investitionen. Kein Compliance-Theater.
Schritte zur integrierten KRITIS- und NIS2-Umsetzung
KRITIS-Nachweise gegen NIS2 mappen: Nehmen Sie den letzten KRITIS-Auditbericht, vorhandene Sicherheitskonzepte, Risikobehandlungen, BCM-/Notfallunterlagen und Dienstleisterverträge. Legen Sie eine Kontrollmatrix an: KRITIS-Anforderung, vorhandener Nachweis, NIS2-Bezug, KRITIS-DachG-Bezug, Lücke, Verantwortlicher, Frist. Ohne diese Matrix fliegen Sie blind.
Doppelstrukturen sofort stoppen: Frieren Sie neue Tool- und Auditkäufe ein, bis klar ist, welche Kontrollen bereits abgedeckt sind. Prüfen Sie zuerst, ob vorhandene ISMS-, GRC-, Ticketing- und Asset-Management-Systeme die NIS2-Nachweise mitführen können. Kaufen Sie kein neues Compliance-Tool, nur weil ein Anbieter „NIS2-ready“ auf die Folie schreibt.
Geschäftsführerhaftung dokumentierbar entschärfen: Erstellen Sie ein kurzes Management-Dossier für Geschäftsführung und Werkleitung: aktuelle Einstufung, relevante Pflichten, Top-10-Risiken, offene Maßnahmen, Budgetbedarf, Entscheidungsbedarf. Lassen Sie Beschlüsse protokollieren. Nicht als Formalie. Als Entlastungsnachweis, wenn nach einem Vorfall gefragt wird: „Wer wusste was — und was wurde veranlasst?“
Checkliste: KRITIS und NIS2 für Stadtwerke und Energieversorger
Die Checkliste zeigt, welche bestehenden KRITIS-Nachweise für NIS2 verwertbar sind, wo typische Lücken bei Stadtwerken entstehen und wie Doppelstrukturen durch gezieltes Mapping vermieden werden können. Sie dient der internen Orientierung und ersetzt keine rechtliche oder regulatorische Fachberatung.