Die EU-NIS-2 ist der europäische Rahmen für Betreiber kritischer Infrastrukturen und legt Cybersecurity-Mindeststandards in der EU fest. Ein Ziel ist es, dass Unternehmen innerhalb des gesamten europäischen Wirtschaftsraums nach gleichen Standards digital gesichert sind. Parallel dazu reguliert EU RCE/CER die Resilienz der Infrastrukturen. Die betroffenen Betreiber werden durch Behörden und basierend auf nationalen Risikoanalysen identifiziert und registriert. Stichtag hierfür ist der 17. Juli 2026. Die Identifikation richtet sich nach dem disruptiven Effekt auf Dienstleistungen, falls die Betreiber ausfallen. Beide Richtlinien erweitern die Betroffenheit und die Pflichten im Vergleich zu KRITIS deutlich – und die Übergangszeit ist äußerst knapp. Schon ab 2024 müssen Unternehmen beginnen, die Vorgaben umzusetzen. Expertinnen und Experten sind sich weitgehend einig, dass diese Vorgaben zur IT-Sicherheit die Digitalisierung wirksam absichern. Jetzt könnte der Umbau von Gesellschaft und Wirtschaft auf Grundlage von Klimazielen und Umweltschutz vorangetrieben werden.
Resilienz für Produktion und Distribution
Keine andere Industrie wird von den Vorgaben der Dekarbonisierung so betroffen sein wie die Energiebranche und die mit ihr verbundenen Versorgungsunternehmen. Über viele Jahrzehnte konnten sich alle Beteiligten auf das Grundprinzip der Energieindustrie verlassen: Große Kraftwerke haben nicht nur die Grundversorgung garantiert, sondern auch die Stabilität der Stromnetze gewährleistet. Diese Versorgung vom Kraftwerk zum Kunden wird in Zukunft so nicht mehr stattfinden. Vielmehr sind die Versorger gezwungen, Energie zu produzieren, die auch aus Windkraft, Solaranlagen oder Wasserkraftwerken stammt. Die größte Herausforderung ist bereits heute, die Stromnetze stabil zu halten. Hier kommen komplexe Softwaresysteme zum Einsatz – und die sind mit erhöhten IT-Risiken verbunden. Bei einer erfolgreichen Attacke können die Angreifenden die gesamte Energieversorgung online abschalten. Also muss die Resilienz des gesamten Stromnetzes gesichert sein.
Cybersecurity für Beschaffung und Vertrieb
Und mit dem Umbau der Stromproduktion sind auch die Zeiten vorbei, in denen nur eine Art von Strom angeboten und zu einem Preis abgerechnet wurde. Im Zuge der explodierenden Nachfrage nach sauberer Energie können Verbraucher und Industrie aus einem breiten Angebot von Produkten wählen. Vom als „grün“ gelabelten Strom aus Wasserkraftwerken über schmutzige Energie aus Kohleverstromung bis zu billigem Atomstrom werden unterschiedlichste Produkte zu stark variierenden Preisen angeboten.
Lieferantennetzwerke in der Cloud
Die Industriekunden fordern detaillierte Auskunft darüber, woher ihre Energie stammt. Sie benötigen Informationen, wie hoch der CO₂-Fußabdruck eines Stromangebots ist, um ihren eigenen Footprint zu berechnen. Nach den Vorgaben des Lieferkettensorgfaltspflichtengesetzes müssen sie zusätzlich prüfen, ob die Ressourcen aus vertrauenswürdigen und seriösen Quellen stammen. Zusätzlich verschärft EU-NIS-2 die Anforderungen, weil die Betreiber in Zukunft auch für Cybersecurity in Lieferketten verantwortlich sind. Eine Lösung sehen Unternehmen in Supply-Chain-Netzwerken, in denen geprüfte und zertifizierte Rohstoffanbieter, Produzenten und Zwischenhändler miteinander verschaltet sind. Für Seriosität und IT-Sicherheit des Netzwerks stehen die Betreiber der Angebote gerade.
