Cybersicherheit für Erneuerbare Energieanlagen: Neue Anforderungen durch NIS2
Erneuerbare Energien werden immer stärker zum entscheidenden Rückgrat für die deutsche Stromversorgung.Im Jahr 2023 wurden in Deutschland 139 TWh aus Windkraft, 53,5 TWh aus Photovoltaik und 18,8 TWh aus Wasserkraft erzeugt. Das entspricht bereits heute einem Anteil von über 40 % am gesamten Strommix.
Dabei spielen insbesondere in der Photovoltaik nicht nur Großanlagen eine wichtige Rolle bei der Energieversorgung und Stabilisierung des Stromnetzes. Kleinere, privat oder auf gepachteten Dächern installierte Anlagen werden von Aggregatoren mit Hilfe von Energiespeichern längst zu größeren virtuellen Kraftwerken zusammengeführt.
Digitalisierung und neue Angriffsflächen
Dadurch und im Zuge der Digitalisierung der Energiewirtschaft werden verteilte Erneuerbare Energieanlagen (EEA) zu stark vernetzten Infrastrukturen mit einem hohen Grad an Automatisierung und Fernsteuerung.Das wiederum erhöht das Risiko einer Störung der deutschen Energieversorgung durch Cyberangriffe. Schließlich bildet jede einzelne EEA eine Angriffsfläche. Und zentralisierte Leitstellen können zum Sprungbrett für Angreifende werden, um Tausende von Anlagen zu infiltrieren.
Dabei besteht nicht nur das Risiko von Datenlecks und der Manipulation von Verbrauchsdaten.
Es drohen lokale bis regionale Blackouts mit Verlusten und Strafen in Millionenhöhe.
Im schlimmsten Fall können Anlagen irreparabel beschädigt und Menschenleben gefährdet werden.
Gesetzliche Anforderungen durch NIS2UmsuCG
Aus diesem Grund gelten für Akteure der deutschen Energieversorgung besondere gesetzliche Anforderungen an die Cybersicherheit.Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) werden die Anforderungen des bestehenden IT-Sicherheitsgesetzes (IT-SiG 2.0) maßgeblich erweitert und die Geschäftsführung persönlich haftbar gemacht.
Demnach gelten alle gewerblichen Energieerzeuger, Aggregatoren, Energiespeicherbetreiber und Stromlieferanten mindestens als »wichtige Einrichtungen«¹.
Viele fallen unter die Definition einer kritischen Anlage², für die ein System zur Angriffserkennung bereits seit IT-SiG 2.0 Pflicht ist.
Auch wenn diese spezifische Maßnahme – wie andere Einzelmaßnahmen auch – nicht für wichtige Einrichtungen explizit genannt wird, laufen die Anforderungen aus dem NIS2UmsuCG auch für wichtige Einrichtungen auf dasselbe hinaus.
Denn nur in der Kombination geeigneter organisatorischer und technischer Maßnahmen können die geforderten hinreichenden Sicherheitslevel erreicht werden.
eBook: Herausforderungen und Empfehlungen
Dieses eBook skizziert die unterschiedlichen Herausforderungen von Investoren, Geschäftsführungen und Betreibenden in Bezug auf EEAs.Das Dokument gibt einen detaillierten Überblick zu den real existierenden Cyberrisiken und formuliert darauf aufbauend klare Empfehlungen zur Gewährleistung einer nachhaltigen, effizienten Cybersicherheit in erneuerbaren Energieanlagen.