Sind Sie zugelassener Wirtschaftsprüfer oder Auditor?

Nein — und das ist Absicht. Wir liefern die Vorbereitung, die Ihr Wirtschaftsprüfer oder NIS2-Auditor anschließend abnimmt. Zum Bruchteil seiner Tagessätze und Wochen vor seiner Slot-Verfügbarkeit.

Warum nur 4.000–6.000 €? Wo ist der Haken?

Scharfer Scope (Maßnahmenkatalog + Asset-Inventory-Skizze, keine Implementierung), standardisierte Methodik und Automatisierung (Asset-Discovery läuft als Agent), 50 % Zahlung erst bei Delivery.

Wir haben kein AI-Budget — wir brauchen NIS2-Konformität.

Sie zahlen kein AI-Projekt. Sie zahlen einen NIS2-Maßnahmenkatalog. AI ist unser Werkzeug, nicht Ihr Projekt-Risiko. Auf der Rechnung steht "NIS2-Quick-Audit", in den Büchern steht "Compliance-Aufwand".

5–7 Werktage — geht das wirklich?

Ja, weil der Scope klar abgegrenzt ist. Wir liefern Maßnahmenkatalog und Asset-Inventory-Skizze, nicht die Implementierung. Tag 5 ist die Soll-Übergabe, Tag 6–7 ist der Puffer für komplexe OT-Landschaften.

Welche Datenzugriffe brauchen Sie?

Read-only-Zugriff auf maximal drei Quellen: aktuelle Asset-Liste, Lieferanten-Liste, Policy-/Richtlinien-Repository. Plus ein Kickoff-Call. Keine Produktiv-Eingriffe, keine VPN-Permanenz. NDA-Vorlage liefern wir mit dem Angebot.

Was passiert, wenn wir nach dem Quick-Audit nicht weitermachen wollen?

Sie behalten Maßnahmenkatalog und Asset-Inventory in voller Eigentumsschaft. Keine Verlängerungs-Klauseln, keine Vendor-Lock-in-Mechanik, keine Lizenzbindung an unseren Stack.

Auch für Versicherer, Finanzdienstleister oder Asset Manager (DORA)?

Ja. DORA-Anforderungen (insbesondere Art. 10–16 zum ICT-Risiko-Management) sind Teil unseres Methodik-Sets. Procurement-Zyklen in diesem Sektor liegen typischerweise bei 30–60 Tagen statt 20.

Leitfaden · NIS2

NIS2 für Stadtwerke — was 2026 wirklich gilt

Stadtwerke sind in fast allen Fällen NIS2-pflichtig — egal ob Strom, Wasser, Wärme oder ÖPNV. Dieser Leitfaden fasst zusammen, was die Geschäftsführung wissen muss, welche Pflichten konkret greifen und wie ein realistischer Umsetzungsplan in 90 Tagen aussieht.

29. Mai 2026 Aktualisiert: 29. Mai 2026 11 Min. Lesezeit

Sind Stadtwerke von NIS2 betroffen?

Die kurze Antwort: Ja, fast immer. NIS2 (Richtlinie EU 2022/2555, umgesetzt in Deutschland über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) erfasst Stadtwerke gleich über mehrere Sektoren:

Energie — Strom-, Gas-, Fernwärme- und Wasserstoffversorgung (Anhang I).
Trinkwasser — Versorgung und Aufbereitung (Anhang I).
Abwasser — wenn die Tätigkeit nicht nebensächlich ist (Anhang I).
Verkehr — ÖPNV-Betriebe und Hafenanlagen (Anhang I).
Digitale Infrastruktur — eigene Rechenzentren, falls für Dritte betrieben (Anhang II).

Die zweite Frage ist die nach der Einrichtungs-Klasse. Hier zählen die Schwellen ≥ 50 Mitarbeitende oder ≥ 10 Mio. € Jahresumsatz/Bilanzsumme:

Wesentliche Einrichtung — bei Großbetrieben (≥ 250 MA oder ≥ 50 Mio. € Umsatz) und bestimmten kritischen Sektor-Profilen.
Wichtige Einrichtung — bei mittleren Stadtwerken oberhalb der KMU-Schwelle.

Faustregel: Sobald Sie ein Kommunalversorger mit mehr als 50 Mitarbeitenden oder über 10 Mio. € Umsatz sind und einen der oben genannten Sektoren bedienen, sind Sie betroffen. Eine formale Anzeige bei BSI/BNetzA ist Pflicht — die Behörde wartet nicht, bis Sie sich melden, sondern leitet Verfahren auch von Amts wegen ein.

Fristen, Meldepflichten und Bußgelder

Der zentrale Stichtag der EU-Richtlinie war der 17. Oktober 2024. Das deutsche Umsetzungsgesetz ist verspätet — der Geltungsbeginn ist im Frühjahr 2026 gestaffelt in Kraft gesetzt. Was das praktisch heißt:

Pflicht	Frist	Sanktion bei Verstoß
Registrierung beim BSI	innerhalb von 3 Monaten ab Geltungsbeginn	bis 100.000 € (Ordnungswidrigkeit)
Implementierung der Mindest-Pflichten (§ 30)	laufend, prüfbar ab Geltungsbeginn	bis 10 Mio. € oder 2 % Konzernumsatz
Frühwarnung bei erheblichem Vorfall	24 Stunden ab Kenntnis	bis 7 Mio. € oder 1,4 % Umsatz
Meldung des Vorfalls	72 Stunden ab Kenntnis	siehe oben
Abschlussbericht	1 Monat nach Meldung	siehe oben

Wichtig: Bußgelder treffen die juristische Person, aber die persönliche Haftung der Geschäftsführung nach § 38 (Vorstandshaftung) bleibt davon unberührt. Mehr dazu im Abschnitt zu Rollen weiter unten.

Die 10 Mindest-Pflichten im Klartext

§ 30 zählt zehn technische und organisatorische Maßnahmen auf, die jede betroffene Einrichtung umsetzen muss. Die Reihenfolge folgt dem Gesetzestext — die Schwerpunkte für Stadtwerke kommentiere ich dahinter:

Risikoanalyse und Sicherheit für Informationssysteme — verpflichtende IT-Risikoanalyse mit Wiederholungs-Frequenz. Für OT-Anteile (Leitstand, SCADA) gehört das ICS-Risiko gleichberechtigt mit hinein.
Bewältigung von Sicherheitsvorfällen — dokumentiertes Incident-Response-Verfahren plus Übungen. Eine PDF aus 2019 reicht nicht.
Aufrechterhaltung des Betriebs — Backups, BCM, Krisen-Kommunikation. Stadtwerke brauchen auch Notfallpläne für die OT-Welt (Blindleitstand).
Sicherheit der Lieferkette — Vertragsklauseln, Lieferanten-Audits, Sub-Unternehmer-Transparenz. Siehe Abschnitt Lieferkette.
Sicherheit bei Erwerb, Entwicklung und Wartung — Patch-Prozesse, Schwachstellen-Management, Secure SDLC bei Eigenentwicklungen.
Bewertung der Wirksamkeit — KPI-basierte Wirksamkeitsmessung plus interne Audits.
Cyberhygiene und Schulungen — Awareness für alle Mitarbeitenden, speziell für privilegierte Rollen.
Kryptografie und Verschlüsselung — Inventar der genutzten Verfahren, Schlüsselverwaltung, Roadmap Richtung Post-Quanten.
Personalsicherheit, Zugriffskontrolle, Asset-Management — identitätsbezogene Zugriffe, Onboarding/Offboarding, vollständiges Asset-Inventar.
Multi-Faktor-Authentifizierung und sichere Kommunikation — MFA für alle administrativen Zugänge, gesicherte Sprach-/Video-/Text-Kommunikation intern und im Krisenfall.

Für Stadtwerke kommt aus § 31 noch hinzu: Einsatz von Systemen zur Angriffserkennung (SIEM/IDS) auf den Versorgungsanlagen. Das ist eine Pflicht, kein Vorschlag.

Pragmatische Umsetzung in 90 Tagen

Die meisten Stadtwerke unterschätzen den organisatorischen, nicht den technischen Aufwand. Dieser Plan funktioniert in der Praxis — Voraussetzung ist, dass die Geschäftsführung am Tag 0 ein klares Mandat erteilt und ein/e Verantwortliche/r benannt ist.

Phase 1 — Tage 1–14: Scope + Inventar

Betroffenheits-Bescheid formal feststellen (Einrichtungs-Klasse, Sektoren).
Asset-Inventar erstellen — getrennt IT und OT, getrennt eigene Systeme und Dienstleister-Systeme.
Schutzbedarfs-Analyse light, klassifiziert nach Verfügbarkeit/Integrität/Vertraulichkeit.

Phase 2 — Tage 15–45: Gap-Analyse und Maßnahmenkatalog

Soll-Ist-Vergleich gegen die 10 Mindest-Pflichten plus § 31 (Angriffserkennung).
Priorisierter Maßnahmenkatalog mit Schätzaufwand, Kosten, Ownership.
Quick Wins (MFA, Backup-Test, Awareness-Pflicht-Modul) parallel beginnen.

Phase 3 — Tage 46–75: Umsetzung Kern-Maßnahmen

Incident-Response-Prozess dokumentiert + Probe-Alarm durchgespielt.
Vertragsanpassung mit den drei kritischsten Dienstleistern (siehe Lieferkette).
SIEM/IDS-Aufbau gestartet (mind. Logging-Infrastruktur und Use-Cases definiert).

Phase 4 — Tage 76–90: Registrierung + Wirksamkeits-Nachweis

Registrierung beim BSI über das Meldeportal.
Internes Mini-Audit gegen die Mindest-Pflichten, Lücken-Liste festschreiben.
Maßnahmen-Roadmap für die nächsten 12 Monate beschließen lassen.

Diesen Plan setzen wir im Rahmen unseres NIS2-Quick-Audits in der Light-Variante in 5–7 Werktagen auf — Sie bekommen den priorisierten Maßnahmenkatalog als Festpreis-Lieferung und können die Umsetzung dann intern oder mit Ihrem IT-Dienstleister fahren.

Rollen, Verantwortlichkeiten, Vorstandshaftung

§ 38 schreibt vor: Die Geschäftsleitung muss die Umsetzung der Maßnahmen billigen und ihre Umsetzung überwachen. Persönliche Verantwortung kann sie nicht delegieren. Konkret heißt das:

Schulungspflicht für die Geschäftsleitung selbst — nicht nur für die Belegschaft. Mindestens jährlich, dokumentiert.
Pflicht zur Genehmigung des Maßnahmenkatalogs per Beschluss. Ohne Beschluss ist auch eine technisch saubere Umsetzung formal mangelhaft.
Haftungsrisiko bei Pflichtverletzungen — bis hin zur persönlichen Inanspruchnahme bei grober Fahrlässigkeit.

In der Praxis bauen Stadtwerke einen NIS2-Lenkungsausschuss mit Geschäftsführung, IT-Leitung, OT-Verantwortlichen, Datenschutz und Justiziariat. Quartalsweise Tagung, dokumentierte Beschlüsse, fertig.

Lieferkette und IT-Dienstleister-Verträge

Die Lieferketten-Pflicht ist der Punkt, den die meisten zu spät angehen. Sie sind verantwortlich für die Sicherheit der Dienstleistungen, die Dritte für Sie erbringen — nicht nur für die eigene Infrastruktur.

Konkret nötig:

Inventar aller Dienstleister mit Zugriff auf IT/OT-Systeme oder Daten.
Vertragsanpassungen mit Sicherheitsanforderungen, Audit-Recht, Sub-Unternehmer-Transparenz, Meldepflichten bei eigenen Vorfällen des Dienstleisters.
Risiko-Klassifizierung der Dienstleister (kritisch / wichtig / nicht-kritisch).
Periodische Überprüfung — bei kritischen Dienstleistern mindestens jährlich.

Konzepte für die Vertragsklauseln finden Sie in unserer Vorlage NIS2-Maßnahmenkatalog — inklusive Musterformulierungen für AV-Verträge und SLA-Annexe.

Audit-Vorbereitung (BSI/BNetzA)

BSI und BNetzA können jederzeit Nachweise verlangen oder ein Audit anordnen. Bei wesentlichen Einrichtungen ist mit regelmäßigen Prüfungen zu rechnen, bei wichtigen Einrichtungen mit anlassbezogenen Prüfungen.

Was bei einem Audit auf den Tisch muss:

Aktueller Risiko-Bericht und Risiko-Behandlungsplan.
Asset-Inventar mit Schutzbedarf.
Dokumentierter Incident-Response-Prozess plus Übungsprotokolle.
Maßnahmen-Tracking gegen die 10 Mindest-Pflichten plus § 31.
Schulungs- und Awareness-Nachweise inkl. Geschäftsführung.
Lieferanten-Register und Vertragsklauseln.
Beschlussprotokolle des Lenkungsausschusses.

Halten Sie das in einem schlanken GRC-Tool oder zur Not in einem strukturierten Confluence/SharePoint-Bereich. Wichtig ist die Auffindbarkeit binnen 24 h — die Prüfer warten nicht.

Kostenrahmen — was ist realistisch?

Wir sehen bei mittleren Stadtwerken (50–200 MA, ein bis zwei Sektoren) typische Größenordnungen für die erstmalige NIS2-Konformität:

Posten	Aufwand (einmalig)	Lauf. Aufwand p.a.
Externe Beratung (Audit, Maßnahmenkatalog, Coaching)	4 – 25 T€	5 – 15 T€
SIEM/IDS-Aufbau (Logging, Use-Cases, evtl. SOC-Anbindung)	20 – 80 T€	15 – 60 T€
Vertragsanpassungen Lieferanten (Anwalt + interne Zeit)	3 – 10 T€	1 – 3 T€
Awareness-Plattform und Schulungen	2 – 8 T€	2 – 6 T€
MFA-Rollout, Asset-Mgmt-Tooling, Backup-Härtung	10 – 40 T€	4 – 12 T€

Den größten Hebel zum Sparen liefert ein priorisierter Maßnahmenkatalog: 80 % Compliance-Wert mit 30 % des Budgets sind realistisch, wenn Sie die richtigen Quick Wins zuerst angehen. Genau das ist der Zweck unseres Quick-Audits.

Häufige Fragen

Müssen wir uns aktiv beim BSI registrieren oder werden wir angeschrieben?

Sie müssen sich aktiv selbst registrieren. Das BSI führt zwar eine eigene Erhebung, die Registrierungspflicht ruht aber bei Ihnen — Versäumnis ist eine Ordnungswidrigkeit.

Reicht unsere ISO-27001-Zertifizierung als Nachweis?

Sie ist eine sehr gute Basis und deckt die meisten Mindest-Pflichten ab, ist aber kein Freibrief. Insbesondere § 31 (Angriffserkennung), die expliziten Meldepflichten und die OT-spezifischen Anforderungen müssen Sie zusätzlich nachweisen.

Sind unsere Tochtergesellschaften separat zu betrachten?

Im Grundsatz ja — jede juristische Person ist eigenständig zu prüfen. Konzerne können Maßnahmen aber gemeinsam dokumentieren und auf Gruppen-Ebene umsetzen, solange jede Tochter die eigene Konformität nachweisen kann.

Was, wenn unser IT-Dienstleister selbst nicht NIS2-konform ist?

Das ist Ihr Problem, nicht seins. Sie müssen die Sicherheit der Dienstleistung sicherstellen — entweder durch Vertragsanpassungen, durch zusätzliche eigene Maßnahmen oder im Extremfall durch Anbieter-Wechsel. Mehr dazu im Pillar zu DORA und IT-Systemhäusern.

Können wir die Umsetzung outsourcen?

Die Umsetzung ja, die Verantwortung nein. Die Geschäftsführung bleibt persönlich verantwortlich für Billigung, Überwachung und die eigene Schulung. Externe Beratung kann Sie schneller machen, nicht haftungsfrei.

Bereit für die Umsetzung?

Dieser Leitfaden gibt Ihnen die Theorie. Den priorisierten Maßnahmenkatalog für Ihre Organisation liefern wir in 5–7 Werktagen zum Festpreis ab 4.000 €. Inklusive Asset-Inventory-Skizze, 50 % Zahlung erst bei Übergabe.

30-Min-Erstgespräch — Cal.com-Slot wählen

Lieber zur Übersichts-Seite mit Preisen und Methodik →