Die NIS-2-Richtlinie markiert einen Wendepunkt für die Cybersicherheit in Europa. Was lange Zeit vor allem große KRITIS-Betreiber betraf, rückt nun deutlich breiter in den Fokus: Energieversorger, kommunale Unternehmen und öffentliche Einrichtungen mit kritischer Infrastruktur – darunter zahlreiche Stadtwerke – unterliegen künftig verbindlichen und erweiterten Anforderungen an ihre Informationssicherheit.
Der Beitrag zeigt, wann Stadtwerke und Kommunen unter NIS-2 fallen, welche Anforderungen gelten und wie eine strukturierte Umsetzung gelingen kann.
Warum NIS-2 für Stadtwerke und Kommunen relevant ist
Wer konkret betroffen ist
Ein Stadtwerk oder eine Kommune fällt insbesondere dann unter NIS-2, wenn sie in einem kritischen Sektor wie der Strom-, Gas- oder Wärmeversorgung tätig ist und in der Regel mindestens 50 Mitarbeitende oder 10 Mio. Euro Jahresumsatz erreicht. Unabhängig von diesen Schwellen kann eine Betroffenheit auch dann bestehen, wenn eine Organisation eine zentrale Versorgungsfunktion für eine Region übernimmt oder als einziger Anbieter eine kritische Dienstleistung erbringt. Gerade für kommunale Versorger ist daher eine sorgfältige Einordnung entscheidend.
Welche Anforderungen NIS-2 konkret stellt
Ganzheitliches Risikomanagement statt Einzelmaßnahmen
NIS-2 verlangt ein strukturiertes Risikomanagement. Es geht nicht um einzelne IT-Systeme oder punktuelle Schutzmaßnahmen, sondern um eine ganzheitliche Resilienz der Organisation. Dazu gehören unter anderem:
Zentrale Pflichten im Überblick
- systematische Risikoanalysen und regelmäßige Überprüfung der Wirksamkeit getroffener Maßnahmen,
- technische Schutzmaßnahmen nach dem Stand der Technik (z. B. Zugriffskontrollen, Netzwerksegmentierung, Monitoring),
- klare Prozesse zur Erkennung und Behandlung von Sicherheitsvorfällen inklusive 24h-/72h-Meldepflichten,
- Einbindung und Schulung der Geschäftsleitung,
- Berücksichtigung von Lieferketten und Dienstleistern.
Nachhaltige Verankerung im Unternehmen durch die Etablierung eines Informationssicherheitsmanagementsystems (ISMS)
Solche Anforderungen lassen sich nicht isoliert erfüllen. Sie können ganzheitlich durch den Aufbau oder die Weiterentwicklung eines ISMS umgesetzt und nachhaltig im Unternehmen verankert werden.
Vom IT-Thema zur strategischen Aufgabe um die Resilienz gegen reale Bedrohungen zu stärken
Für viele kommunale Einrichtungen bedeutet das einen strukturellen Wandel: Informationssicherheit wird vom IT-Thema zum strategischen Thema. Ziel ist es, die eigene Organisation widerstandsfähiger gegenüber realen Bedrohungen wie Ransomware oder gezielten Angriffen auf Versorgungsstrukturen zu machen.
Wie wir bei der Umsetzung von NIS-2 unterstützen
Betroffenheit klar analysieren
Ein zentrales Thema in der Praxis ist die Frage der Betroffenheit. Wir unterstützen bei einer fundierten Betroffenheitsanalyse und schaffen Klarheit, ob und in welchem Umfang NIS-2 Anwendung findet. Besteht Relevanz, führen wir eine strukturierte GAP-Analyse durch und gleichen bestehende Strukturen mit den Anforderungen der NIS-2 Richtlinie ab.
Unabhängig und praxisnah beraten
Dabei gehen wir transparent und verständlich vor. Wir sind weder an bestimmte Softwarelösungen noch an Hersteller gebunden, sondern beraten unabhängig auf Basis unseres fachlichen Know-hows. So können wir individuell auf die Anforderungen unserer Mandanten eingehen und Informationssicherheit nachhaltig stärken.
Integration statt Parallelsysteme
Unser Ziel ist es, die NIS-2-Anforderungen nicht isoliert zu betrachten, sondern in bestehende Prozesse und Strukturen zu integrieren – ohne parallele Systeme, aber mit klarer Verantwortung und langfristiger Wirkung.
Stand Februar 2026
