NIS2 for the Energy Sektor: Conformity in the areas Electric, Oil, Gas and Water
Who should read: Leadership forces from the energy industry, supply companies, producers, operating, supply teams, security teams and all that are responsible for compliance of the rules in the power, oil, gas, remote heat or water fuel operation.
The energy sector is defined in NIS2 ausdrücklich as decisive for the security and the welfare in Europe. The power, oil, gas, fernwärme and water fuel operation is in hang I as essential for the functions of the society. This sector is an increased regulation pressure and increased awards to the cybersecurity.
This guide provides a overview about the NIS2-compliance in the energy industry: who is affected from, what are the important security lücken and how compliance programs can be developed specific for energy companies.
Bereich des Energiesektors: Five Subsectors
NIS2 Anhang I, Sektor 1 umfasst fünf Teilsektoren im Energiesektor:
Electricity
The Subsector Electricity covers the entire supply chain from the production to distribution from:
Electricity company, the supply functions.
distribution networks betreiber (VNB), that manage the distribution networks, the supply the consumer with power.
Transmission network betreiber (ÜNB), the high voltage networks manage, the power between regions.
Stromerzeuger aus allen Quellen (fossile, erneuerbare, nukleare).
Nomated power market operator, the major market market.
Market participants, the aggregations-, demand response- or energy services offer.
Operators of ladestations for electric vehicles, they are responsible for administration and operation.
Konkret gilt: When they generate, transfer, distribute or supply in the EU and they reach the wave value for the corporate size (over 250 employees or over 50 million EUR sales), you fall in the payment area. If they less are minor, but were classified from their member state as unverzichtbar, you also in the payment area.
Fernwärme und Fernkühlung
Operators of remote heat or remote cooling systems — central heat or cooling systems, the building supply with heat water or cooling fluid — fallen in the power area. This includes both public as and private operator.
Oel
The Subsector oil includes production, transmission, storage and trade:
Operator of oil fernleitungen (large pipelines, the oil transport via entfernungen).
Operator of oil förderungs-, raffinerie- and aufbereitungsanlagen.
Operator of storage institutions.
Central Stock Companies (company, the strategic oil reserve).
All dies fällt in den Anwendungsbereich, wenn sie den Größenschwellenwert erreichen.
Gas
Der Teilsektor Gas ist breit gefächert:
Versorgungsunternehmen, die Gas an Kunden verkaufen.
distribution networks, that manage the distribution networks.
Transmission network betreiber, the high pressure networks.
storage system betreiber, the underird-gas storage.
LNG system operation, the plants for Liquid Gas and Regasification.
Erdgasunternehmen.
Operator of erdgasrefinery and aufbereitungsanlagen.
Waterstoff
A new sub-sector was added to the water energy strategy of the EU:
Operator of water production plants.
Operator of water store.
Operator of water stoffübertragungsnetze.
Waterfuel is still in the production, but with the growth of the Sector are these operating for the energy wende.
Nuclear Ueberlegungen
Ein besonderer Hinweis zur Kernenergie: NIS2 gilt ausdrücklich für Unternehmen, „die Aktivitäten im Bereich der Stromerzeugung aus Kernkraftwerken ausüben“.
In Erwägungsgrund 10 wird jedoch eingeräumt, dass einige nukleare Aktivitäten mit der nationalen Sicherheit zusammenhängen können. Wenn es um die nationale Sicherheit geht, kann ein Mitgliedstaat gemäß den EU-Verträgen die Verantwortung für den Schutz der nationalen Sicherheit in Bezug auf diese Aktivitäten, einschließlich Aktivitäten innerhalb der nuklearen Wertschöpfungskette, wahrnehmen.
In der Praxis bedeutet das:
Für Betreiber von Kernkraftwerken gilt die NIS2-konformität.
The members states can reserved specific aspects of nuclear cybersecurity (z. B. the protection sensitive national infrastructure) of the national security treatment.
The company should be considered by their national regulierungsbehörde (and the national security authorities), which NIS2 requirements for nuclear operations, and which outside of the NIS2 framework can be defined.
Cyber-Bedrohungslandschaft im Energiesektor
The Energy Sektor is unique cyber threats:
Staatlich geförderte Angriffe: The energy infrastructure is a target state förderter acteurs, which want down the resistance ability of the EU or the business interests of the EU. The Russia, China, the Iran and North Korea from attacks on energy targets worldwide.
Ransomware: Kriminelle Ransomware-Gruppen zielen auf Energieversorger, um finanzielle Gewinne zu erzielen. Ein erfolgreicher Angriff kann die Versorgung stören und wirtschaftliche Schäden melden.
Gefährdung der Lieferkette: Energieunternehmen sind von wichtigen Lieferanten abhängig (SCADA/ICS-Anbieter, Softwareanbieter, Auftragnehmer). If this providers kompromittiert, can be infiltrieren the energy operation.
Convergenz between physical and cybersecurity: The energy infrastructure is both physical (Pipelines, Umspannwerke, Powerworks) as also cybertechnisch. Ein Angreifer, the network systems kompromittiert, the physical infrastructure control, can messages physical damage.
Spionage: Competition and international government try, to collect information about energy operations, reserve, prices and geopolitik.
Insider-Bedrohungen: Mitarbeiter mit Kenntnissen im Energiebereich könnten vertrauliche Informationen preisgeben oder Systeme sabotieren.
Altsysteme: A major of energy infrastructure was built before years and used older control systems (SCADA, Distributed Control Systems), for the cybersecurity had no priority. Es kann schwierig oder kostspielig sein, this systems aufzurüsten und gleichzeitig die Betriebskontinuität aufrecht zu erhalten.
Energy specific challenges by the implementation
Energy Operators are in the implementation of NIS2 for special challenges:
Operating technology im Vergleich zu Information Technology
The energy operation support on operating technology (OT) — SCADA systems, industrial control systems (ICS), storage programmierbare Steuerungen (SPS) —, the physical infrastructure (Generators, Transformators, Valves, Switches) direct steuern. OT-Systeme unterscheiden sich grundlegend von IT-Systemen:
OT-Systeme priorisieren Verfügbarkeit und Sicherheit vor Vertraulichkeit. Ein Kraftwerk muss auch dann zuverlässig funktionieren, wenn die Konnektivität beeinträchtigt ist.
OT-Systeme verwenden häufig proprietäre Protokolle und ältere Standards (Modbus, DNP3), die nicht für moderne Cybersicherheit konzipiert sind.
OT-Systeme können lange Bereitstellungszyklen (mehr als 10 Jahre) haben, was ein schnelles Patchen schwierig macht.
Viele OT-Systeme unterstützen keine modernen Steuerungen wie die Multifaktor-Authentifizierung.
The implementation of NIS2 in OT-Umgebungen erfordert ein ausgewogenes Verhältnis zwischen Cybersicherheit und betrieblicher Kontinuität. They can not switch systems for patches or upgrades offline, if there is down the energy supply.
Legacy-Infrastruktur
The energy infrastructure is long-term. In den 1970er Jahren wurden Pipelines gebaut, die möglicherweise noch in Betrieb sind. Kraftwerke können jahrzehnte alt sein. These systems were not developed under impact of the cybersecurity.
The Requisting older infrastructure with modern cybersecurity controls is expensive and technisch anspruchsvoll. Ohne erhebliche Kapitalinvestitionen oder Betriebsunterbrechungen sind Sie möglicherweise nicht in der Lage, die Systeme so aufzurüsten, dass sie die NIS2-Anforderungen erfüllen.
strategy: I lead a risk assessment through, to identify the old systems with the highest risk and to priority upgrades. Sie implementieren für Systeme, die nicht aufgerüstet werden können, Ausgleichskontrollen (z. B. Netzwerksegmentierung, Überwachung, Zugriffskontrollen), um das Risiko zu verringern.
Vernetzte Systeme
Energiesysteme sind auf mehreren Ebenen miteinander verbunden:
TSO and DSOs are connected with Generators.
Energiemärkte verbinden mehrere Akteure für Handel und Koordination.
Energiesysteme hängen von externen Dienstleistungen ab (Telekommunikation, Gas zur Kühlung, Wasser zur Kühlung).
Ein Angriff auf eine Entität kann auf andere übergreifen. Is NIS2 must care for your own security, but they must also also be a clarity, how they could impact off the system on you can be impact and how they could impact on the system, and how they could impact over the system, as they could impact of the system.
This connection means also that the security of the supply chain is von entscheidender Bedeutung. Eine Sicherheitslücke bei einem SCADA-Anbieter könnte mehrere Energieversorger gleichzeitig infiltrieren.
Article 21 Translation in Energy Area
The teen measures after article 21 Abs. 2 applies for energy betreiber. So lassen sie sich auf Energiekontexte übertragen:
Risk Analysis and Security Guidelines
Energiebetreiber müssen Risikobewertungen durchführen, die sich insbesondere mit folgenden Themen befassen:
Bedrohungen der physischen Infrastruktur (Sabotage, Terrorism, Unfalls).
Threats for OT systems (Cyberangriffe on SCADA, SPS, communication).
Interdependenzen with other providers and critical services.
Delivery chain risk for SCADA providers and provider of control systems.
Umgang mit Vorfällen
The reaction of energy operator on zwischenfälle must be related with following topics:
Betriebskontinuität: how the operation are saved can, if systems damage or risk.
Physical security: How can be protected the personal if physical systems because of cyber attacks?
Coordination with other operator: How does the coordination, if a sectorübergreifender or cross-border case.
Delight tracking and supervisorys: Energy unfälle ziehen häufig die Aufmerksamkeit der Strafverfolgungsbehörden und der Aufsichtsbehörden auf sich.
Business Continuity
Energy Operators must also prevent the critical operation with larger zwischenfalls. Backup-Systeme für kritische Infrastrukturen sind unerlässlich. Für ein Kraftwerk könnte das bedeuten:
Alternative Steuerungssysteme, die kritische Funktionen können manuell ausgeführt werden, wenn Cybersysteme kompromittiert werden.
Offsite-Backup kritischer Systemkonfigurationen und Daten.
Notfallwiederherstellungsverfahren, die es dem Betreiber ermöglichen, Systeme innerhalb definierter Zeitziele zu erneuern (oft sehr knapp bemessen an Energie — Minuten oder Stunden, nicht Tage).
Safety of the supply chain
Energy Providers are provided in the following areas:
Software und Hardware für SCADA- und Steuerungssysteme.
Network and Telecommunications equipment.
Beratungs- und Wartungsdienste.
Die Sicherheit der Lieferkette für diese Anbieter ist von entscheidender Bedeutung. Ein kompromittierter SCADA-Anbieter ist eine Gefahr für jeden Energieversorger, der seine Produkte verwendet.
Implementierung: Bewertung aller wichtigen Lieferanten, Anforderung von Sicherheitszertifizierungen, vertragliche Verpflichtung zur Meldung von Sicherheitslücken und schnelles Patchen sowie Erstellung von Notfallplänen für den Fall, dass ein kritischer Lieferant gefährdet ist.
Sichere Entwicklung
Für Energiebetreiber, die kundenspezifische Software oder Firmware entwickeln:
Erfordern sichere Entwicklungspraktiken (sichere Codierung, Codeüberprüfung, Testen).
Implementieren Sie die Behandlung und Offenlegung von Sicherheitslücken.
Testen Sie die Software gründlich, bevor Sie sie in Produktionsumgebungen einsetzen.
Für Anbieter, die Produkte und Dienstleistungen anbieten:
Fordern Sie sie auf, Sicherheitslücken offenzulegen und Patches bereitzustellen.
Fordern Sie sie auf, Sicherheitsbewertungen ihrer Produkte durchzuführen.
Bewertung der Wirksamkeit
Energiebetreiber müssen ihre Cybersicherheitskontrollen regelmäßig überprüfen:
Führen Sie Tabletop-Übungen durch, bei denen Cyberangriffe auf kritische Systeme simuliert werden.
Führen Sie Penetrationstests von Netzwerkperimetern und OT-Systemen durch (vorsichtig, um Betriebsunterbrechungen zu vermeiden).
Überprüfen Sie die Protokolle von OT-Systemen, um verdächtige Aktivitäten zu erkennen.
Messen Sie wichtige Kennzahlen: mittlere Erkennungszeit (MTTD) für Eindringversuche, mittlere Reaktionszeit (MTTR) für Vorfälle, Prozentsatz der gepatchten Systeme usw.
Cyberhygiene und Schulung
Mitarbeiter des Energiesektors benötigen Sicherheitsschulungen, die ihren Rollen entsprechen:
Betriebspersonal: wie erkennt man Angriffe, wie meldet man verdächtige Aktivitäten, physische Sicherheitsmaßnahmen.
IT-/OT-Mitarbeiter: sichere Entwicklung, Patch-Management, Zugriffskontrolle, Reaktion auf Vorfälle.
Management: Verständnis von Cybersicherheitsrisiken, Unternehmensführung, Lieferkettenrisiko.
Kryptographie
Energiesysteme kommunizieren oft sensible Steuerinformationen. Kryptografie ist unerlässlich:
Verschlüsseln Sie die Steuerkommunikation zwischen Feldgeräten und Zentralsystemen.
Verschlüsseln Sie alle Daten, die über öffentliche Netzwerke übertragen werden.
Verwenden Sie für industrielle Protokolle kryptografische Erweiterungen (z. B. DNP3 Secure Authentication, IEC 62351-1 für Stromversorgungssysteme).
Zutrittskontrolle
Energiesysteme haben viele Zugangspunkte:
Fernzugriff für Wartung und Überwachung.
Zugriff von Kontrollzentren und Versandeinrichtungen aus.
Zugriff von technischen Arbeitsplätzen aus.
Jeder Zugriff sollte protokolliert und überwacht werden. Eine mehrstufige Authentifizierung für Fernzugriff und privilegierten Zugriff ist unerlässlich.
Mehrstufige Authentifizierung
Implementieren Sie MFA für:
Administrativer Zugriff auf OT-Systeme.
Fernzugriff auf Energieanlagen.
Zugang zu kritischen Kontrollsystemen.
Implementieren Sie für ältere OT-Systeme, die MFA nicht unterstützen, Ausgleichskontrollen (VPN mit MFA, Netzwerksegmentierung, Überwachung).
Risikobewertung der Lieferkette im Energiesektor
Artikel 22 ermächtigt die Kooperationsgruppe, koordinierte Risikobewertungen kritischer Lieferketten durchzuführen. Für den Energiesektor gehören zu den wichtigsten Risiken in der Lieferkette:
SCADA- und ICS-Anbieter: Ein kompromittierter Anbieter könnte mehrere Energieversorger infiltrieren. Bei diesen Anbietern ist die gebotene Sorgfalt unerlässlich.
Telekommunikationsanbieter: Energieversorger sind für die Kommunikation zwischen Standorten auf Telekommunikation angewiesen. Ein kompromittierter Telekommunikationsanbieter könnte den Energiebetrieb stören.
Hardwarelieferanten: Manipulationen an Hardware (Server, Netzwerkausrüstung, Steuergeräte) könnten Systeme gefährden.
Lieferkette für erneuerbare Energien: Hersteller von Solarmodulen, Hersteller von Windturbinen und deren Lieferketten.
Überwachen Sie die Bewertungen der Energieversorgungsketten durch die Cooperation Group und integrieren Sie die Ergebnisse in Ihr Lieferantenmanagement.
Überlegungen zur nationalen Sicherheit
Energie ist für die nationale Sicherheit von entscheidender Bedeutung. Die EU-Mitgliedstaaten haben ein starkes Interesse daran, die Energieinfrastruktur vor Bedrohungen aus dem Ausland zu schützen.
Für einige NIS2-Verpflichtungen können nationale Sicherheitsvorkehrungen getroffen werden. Zum Beispiel:
Ein Mitgliedstaat kann den Standort bestimmter Energiesysteme einschränken.
Ein Mitgliedstaat kann einschränken, welche Anbieter kritische Komponenten liefern können.
Ein Mitgliedstaat kann bestimmte Energieinfrastrukturen als sensibel für die nationale Sicherheit einstufen, wodurch der Informationsaustausch eingeschränkt wird.
Energieversorger sollten mit ihren nationalen Sicherheitsbehörden (häufig Teil des Verteidigungsministeriums oder der Nachrichtendienste) zusammenarbeiten, um zu klären, welche NIS2-Verpflichtungen gelten und welche im Rahmen der nationalen Sicherheitsrahmen behandelt werden können.
Zeitplan und Roadmap für die Einhaltung der Vorschriften
Für Energiebetreiber sieht der Zeitplan für die Einhaltung der Vorschriften wie folgt aus:
Am 17. Oktober 2024: Die Anforderungen an die Unternehmensführung (Artikel 20) wurden verbindlich. Die Verwaltungsräte müssen Cybersicherheitsmaßnahmen genehmigen, die Umsetzung überwachen und die Rechenschaftspflicht übernehmen.
Bis 12. Mai 2025: vollständige Einhaltung der Artikel 21 (Cybersicherheitsmaßnahmen) und Artikel 23 (Meldung von Vorfällen).
Für Energiebetreiber sollten die Sofortmaßnahmen Folgendes beinhalten:
Ermitteln Sie Ihren Umfangsstatus: Sind Sie eine wichtige oder wichtige Einheit? Klären Sie dies mit der Aufsichtsbehörde Ihres Mitgliedstaats ab.
Führen Sie eine Bewertung des Cybersicherheitsrisikos durch, die sich speziell mit Energieinfrastruktur, OT-Systemen und Lieferkettenrisiken befasst.
Ordnen Sie Ihre derzeitigen Praktiken Artikel 21 Absatz 2 zu und identifizieren Sie Lücken.
Entwickeln Sie einen Umsetzungsplan, der Lücken mit hohem Risiko priorisiert.
Binden Sie Ihren Vorstand durch vierteljährliche Berichte und formelle Genehmigungen in die Cybersicherheits-Governance ein (Artikel 20).
Beginnen Sie mit Lieferantenbewertungen für wichtige Lieferanten (SCADA-Anbieter, Telekommunikationsanbieter usw.).
Richten Sie Kapazitäten zur Reaktion auf Vorfälle ein, mit denen schwerwiegende Vorfälle innerhalb von 72 Stunden erkannt und gemeldet werden können.
Führen Sie Sicherheitsbewertungen (Penetrationstests, Schwachstellenscans) von OT-Systemen durch.
Aktualisieren Sie alle Sicherheitsrichtlinien, um den NIS2-Anforderungen Rechnung zu tragen.
Testen Sie die Fähigkeit, auf Vorfälle zu reagieren, anhand von Übungen am Tisch.
Ressourcen des Energiesektors
Organisationen wie ENISA, die Europäische Agentur für Netz- und Informationssicherheit, bieten sektorspezifische Leitlinien an. Suchen Sie nach:
ENISA-Berichte über bewährte Verfahren zur Cybersicherheit im Energiesektor.
Durchführungsrechtsakte der Kommission speziell für Energieunternehmen.
Beratung durch die Aufsichtsbehörde Ihres Mitgliedstaats.
Branchengruppen und Verbände, die Branchenberatung anbieten können (z. B. Eurelectric für den Stromsektor, Gas Infrastructure Europe für den Gassektor).
Wichtige Erkenntnisse
- Der Energiesektor (Elektrizität, Öl, Gas, Fernwärme, Wasserstoff) ist gemäß NIS2 ausdrücklich von entscheidender Bedeutung; der Geltungsbereich umfasst Generatoren, ÜNB, VNB, Hersteller, Speicherbetreiber und Lieferanten; es gilt der Schwellenwert (über 250 Mitarbeiter oder über 50 Mio. EUR Umsatz), hinzu kommt der Ermessensspielraum der Mitgliedstaaten für kleinere Unternehmen.
- Energieversorger stehen vor einzigartigen Cybersicherheitsherausforderungen: betriebstechnische Systeme, die auf Zuverlässigkeit und nicht auf Sicherheit ausgelegt sind, veraltete Infrastrukturen, die schwer zu modernisieren sind, miteinander verbundene Systeme, die kaskadierende Risiken bergen, und staatlich geförderte Bedrohungen für die Energieinfrastruktur.
- Die Maßnahmen nach Artikel 21 müssen auf den Energiekontext zugeschnitten sein: Bei der Risikobewertung müssen physische Bedrohungen und OT-Systeme berücksichtigt werden, Geschäftskontinuität ist von entscheidender Bedeutung (Systeme müssen betriebsbereit bleiben), die Sicherheit der Lieferkette ist von entscheidender Bedeutung (SCADA-Anbieter sind wichtige Ziele), und für alle Fernzugriffe und privilegierten Zugriffe muss eine Multifaktor-Authentifizierung implementiert werden.
- Die Integration von Energie-OT ist eine Herausforderung: SCADA- und ältere Systeme unterstützen möglicherweise keine modernen Steuerungen; Ausgleichskontrollen (Netzwerksegmentierung, Überwachung, Zugriffsprotokolle) sind unerlässlich, wenn Systeme nicht aufgerüstet werden können; nationale Sicherheitsüberlegungen können bestimmte Verpflichtungen von NIS2 erfordern.
- Der Zeitplan für die Einhaltung der Vorschriften ist knapp: Die Geschäftsführung (Artikel 20) wurde im Oktober 2024 verbindlich; die vollständige Einhaltung von Artikel 21 und Artikel 23 ist bis Mai 2025 erforderlich; Energieversorger sollten umgehend Risikobewertungen durchführen, Lücken kartografieren, Umsetzungspläne ausarbeiten und Gremien mit der Cybersicherheitssteuerung beauftragen.
- Die Sicherheit der Lieferkette ist für den Energiesektor von entscheidender Bedeutung: SCADA-Anbieter, Telekommunikationsanbieter und Hardwarelieferanten sind wichtige Ziele; Lieferantenbewertungen, vertragliche Sicherheitsanforderungen und Zeitpläne für die Meldung von Zwischenfällen sind unerlässlich; überwachen Sie die Bewertungen der Energieversorgungsketten durch die Kooperationsgruppe.
