Bundesnetzagentur stuft HGÜ-Steuerung als kritische Infrastruktur ein

Ab sofort gelten die Steuerungssysteme für Hochspannungs-Gleichstrom-Übertragung (HGÜ) in Deutschland als kritische Funktionen. Die Bundesnetzagentur setzt damit heute eine zentrale Vorgabe des verschärften IT-Sicherheitsrechts um. Die neuen Regeln betreffen das digitale Rückgrat der Energiewende.

Neue Ära für die Sicherheit des Stromnetzes

Die Festlegung der kritischen Funktionen durch die Bundesnetzagentur (BNetzA) ist ein Meilenstein. Sie betrifft vor allem die sensibelste Technologie im Netz: die Steuerungs- und Schutzsysteme der HGÜ-Verbindungen. Diese Leitungen, wie der geplante SuedLink, sind für den Transport von Windstrom aus dem Norden in den Süden unverzichtbar. Ihre Digitalisierung macht sie aber auch angreifbar.

„Mit der zunehmenden Digitalisierung der Energiewirtschaft und der geopolitischen Bedrohungslage müssen sich die Sicherheitsanforderungen weiterentwickeln“, begründet die Behörde den Schritt. Die Einstufung als kritisch löst eine Kaskade strengerer Pflichten aus. Betreiber müssen nun nachweisen, dass ihre IT-Sicherheit auf dem Stand der Technik ist.

Viele Energieversorger unterschätzen, wie stark die neue NIS‑2-Regelung und die Einstufung von HGÜ‑Steuerungen als “kritische Funktionen” ihre IT-Sicherheit gefährden. Ab 2026 drohen Audits, hohe Bußgelder und sogar persönliche Haftung für Verantwortliche – ein praxisorientierter, kostenloser Leitfaden erklärt die wichtigsten Schutzmaßnahmen für Operational Technology (OT), Prioritäten bei der Absicherung von Steuerungssystemen und erste Schritte, die Betreiber sofort umsetzen sollten. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Neben den großen Übertragungsnetzbetreibern wie TenneT oder 50Hertz sind auch Betreiber von Offshore-Windparks unmittelbar betroffen. Für sie gelten alle IT-Funktionen aus dem IT-Sicherheitskatalog der BNetzA nun pauschal als kritisch.

Schnelle Umsetzung der EU-Richtlinie NIS-2

Der heutige Stichtag ist das Ergebnis eines legislativen Endspurts. Deutschland setzte die EU-Cybersicherheitsrichtlinie NIS-2 über das NIS2-Umsetzungsgesetz vergleichsweise schnell in nationales Recht um. Dieses trat bereits am 6. Dezember in Kraft.

Die heutige, sektorspezifische Regelung basiert auf einer Änderung des Energiewirtschaftsgesetzes (EnWG). Sie erlaubt es der BNetzA, technische Prozesse zu definieren, die für das Überleben der Energieversorgung essenziell sind. Damit verbindet sie die allgemeinen NIS-2-Anforderungen mit dem energiewirtschaftlichen Spezialrecht.

Ein zentraler Punkt: Die neuen Vorgaben zielen besonders auf die Operational Technology (OT). Das ist die Ebene der industriellen Steuerungssystems, die direkt die physikalischen Prozesse im Netz regeln. Sie galt lange als weniger geschützt als die Büro-IT.

Harte Konsequenzen für Netzbetreiber

Die praktischen Auswirkungen des heutigen Tages sind erheblich. Die Betreiber stehen vor umfangreichen neuen Compliance-Pflichten.

• Zertifizierungspflicht: Der Geltungsbereich von ISO-27001-Zertifikaten muss nun explizit die HGÜ-Steuerungssysteme als kritische Assets umfassen. Dies ist keine Empfehlung mehr, sondern eine behördlich überwachte Vorgabe.
• Meldepflichten: Störungen dieser Systeme müssen nun sofort dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden – auch wenn es nicht zu einem Blackout kommt. Geschützt ist nun die Integrität des Steuerungssystems selbst.
• Lieferantenprüfung: Bei der Beschaffung für HGÜ-Projekte gilt ein verschärftes Prüfverfahren für kritische Komponenten. Die Bundesregierung kann so Technologie von als riskant eingestuften Herstellern ausschließen.

Besonders für viele Offshore-Windparkbetreiber bedeutet die pauschale Einstufung eine Herausforderung. Sie müssen oft veraltete Steuerungstechnik nachrüsten, um den strengen Überwachungs- und Verschlüsselungsstandards zu genügen.

Energiewende im Fadenkreuz

Die Timing der Regelung unterstreicht die Dringlichkeit. Die Energiewende macht das Stromnetz dezentraler und digitaler – und damit angreifbarer. Jede neue Windkraftanlage, jedes Steuerungssystem vergrößert die Angriffsfläche.

Indem die Bundesregierung die HGÜ-Steuerung unter nationale Schutzmaßnahmen stellt, stellt sie sie unter nationalen Schutz. In ihrer strategischen Bedeutung sind diese Systeme vergleichbar mit den Leitwarten von Kernkraftwerken in der Vergangenheit.

Deutschland liegt mit der schnellen und detaillierten Umsetzung der NIS-2-Richtlinie im EU-Vergleich vorn. Die sektorspezifische Schärfe der BNetzA-Regelung spiegelt die deutsche Abhängigkeit von einem stabilen Industriestromnetz wider.

Was kommt 2026? Die Welle der Audits

Mit dem Inkrafttreten der Regeln beginnt die Phase der Überprüfung. Die Bundesnetzagentur wird in den kommenden Audits ab 2026 den Nachweis für die Umsetzung verlangen.

Die Risiken bei Verstößen sind hoch. Das neue NIS-2-Regime sieht drastisch erhöhte Bußgelder vor: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Bei grob fahrlässiger Pflichtverletzung kann sogar die Geschäftsführung persönlich haften.

Die Netzbetreiber werden in den kommenden Monaten ihre IT-Sicherheitskataloge aktualisieren und Lückenanalysen durchführen müssen. Für die deutsche Energiewirtschaft beginnt damit eine Ära, in der die digitale Widerstandsfähigkeit genauso reguliert und überwacht wird wie die physikalische Stabilität der Netzspannung.

PS: Sie wollen Audits bestehen und Bußgelder vermeiden, ohne die IT-Abteilung zu überlasten? Das kostenlose E‑Book “Cyber Security Awareness Trends” zeigt, welche pragmatischen, kosteneffizienten Maßnahmen Netzbetreiber, Übertragungsnetzbetreiber und Offshore-Anlagen jetzt umsetzen sollten – von Lieferantenprüfung über OT‑Härtung bis zur Dokumentation für BNetzA- und BSI-Prüfungen. Jetzt kostenlosen Cyber-Security-Leitfaden sichern