KRITIS Energie: Pflichten für Versorger 2026

Energieversorger stehen 2026 im Zentrum zweier Regulierungswellen. Das KRITIS-Dachgesetz adressiert physische Resilienz, NIS-2 die Cyber-Resilienz, die KritisV definiert die Schwellenwerte. Dieser Text richtet sich an Sicherheitsleiter und Asset-Owner bei Übertragungs- und Verteilnetzbetreibern sowie Erzeugern. Wir benennen Pflichten, Bedrohungslage, Kosten und Implementierungspfad mit konkreten Zahlen.

KRITIS Energie: Was Versorger 2026 konkret schützen müssen

Der Sektor Energie nach §2 KritisV umfasst sechs Teilbereiche: Stromerzeugung, Übertragung, Verteilung, Gas, Mineralöl und Fernwärme. Die Topologien sind heterogen. Ein Übertragungsnetzbetreiber schützt wenige Hochspannungs-Knoten mit hoher Kritikalität. Ein Verteilnetzbetreiber verantwortet hunderte Ortsnetzstationen mit niedrigerer Einzelkritikalität, aber großer Angriffsfläche.

Der Schwellenwert für Stromversorgung liegt bei 3.700 GWh pro Jahr oder 500.000 versorgten Personen. Die KritisV legt für Stromversorgung den Schwellenwert von 3.700 GWh pro Jahr fest. Gas, Mineralöl und Fernwärme haben eigene Schwellen, definiert in Anlage 1 der Verordnung. Wer überschreitet, fällt in die Betreiberpflichten nach BSI-Gesetz und ab 2026 zusätzlich unter das Dachgesetz.

Das KRITIS-Dachgesetz erweitert die Pflichten auf physische Resilienz. Bisher lag der Fokus auf Cyber. Jetzt müssen Versorger Perimeterschutz, Zutrittskontrolle und physische Detektion in einen Resilienzplan integrieren. Primäre Angriffsziele sind Umspannwerke, Schalthäuser, Erdgasverdichterstationen und Konverteranlagen für HGÜ-Trassen.

Sabotagefälle an Glasfaser- und Stromtrassen seit 2022 haben die Bedrohungslage neu definiert. Der Anschlag auf die Bahn-Datenkabel im Oktober 2022 und die Sabotage an Nord Stream haben gezeigt, dass linienförmige Infrastruktur und unbemannte Standorte angreifbar sind. Eine Übersicht der betroffenen Sektoren liefert unsere Seite KRITIS-Sektoren im Überblick.

Rechtsrahmen: Dachgesetz, NIS-2 und KritisV im Zusammenspiel

Drei Regelwerke greifen ineinander. Das KRITIS-Dachgesetz regelt physischen Schutz und Resilienz. NIS-2 deckt Cybersicherheit und Lieferkettenrisiken. Die KritisV definiert die Schwellenwerte, ab denen ein Unternehmen als Betreiber gilt.

Das KRITIS-Dachgesetz definiert physische Resilienzpflichten für Energieversorger und Meldefristen für Vorfälle. Die Registrierungspflicht beim BBK als zuständige Registrierungs- und Aufsichtsbehörde für Betreiber kritischer Infrastrukturen gilt innerhalb von drei Monaten nach Schwellenüberschreitung. Der Resilienzplan enthält Risikoanalyse, technische und organisatorische Schutzmaßnahmen sowie Verfahren zur Vorfallsmeldung binnen 24 Stunden.

Die NIS-2-Richtlinie verpflichtet Energieunternehmen zu Risikomanagement und Vorfallsmeldungen mit Vorstandshaftung. Artikel 21 listet zehn Mindestmaßnahmen, darunter physische Sicherheit der Anlagen. Artikel 23 regelt die gestaffelten Meldefristen: 24 Stunden Frühwarnung, 72 Stunden Vorfallsmeldung, ein Monat Abschlussbericht.

Bußgelder erreichen 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Geschäftsführungen haften persönlich für Versäumnisse bei Schutzmaßnahmen und Meldepflichten. Die Pflichten sind in unserer Übersicht zu den Anforderungen des KRITIS-Dachgesetzes detailliert.

Bedrohungslage 2026: Sabotage, Drohnen, Innentäter

Drohnenüberflüge an Umspannwerken im DACH-Raum sind seit 2023 in BBK-Lagebildern dokumentiert. Die Profile reichen vom Hobbyisten bis zum gezielten Aufklärungsflug. Eine Drohne über 250 Gramm in einer ED-R-Zone ist meldepflichtig, der Betreiber muss reagieren können.

Kupferdiebstahl an Erdungsanlagen und Sammelschienen verursacht Schäden im sechsstelligen Bereich pro Vorfall. Der Materialwert ist Nebensache, die Folgeschäden durch Ausfall und Reparatur dominieren. Ein Verteilnetzbetreiber meldete 2024 einen Vorfall mit 480.000 Euro Schadenssumme bei einem Materialwert unter 8.000 Euro.

Hybride Angriffe kombinieren physische Sabotage mit Cyber-Komponenten. Ein Angreifer manipuliert die Leittechnik, parallel werden physische Detektoren ausgelöst oder ausgeschaltet. Solche Szenarien sind im Lagebild der Bundesnetzagentur seit 2023 verzeichnet.

Innentäterszenarien betreffen besonders dezentrale Standorte ohne Personalpräsenz. Wartungsfirmen, Subunternehmer und ehemalige Mitarbeiter kennen Schlüssel, Codes und Schwachpunkte. Die Reaktionszeit konventioneller Wachdienste an unbemannten Standorten liegt zwischen 20 und 45 Minuten, abhängig von Lage und Verkehr. In dieser Zeit kann ein vorbereiteter Angreifer eine Erdungsanlage demontieren oder Steuerungstechnik manipulieren.

Perimeterschutz für Umspannwerke und Erzeugungsanlagen

Zaun, Videoüberwachung und Bewegungsmelder sind Mindeststandard. Sie liefern aber nur Detektion, keine Verifikation und keine Reaktion. Wer ein Umspannwerk mit reiner Videoüberwachung absichert, hat im Audit ein Problem: die Reaktionskette endet bei der Leitstelle, nicht am Tatort.

Thermalbildkameras erkennen Personen bei Nacht, Nebel und Vegetation auf 200 Meter. Sie sind robust gegen Witterung, aber statisch in der Perspektive. Tote Winkel zwischen Transformatoren, Schaltanlagen und Gebäuden bleiben.

Autonome Patrouillen schließen die Lücke zwischen statischer Sensorik und externer Wachreaktion. Ein Roboter bewegt sich durch das Gelände, verifiziert Alarme vor Ort und liefert Bildmaterial an die Leitstelle. Die Reaktionszeit sinkt von 20 bis 45 Minuten auf unter 90 Sekunden für Detektion und Verifikation.

LiDAR-Detektion ortet Drohnen unter 30 Meter Höhe, wo Radarsysteme blind sind. Konventionelles Radar ist auf größere Flughöhen ausgelegt, kleine Multikopter im Anflug auf ein Umspannwerk fliegen darunter. LiDAR füllt diese Lücke.

Ein Mehrschicht-Konzept aus Detektion (Sensorik), Verifikation (Robotik) und Eskalation (Leitstelle plus Polizei) reduziert Fehlalarme um rund 80 Prozent gegenüber reiner Sensorik. Der Grund: jeder Alarm wird vor Eskalation durch ein zweites System bestätigt.

Robotik im Energie-Perimeter: QR-2 und QR-3 im Einsatz

Der QR-2 patrouilliert 24/7 outdoor mit Thermal- und Personenerkennung an Umspannwerken. Er bewältigt unbefestigte Wege, Schotter und Gefälle bis 20 Prozent. Einsatztemperatur von minus 10 bis plus 45 Grad Celsius deckt den DACH-Raum ab. Details liefert die Produktseite QR-2 für 24/7-Outdoor-Patrouille.

Der QR-3 ist für Hochsicherheits-Standorte und Erzeugungsanlagen ausgelegt. Er kombiniert LiDAR mit Drohnendetektion und höherer Geländegängigkeit. Konverterstationen, Kernkraftwerksgelände und HGÜ-Endpunkte sind seine typischen Einsatzorte. Spezifikation auf der Seite QR-3 mit LiDAR und Drohnendetektion.

Patrouillenrouten sind pro Schicht konfigurierbar, mit randomisierten Zeitfenstern gegen Mustererkennung. Ein Innentäter, der die feste Rundenzeit eines Wachdienstes kennt, hat bei einer randomisierten Route keinen verlässlichen Angriffskorridor.

Die Direktaufschaltung erfolgt auf die Leitstelle und das SOC des Versorgers über verschlüsselten Mobilfunkkanal mit redundantem Backup. Alarme erreichen den Dispatcher in unter zwei Sekunden, inklusive Bildmaterial.

Robotik dokumentiert jede Patrouille beweissicher gemäß Resilienzplan-Anforderungen. Zeitstempel, GPS-Position, Sensordaten und Bildmaterial werden manipulationssicher gespeichert. Im Audit ist das die Nachweisform, die die Aufsichtsbehörde sehen will.

Kostenrahmen: Wachschutz versus Roboter-Patrouille

Ein 24/7-Wachposten kostet 15.000 bis 25.000 Euro pro Monat bei Vollabdeckung über drei Schichten. Die Spanne ergibt sich aus Tarifregion, Qualifikation (§34a, Werkschutz) und Zuschlägen für Nacht und Wochenende. Die Sicherheitswirtschaft weist Personalengpässe und steigende Lohnkosten im 24/7-Objektschutz aus, Tendenz weiter steigend.

QR-2 als Robotics-as-a-Service kostet 3.500 Euro pro Monat, ohne CapEx, mit 24 Monaten Mindestlaufzeit. Wartung, Software-Updates und Ersatzgerät bei Defekt sind enthalten. Mehr zum Modell auf der Seite Robotics-as-a-Service Modell.

Bei 12 dezentralen Standorten ergibt sich eine Differenz von über 1,5 Millionen Euro pro Jahr zwischen Vollwachschutz und reiner Roboter-Patrouille. Den vollständigen Kostenvergleich liefert unser TCO-Vergleich Wachschutz.

Die Lieferung erfolgt 48 Stunden nach Vertragsabschluss, die Inbetriebnahme durch Quarero-Techniker. Mapping des Geländes, Routendefinition und Anbindung an die Leitstelle laufen innerhalb von fünf Werktagen.

Hybride Modelle kombinieren reduzierte Wachpräsenz mit autonomer Patrouille. Ein Wachposten am Hauptstandort, Roboter an den unbemannten Außenstandorten. Das ist in der Praxis das wirtschaftlichste Modell für Verteilnetzbetreiber mit verteilter Topologie.

Was Roboter nicht leisten: Eingriffshandlungen mit Gewaltanwendung, juristische Identitätsfeststellung, soziale Deeskalation bei Demonstrationen. Für diese Aufgaben bleibt menschliches Personal nötig. Roboter sind Detektions- und Verifikationsinstrument, kein Ersatz für jede Wachaufgabe.

Implementierung: 14-Wochen-Plan für Energieversorger

Woche 1 bis 2: Standortinventur. Alle Anlagen werden nach Kritikalität klassifiziert, die Schwellenwerte aus der KritisV werden gegen den eigenen Bestand geprüft. Erzeugung, Übertragung, Verteilung und Gas werden getrennt erfasst.

Woche 3 bis 6: Risikoanalyse je Standort. Sensorik-Gap-Analyse erfasst vorhandene Detektion, fehlende Detektion und Reaktionszeiten. Der Entwurf des Resilienzplans entsteht parallel, abgestimmt mit interner Revision und Rechtsabteilung.

Woche 7 bis 10: Pilotbetrieb. Ein QR-2 oder QR-3 wird an einem repräsentativen Umspannwerk eingesetzt, inklusive Leitstellen-Integration. Ziel: Messdaten zu Detektionsraten, Fehlalarmquote und tatsächlicher Reaktionszeit.

Woche 11 bis 12: Rollout-Planung. Vertragsstaffelung über die Standorte, Schulung des Sicherheitspersonals an Bedien- und Eskalationsverfahren, Anpassung interner Dienstanweisungen.

Woche 13 bis 14: BBK-Registrierung, Einreichung des Resilienzplans, Abnahme durch interne Revision. Die 12-Pflichten-Checkliste KRITIS-Dachgesetz strukturiert die finale Prüfung vor Einreichung.

Der Plan funktioniert für Versorger mit klarer Asset-Liste. Bei stark fragmentierten Beständen, etwa nach Mergers, verlängert sich Phase 1 um zwei bis vier Wochen. Wer mehr als 50 Standorte parallel onboardet, sollte zusätzlich einen externen Projektleiter einplanen.

Vorstandshaftung und Dokumentationspflichten

Die Geschäftsführung muss Schutzmaßnahmen nachweisbar dokumentieren, nicht nur beschließen. Ein Aufsichtsratsbeschluss ohne operative Umsetzung ist im Schadensfall keine Verteidigung.

Patrouillenprotokolle, Alarmketten und Reaktionszeiten gehören in den jährlichen Resilienzbericht. Die Aufsicht prüft nicht das Konzept, sondern den Nachweis der Wirksamkeit. Eine Patrouille ohne Protokoll ist im Audit gleichbedeutend mit einer nicht durchgeführten Patrouille.

Versicherer fordern zunehmend Nachweis automatisierter Detektion für KRITIS-Policen. Wer nur manuelle Wachrunden dokumentiert, zahlt höhere Prämien oder verliert in der Erneuerung den Vollschutz. Mehrere D&O-Versicherer haben 2024 Klauseln eingeführt, die Vorstandshaftung an dokumentierte technische Schutzmaßnahmen koppeln.

Bei einem Vorfall ohne dokumentierte Schutzmaßnahme greift persönliche Haftung gemäß §43 GmbHG. Der Geschäftsführer einer GmbH haftet für Schäden aus Sorgfaltspflichtverletzung. Die Konkretisierung im KRITIS-Kontext ist in unserem Beitrag NIS-2 und Vorstandshaftung ausgeführt.

Robotik liefert lückenlose Audit-Trails, die manuelle Wachdienste strukturell nicht erreichen. Jeder Patrouillengang ist mit Zeitstempel, GPS-Spur, Sensordaten und Bildmaterial belegt. Das ist nicht nur Compliance, sondern auch Beweismittel bei Schadensregulierung und Strafverfolgung.

Der nächste konkrete Schritt für Sicherheitsleiter und Asset-Owner: Schwellenwerte der eigenen Anlagen gegen die KritisV prüfen und die Pflichten je Sektor abgleichen. Die KRITIS-Sektoren im Überblick listen Schwellenwerte, Behördenzuständigkeiten und Fristen je Teilsektor des Energiebereichs.