NIS2 und Elektromobilität

NIS2 in der Praxis 

Mit der NIS2-Richtlinie (EU 2022/2555) konkretisiert die Europäische Union Anforderungen an Cybersecurity, Risikomanagement und Managementverantwortung in definierten Sektoren. Die Richtlinie richtet sich an Organisationen, nicht an Technologien oder Infrastrukturen als solche. 

reev hat die Anwendbarkeit der NIS2-Richtlinie im Rahmen einer internen Bewertung geprüft. Auf Basis dieser Bewertung und unter Berücksichtigung der deutschen Umsetzung im Rahmen des novellierten BSIG behandelt reev sich als in den Anwendungsbereich fallende wichtige Einrichtung („important entity“). Die Anforderungen der Richtlinie werden in bestehende Governance- und Managementstrukturen integriert. 

Anwendungsbereich und Kategorisierung 

NIS2 unterscheidet zwischen „essential entities“ und „important entities“. Für beide Kategorien gelten vergleichbare Sicherheitsanforderungen. Unterschiede bestehen in der Intensität der behördlichen Aufsicht. 

Ob ein Unternehmen unter die Richtlinie fällt, hängt ab von: 

• der nationalen Umsetzung 
• der sektorspezifischen Einordnung 
• den geltenden Schwellenwerten 

Die Betroffenheit ist daher individuell zu bewerten. 

Zentrale Anforderungen nach NIS2 

Risikomanagement und Resilienz 

Unternehmen müssen angemessene und dokumentierte Maßnahmen implementieren, die insbesondere folgende Bereiche abdecken: 

• Prävention von Cyberbedrohungen 
• Erkennung sicherheitsrelevanter Vorfälle 
• Reaktion und Wiederherstellung 
• Business Continuity und Krisenmanagement 

Diese Maßnahmen sind risikobasiert auszugestalten und unterliegen der Verantwortung der Geschäftsleitung. 

Incident-Meldepflichten 

Artikel 23 sieht ein dreistufiges Meldeverfahren vor: 

• Frühwarnung innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls 
• Aktualisierte Meldung innerhalb von 72 Stunden mit erster Bewertung der Auswirkungen 
• Abschließender Bericht innerhalb eines Monats 

Zusätzlich sind strukturierte interne Prozesse mit klar definierten Verantwortlichkeiten und dokumentierten Entscheidungswegen erforderlich. Meldepflichten betreffen sowohl Fristen als auch formalisierte Kommunikation mit Behörden. 

Managementverantwortung 

Die Geschäftsleitung ist verpflichtet, Maßnahmen zum Cyber-Risikomanagement zu genehmigen und deren Umsetzung zu überwachen. Nationale Umsetzungen können zudem Schulungs- und Informationspflichten für Leitungsorgane vorsehen. 

Aufsichtsbehörden verfügen über Durchsetzungsbefugnisse, die neben Bußgeldern auch behördliche Anordnungen, Prüfungen und Inspektionen umfassen können. 

Sicherheit der Lieferkette 

Unternehmen müssen Risiken aus Drittanbieterbeziehungen systematisch adressieren. Dazu gehören: 

• Bewertung der Sicherheitsstandards kritischer Dienstleister 
• Implementierung geeigneter vertraglicher Regelungen 
• Dokumentation und Überwachung von Lieferkettenrisiken 

Dokumentations- und Nachweispflichten sind Bestandteil der regulatorischen Anforderungen. 

ISO 27001 und NIS2 

reev verfügt über ein nach ISO 27001 ausgerichtetes Informationssicherheits-Managementsystem (ISMS). Dieses bildet die strukturelle Grundlage für Risikomanagement, Incident-Management, Business Continuity und Lieferantensteuerung. 

Im Rahmen einer internen Analyse wurden die Anforderungen der NIS2-Richtlinie mit bestehenden ISO-27001-Strukturen abgeglichen. ISO 27001 ersetzt jedoch keine eigenständige NIS2-Compliance-Struktur. 

NIS2 beinhaltet zusätzliche formale Anforderungen, insbesondere hinsichtlich: 

• Registrierung bei zuständigen Behörden 
• verbindlicher regulatorischer Meldefristen 
• erweiterter Dokumentationspflichten 
• expliziter Managementverantwortung 
• formalisierter Behördenkommunikation 

Diese Anforderungen wurden organisatorisch verankert und in bestehende Prozesse integriert. 

Systemarchitektur im regulatorischen Kontext 

Im Ladebetrieb bildet in der Regel ein Backend-System – häufig als CPMS (Charge Point Management System) bezeichnet – die zentrale Management- und Steuerungsinstanz der Ladeinfrastruktur. Ergänzend können Energiemanagementsysteme (EMS) integriert sein. 

Die Systemarchitektur ist ein technischer Bestandteil der regulatorischen Umsetzungsfähigkeit, insbesondere im Hinblick auf Zugriffskontrollen, Protokollierung und Nachvollziehbarkeit. 

Die Einhaltung regulatorischer Anforderungen bleibt jedoch eine unternehmensbezogene Verantwortung. 

Die Rolle der Energie- und Ladeplattform von reev 

Die Energie- und Ladeplattform von reev unterstützt strukturierte Sicherheits- und Dokumentationsprozesse im operativen Ladebetrieb. 

Sie ermöglicht unter anderem: 

• Umsetzung granularer Zugriffskontrollen und Multi-Faktor-Authentifizierung 
• strukturierte Protokollierung sicherheitsrelevanter Ereignisse 
• Unterstützung auditrelevanter Dokumentation 
• kontrollierte Integration von Drittanbietersystemen 

Die Plattform selbst begründet keine NIS2-Compliance. 

Fazit 

NIS2 konkretisiert Anforderungen an Risikomanagement, Managementverantwortung, Meldeprozesse und Aufsicht. reev integriert diese Anforderungen in bestehende ISMS- und Governance-Strukturen.  Technische Systemarchitektur unterstützt die Umsetzung, ersetzt jedoch nicht die organisatorische Verantwortung.