Case Study: NIS2-Readiness in 6 Monaten — Ein Stadtwerk zeigt wie es geht

1 Min. Lesezeit

Ein Stadtwerk mit 900 Mitarbeitern hat in 6 Monaten NIS2-Readiness erreicht – mit begrenztem Budget und ohne externes Beratungsunternehmen. Der Schlüssel: konsequente Nutzung bestehender Frameworks als Basis.

Das Wichtigste in Kürze

Ein Stadtwerk mit 900 Mitarbeitern hat in 6 Monaten NIS2-Readiness erreicht — mit begrenztem Budget und ohne externes Beratungsunternehmen. Der Schlüssel: konseqünte Nutzung bestehender Frameworks (ISO 27001, BSI IT-Grundschutz) als Basis und Fokus auf die tatsächlichen Lücken statt auf Komplett-Neuaufbau.

Ausgangslage

Das Stadtwerk versorgt eine Grossstadt mit Strom, Gas, Wasser und Fernwärme. Als KRITIS-Betreiber war bereits ein ISMS nach ISO 27001 implementiert. Die NIS2-Gap-Analyse ergab dennoch signifikante Lücken:

Meldeprozesse nicht auf 24h/72h-Fristen ausgelegt
Supply-Chain-Security nicht formalisiert
Geschäftsführerschulung nicht dokumentiert
OT-Security nur rudimentär ins ISMS integriert

Der 6-Monats-Plan

Monat 1-2: Meldeprozess

Incident-Klassifikation mit Schwellwerten für „erhebliche Vorfälle“
Automatisierte Eskalation per Ticketsystem bei Schwellwert-Überschreitung
Meldevorlagen für Frühwarnung (24h) und vollständige Meldung (72h)
Bereitschaftsdienst 24/7 mit klarem Eskalationspfad

Monat 2-3: Supply-Chain-Security

Inventarisierung aller 127 IT-Dienstleister und Software-Zulieferer
Risikobewertung nach 3 Stufen (kritisch, wichtig, Standard)
Security-Klauseln für neü Verträge (Standardvorlage erstellt)
Quartalsweise Review der Top-20-Zulieferer

Monat 3-4: Geschäftsführung und Governance

Eintägiger Workshop mit Geschäftsführung zu NIS2-Pflichten
Quartalsweises Security-Reporting an Geschäftsführung formalisiert
Formale Genehmigung der Security-Strategie durch Geschäftsführung
D&O-Versicherung auf NIS2-Deckung geprüft

Monat 4-5: OT-Security-Integration

OT-Asset-Inventar in ISMS integriert
Netzwerkmonitoring für OT-Segmente eingeführt
Separate Notfallpläne für IT- und OT-Vorfälle
Cross-Training: IT-Team lernt OT-Grundlagen und umgekehrt

Monat 5-6: Test und Dokumentation

Tabletop-Übung mit Ransomware-Szenario (inkl. Meldeprozess)
Dokumentations-Review für Audit-Readiness
Internes Audit der NIS2-Massnahmen

Budget

Gesamtkosten: ca. 95.000 EUR

Personalkosten (intern): 60.000 EUR (1,5 FTE über 6 Monate)
OT-Monitoring-Lösung: 25.000 EUR
Geschäftsführerschulung (extern): 5.000 EUR
Sonstiges (Templates, Rechtsberatung): 5.000 EUR

Key Facts

Branche: Energieversorgung / Stadtwerk (KRITIS)

Ausgangsbasis: ISO 27001 zertifiziert

NIS2-Readiness erreicht in 6 Monaten

Gesamtbudget: 95.000 EUR (ohne externe Berater)

Höchster Aufwand: Supply-Chain-Inventarisierung (127 Zulieferer)

Fakt: Das BSI zählt über 1.500 Stadtwerke und kommunale Versorger in Deutschland, von denen die Mehrheit unter die KRITIS-Verordnung fällt.

Fakt: Laut ENISA waren kommunale Infrastrukturen 2024 das dritthäufigste Angriffsziel in der EU – nach dem Gesundheits- und dem Finanzsektor.

Häufige Fragen

Kann man NIS2-Readiness ohne externe Berater erreichen?

Ja, wenn eine solide Basis vorhanden ist (z.B. ISO 27001). Der Schlüssel liegt in der strukturierten Gap-Analyse und der Fokussierung auf die tatsächlichen Lücken statt auf einen Komplett-Neuaufbau.

Welche NIS2-Anforderung verursacht den meisten Aufwand?

Erfahrungsgemäß die Supply-Chain-Security: Die Inventarisierung aller IT-Dienstleister und Software-Zulieferer, die Risikobewertung und die vertragliche Absicherung sind zeitintensiv, aber unverzichtbar.

Welche besonderen Herausforderungen haben Stadtwerke bei der NIS2-Umsetzung?

Stadtwerke betreiben oft heterogene IT- und OT-Landschaften mit gewachsenen Strukturen. Viele Systeme stammen aus einer Zeit vor modernen Sicherheitsstandards. Hinzu kommen begrenzte IT-Budgets und Fachkräftemangel in kommunalen Betrieben, was die NIS2-Umsetzung besonders anspruchsvoll macht.