Geschäftsführungen sind gefordert, Resilienz als strategische Aufgabe zu begreifen und entsprechende Organisationsmaßnahmen konsequent zu entwickeln. (Bild: Adobe Stock)
Warum Resilienz neu gedacht werden muss
Die Rahmenbedingungen der Energiewirtschaft haben sich in den letzten Jahren grundlegend verändert: Digitalisierung, Dezentralisierung, extreme Wetterereignisse, Cyberangriffe, Sabotageakte sowie geopolitische Spannungen überlagern sich zu einer multidimensionalen Krisenlage. Parallel steigt der regulatorische Druck durch Vorgaben wie NIS2 und das KRITIS-Dachgesetz, die Resilienz erstmals in einen verbindlichen gesetzlichen Rahmen stellen.
Lange Zeit dominierte bei vielen Energieversorgern eine reine Präventionslogik: Es galt die Annahme, dass sich die meisten Ereignisse verhindern lassen, sofern Risiken nur ausreichend identifiziert und kontrolliert werden. Diese Strategie greift heute zu kurz. Die Bandbreite potenzieller Störungen ist zu groß, um jedes Szenario vollständig abdecken zu können. Entscheidend wird vielmehr die organisationale Reaktionsfähigkeit: Wie schnell kann ein Unternehmen auf eine Störung reagieren, wirksame Maßnahmen zur Eindämmung umsetzen und – was am wichtigsten ist – aus diesen Ereignissen lernen, um sich kontinuierlich an neue Gefahrenlagen anzupassen?
Resilienz beschreibt in der Energiewirtschaft daher mehr als technische Robustheit. Sie umfasst die Fähigkeit, Belastungen zu absorbieren, Funktionsfähigkeit wiederherzustellen und aus Störungen systematisch zu lernen. Für Stadtwerke und Netzbetreiber bedeutet das konkret: Sie müssen ihre Versorgungsaufgaben auch unter außergewöhnlichen Bedingungen aufrechterhalten, Wiederanläufe sicherstellen und die Organisation kontinuierlich weiterentwickeln.
Ein Blick in die Ukraine zeigt, was das im Extremfall bedeutet. Trotz massiver Raketen- und Drohnenangriffe auf Umspannwerke, Kraftwerke und Leitungen ist die Stromversorgung nicht vollständig zusammengebrochen. Netzbetreiber halten das System durch schnelle Reparaturen, flexible Netzführung und Kooperation mit europäischen Übertragungsnetzbetreibern stabil genug, um großflächige Blackouts zu vermeiden. Resilienz ersetzt keine Gewaltfreiheit. Sie entscheidet aber darüber, ob ein Energiesystem funktionsfähig bleibt, wenn der Ernstfall eintritt.
KRITIS-Dachgesetz: von der Compliance zur Steuerungsaufgabe
Mit dem KRITIS-Dachgesetz (KRITISDachG) setzt der Gesetzgeber die europäische Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (sog. CER-Richtlinie) um und verschärft die Anforderungen an Betreiber kritischer Anlagen deutlich. Neben erweiterten Pflichten zur physischen Absicherung, zu Risikoanalysen, Resilienzplänen und Meldeprozessen wurden Meldepflichten konkretisiert und Bußgelder angehoben. Sicherheitsrelevante Vorfälle sind unverzüglich, in der Regel innerhalb von 24 Stunden, zu melden.
Resilienz lässt sich damit nicht mehr auf IT-Sicherheit reduzieren. Betroffen sind wesentliche Teile der Wertschöpfungskette, wie der Einkauf sicherheitsrelevanter IT- und OT-Komponenten, der Netzbetrieb, Lieferketten und Schlüsselpositionen. Die Einstufung als kritische Anlage erfolgt dabei in der Regel ab einem Versorgungsumfang von 500.000 Einwohnern. Dieser Schwellenwert ist weiterhin umstritten, weil so kleinere, regional bedeutsame Infrastrukturen aus dem unmittelbaren Anwendungsbereich des Gesetzes herausfallen. Zusätzlich können die Länder per Verordnung weitere Anlagen als kritisch definieren, was die Bewertung der eigenen Betroffenheit für viele Versorger weiter erschwert.
Damit verschiebt sich der Fokus von der Einhaltung punktueller Compliance-Vorgaben hin zu einer ganzheitlichen Steuerungsaufgabe. Es reicht nicht, einzelne Meldeketten und Resilienzpläne zu etablieren. Gefordert ist eine integrierte Sicht, die gesetzliche Risikoanalysen, internes Risikomanagement, Governance-Strukturen und operative Maßnahmen zusammenführt. Dies ist eine Führungsaufgabe.
Ein verbreitetes Gegenargument lautet: „Wir erfüllen die regulatorischen Mindestanforderungen, mehr können wir uns nicht leisten.“ Diese Sicht verkennt zweierlei. Erstens schützen Mindestanforderungen vor Bußgeldern, nicht vor langanhaltenden Versorgungskrisen. Zweitens steigen die Erwartungen von Politik und Öffentlichkeit: Im Krisenfall wird nicht gefragt, ob ein Stadtwerk compliant war, sondern ob es seinen Versorgungsauftrag erfüllt hat.