Kontaktieren Sie uns!

Kontaktieren Sie uns!

Kontaktieren Sie uns! (Overlay, DE)

Placeholder

Zum Event anmelden

Event (Default, DE)
Placeholder

Form mit Datei (Overlay, DE)
Bewerben Sie sich jetzt

Bewerben Sie sich jetzt

Bewerbungsformular

Maximale Dateigröße: 516MB

Maximale Dateigröße: 516MB

Maximale Dateigröße: 516MB

Kontakt

HomeBlogNeue Regulatorien im Energiesektor: Was ISG, CSO und NIS2 für Ihre IT bedeuten

31. März 2026

Neue Regulatorien im Energiesektor: Was ISG, CSO und NIS2 für Ihre IT bedeuten

Warum der Energiesektor jetzt handeln muss

Die Bedrohungslage für Energieversorger, Netzbetreiber und Handelsunternehmen hat sich in den vergangenen Jahren fundamental verändert. Ransomware-Angriffe auf kritische Infrastrukturen nehmen zu – und der Gesetzgeber reagiert. Seit Januar 2024 ist das überarbeitete Informationssicherheitsgesetz (ISG) in Kraft, ergänzt durch die Cybersicherheitsverordnung (CSV). In der EU ist die NIS2-Richtlinie seit Oktober 2024 verbindlich.

Die Regulatorien sind kein bürokratisches Beiwerk: Sie definieren konkret, welche technischen und organisatorischen Massnahmen Unternehmen in der Energieversorgung, im Energiehandel, in der Energiemessung und -steuerung umzusetzen haben – und welche Konsequenzen die Nichteinhaltung hat.

Regulatorisches Umfeld: Unternehmen, die in den Bereichen Energieversorgung, Energiehandel, Energiemessung oder Energiesteuerung tätig sind, fallen explizit in den Anwendungsbereich des ISG/CSV sowie der EU-NIS2-Richtlinie. Gleiches gilt für Unternehmen, die als Zulieferer für entsprechende Organisationen tätig sind.

Das regulatorische Rahmenwerk im Überblick

ISG / CSV — Informationssicherheitsgesetz & Cybersicherheitsverordnung (CH) In Kraft seit 1. Januar 2024. Definiert Anforderungen an sichere Datenverarbeitung, strenge Governance und — ab April 2025 — die 24-Stunden-Meldepflicht für Cyberangriffe auf kritische Infrastrukturen.

NIS2 — Network and Information Security Directive 2 (EU) In Kraft seit Oktober 2024. Setzt EU-weite Standards für 18 kritische Sektoren – darunter explizit den Energiesektor. Schweizer Unternehmen mit EU-Geschäftsbeziehungen oder Töchtern sind ebenfalls betroffen.

DSG — Datenschutzgesetz (CH) Seit September 2023 in Kraft. Verlangt Privacy by Design, Meldung schwerwiegender Datenschutzverletzungen und klare Prozesse für Benutzeraktivitäten — bei Verstössen drohen Bussen bis CHF 250’000.

ICT-Mindeststandards (SFOE / NCSC) Sektorspezifisch entwickelt durch das Bundesamt für Energie in Zusammenarbeit mit dem NCSC. Schreibt Risikobewertungen, starke Authentifizierung, Systemprotokolle und Incident-Response-Pläne vor.

Konkrete Anforderungen – und wie sie auf IAM und Sicherheit einzahlen

Die neuen Regulatorien sind keine abstrakten Prinzipienerklärungen. Sie formulieren sehr konkrete Anforderungen, die direkt auf die IT-Infrastruktur und die Governance-Prozesse eines Unternehmens einwirken:

  • Zertifizierung und regelmässige Rezertifizierung von Zugriffsrechten → IAM / IGA
  • Strenge Governance über Benutzerrollen und Berechtigungen → IAM / IGA
  • Nachvollziehbarkeit von Benutzeraktivitäten (Audit Trail) → IAM / IGA
  • Starke Authentifizierung (MFA, Privileged Access) → IAM / PAM
  • Incident Reporting innerhalb von 24 Stunden → ITSM / Incident Management
  • Schutz vor Ransomware und Wiederherstellung nach Angriff → Anti-Ransomware Resilience
  • Regelmässige Risikobewertung und Sicherheitsüberprüfung → Anti-Ransomware Resilience

Zeitstrahl: Was bereits gilt – und was noch kommt

September 2023 — DSG in Kraft Datenschutzgesetz mit GDPR-Anlehnung: Privacy by Design, Meldepflicht bei schwerwiegenden Verletzungen, persönliche Haftung.

Januar 2024 — ISG und CSV treten in Kraft Informationssicherheitsgesetz regelt sichere Datenverarbeitung für öffentliche Verwaltung und kritische Infrastrukturen — inkl. Energiesektor.

Oktober 2024 — EU NIS2 verbindlich EU-weite Cybersicherheitsanforderungen für 18 kritische Sektoren. Schweizer Unternehmen mit EU-Verbindungen sind potenziell betroffen.

April 2025 — 24-Stunden-Meldepflicht aktiv Energieversorger und andere kritische Infrastrukturen müssen Cyberangriffe innerhalb von 24 Stunden an das NCSC melden. Übergangsfrist ohne Busse endet im Oktober 2025.

Oktober 2025 — Sanktionen bei Verstössen (CHF 100’000) Ende der Übergangsfrist: Wiederholte Nicht-Meldung von Incidents wird mit Bussen bis CHF 100’000 geahndet.

2025 / 2026 — ISG-Revision: Weitere Sektoren, erweiterte Pflichten Geplante Erweiterung des ISG-Geltungsbereichs sowie verschärfte Anforderungen an Nachvollziehbarkeit von Benutzeraktivitäten und Report-Pflichten.

Wie ITConcepts Sie dabei unterstützt

itconcepts verfügt über langjährige Projekterfahrung im Energiesektor und betreibt produktiv bewährte Lösungen für Identity & Access Management sowie Ransomware-Resilienz. Unsere Lösungen sind gezielt auf die regulatorischen Anforderungen ausgerichtet, die heute und in naher Zukunft für Ihr Unternehmen relevant werden.

Identity Governance mit midPoint midPoint ist eine Open-Source-IAM-Plattform der Enterprise-Klasse. Sie ermöglicht automatisierte Rollenmodelle, Access-Zertifizierungskampagnen und vollständige Audit-Trails — exakt das, was ISG und NIS2 unter «nachvollziehbarer Benutzergovernance» verstehen.

Enterprise IAM mit SailPoint SailPoint Identity Security Cloud bietet skalierbare Identity Governance für komplexe Unternehmensumgebungen: risikobasiertes Access Management, automatisierte Compliance-Reports und tiefe Integration in bestehende IT-Landschaften.

Anti-Ransomware Resilience Unsere Ransomware-Resilienz-Lösungen kombinieren proaktiven Schutz mit einer strukturierten Recovery-Strategie: Erkennung, Isolation, gesicherte Backups und getestete Wiederherstellungspläne — damit im Ernstfall der Betrieb weiterläuft und die Meldepflicht erfüllbar bleibt.

ITSM & Incident Management Ein strukturiertes Incident-Management-Framework ist Voraussetzung dafür, dass die 24-Stunden-Meldepflicht in der Praxis einhaltbar ist. itconcepts implementiert und optimiert ITSM-Prozesse, die direkt auf regulatorische Berichtspflichten ausgerichtet sind.

Zu den Downloads

Fazit: Compliance ist kein Projekt – es ist ein Betriebszustand

Die neuen Regulatorien im Bereich Cybersicherheit sind kein einmaliger Kraftakt, sondern definieren einen dauerhaften Sollzustand: lückenlose Zugriffsgovernance, vollständige Nachvollziehbarkeit, robuste Incident-Response-Fähigkeit und geprüfte Resilienz gegenüber Ransomware-Angriffen.

Unternehmen im Energiesektor, die diese Anforderungen jetzt strukturiert angehen, schaffen nicht nur regulatorische Sicherheit — sie stärken gleichzeitig ihre operative Widerstandsfähigkeit gegenüber realen Bedrohungen.

itconcepts begleitet Sie auf diesem Weg — von der Bestandsaufnahme Ihrer aktuellen IAM-Landschaft über die Implementierung geeigneter Lösungen bis hin zur Vorbereitung auf Rezertifizierungen und Meldefristen.

Möchten Sie mehr über unsere Dienstleistungen erfahren oder eine passende Lösung für Ihr Unternehmen finden? Unsere Experten beraten Sie kostenlos und unverbindlich. Kontaktieren Sie uns jetzt!

Kontakt Aufnehmen

Samuel Stadtmann

Senior Sales Manager

Download template

Halcyon Anti-Ransomware Platform

Download template

MidPoint

Download template

Sailpoint

Zur Download-Seite

Meistgelesene Artikel

Workato – Die Agentic-AI-Plattform für Unternehmen

31. März 2026

Cyber Angriffe wirksam stoppen – mit defensiver Cyber-Security

31. März 2026

Zur Übersicht