Die Herausforderung der Energieversorgungsunternehmen im Bereich Compliance

Die Herausforderung der Energieversorgungsunternehmen hinsichtlich der Einhaltung der Vorschriften

Von Kate O'Flaherty • 22 Januar 2026

Energieversorgungsunternehmen kämpfen mit Fragmentierung und Silos, was einen einheitlichen Ansatz zur Einhaltung von Vorschriften verhindert. Eine solidere Grundlage ist erforderlich, aber wie kann diese geschaffen werden?

Von Kate O'Flaherty

Energieversorgungsunternehmen betreiben zahlreiche voneinander unabhängige Systeme, von denen viele nie für eine Internetanbindung vorgesehen waren. Es ist daher nicht verwunderlich, dass Internet-Sicherheit Die Einhaltung der für diesen Bereich geltenden Vorschriften bleibt eine der größten Herausforderungen für den Sektor.

In 2010 stellte das Stuxnet-Wurm Dies verdeutlichte die reale Bedrohung durch Cyberangriffe auf den Sektor, nachdem Zentrifugen des iranischen Atomprogramms zerstört worden waren. Jüngst kam es im Zuge des russisch-ukrainischen Krieges zu mehreren staatlich geförderten Cyberangriffen auf ukrainische Anlagen. StromnetzIn den USA hingegen… Wassersektor wurde ebenfalls angegriffen.

Das wachsende Risiko solcher Angriffe und ihre verheerenden Folgen haben zu einer Reihe von Vorschriften geführt, die die Sicherheit von Versorgungsunternehmen stärken sollen, darunter die EU-Richtlinie 2 über Netz- und Informationssysteme (NIS2) und Großbritannien Gesetzentwurf zur Cybersicherheit und Resilienz.

Während die Energieversorger bestrebt sind, diese zahlreichen Vorschriften einzuhalten, wurde die Branche von einigen für ihre langsame Anpassungsfähigkeit kritisiert. Tatsächlich hat ein kürzlich durchgeführter Bericht Blog von Ernst & Young unterstreicht den Bedarf an künstliche Intelligenz (KI)-Technologie zur Verwaltung komplexer Risikomanagementstrategien und zur Sicherstellung der Compliance.

Aber ist die Hinzunahme weiterer Tools wirklich die Lösung in einer Branche, die bereits mit Fragmentierung und Silos zu kämpfen hat?

Mit der Regulierung Schritt halten

Viele Experten verneinen dies. Stattdessen benötigen Energieversorger eine einheitliche, durchdachte Compliance-Infrastruktur, die der Komplexität ihrer physischen Systeme gerecht wird. Dies beginnt mit der Behebung der bestehenden Mängel, anstatt neue Technologien auf die bestehende Fragmentierung aufzusetzen.

Die jüngsten Cyberangriffe auf Energieversorgungsunternehmen verdeutlichen eine Herausforderung, die über die bloße Anpassung an regulatorische Vorgaben hinausgeht. Der Druck, dem die Unternehmen ausgesetzt sind, ist real, aber nicht, weil sich die Vorschriften schneller ändern, als die Organisationen reagieren können.

Der Grund dafür ist, dass die Kosten für fragmentierte, unzusammenhängende Compliance und Risikoverantwortung „schneller steigen, als die Versorgungsunternehmen sie auffangen können“, erklärt Darren Guccione, CEO und Mitbegründer von Keeper Security. IO.

Energieversorgungsunternehmen betreiben einige der am stärksten vernetzten physischen Systeme der Welt. Dennoch sind die Prozesse, die Cybersicherheit, Betriebssicherheit, Datenschutz, Zugriff Dritter und die Einhaltung gesetzlicher Vorschriften regeln, oft voneinander getrennt.

„Cybersicherheit, Betriebstechnik „Die Teams für OT-Sicherheit, Datenschutz, Audit und regulatorische Angelegenheiten sind oft als parallele Funktionen organisiert, jede mit eigenen Kontrollen, Tools und Berichtswegen, aber mit begrenzter gemeinsamer Transparenz und Koordination“, betont Guccione. „Diese Fragmentierung birgt ein erhebliches Risiko.“

„Diese Silos führen zu mangelhafter Kommunikation, Doppelarbeit, Missverständnissen und langsamen Entscheidungsprozessen“, sagt Tracey Hannan-Jones, Leiterin der Informationssicherheitsberatung bei UBDS Digital. „Wenn neue Vorschriften in Kraft treten, interpretiert und implementiert jede Abteilung die Änderungen unterschiedlich – oder gar nicht –, was zu Inkonsistenzen, Ineffizienzen und unzureichend konzipierten Compliance-Rahmenwerken führt, die den Anforderungen nicht gerecht werden.“

Das Konzept der „technischen Schulden“ in der Softwareentwicklung – Abkürzungen, die zukünftig immer höhere Kosten verursachen – „lässt sich perfekt auf Compliance übertragen“, sagt Rayna Stamboliyska, CEO von RS Consulting. „Jedes Mal, wenn ein Energieversorger eine neue regulatorische Anforderung in seine fragmentierten bestehenden Systeme integriert, anstatt die Grundlage zu überarbeiten, häuft er Compliance-Schulden an. Die „Kosten fragmentierter Compliance“ sind in Wirklichkeit Zinszahlungen auf diese Compliance-Schulden – und britische Energieversorger zahlen Zinseszinsen, ohne die Schulden zu tilgen.“

Unterbearbeitet

Keine noch so neue Technologie kann dieses Problem lösen – vor allem nicht, wenn sie einfach nur auf fragmentierte Systeme aufgesetzt wird.

Im Jahr 2024 nutzten große Unternehmen durchschnittlich 45 Cybersicherheitstools. GartnerDas deutet darauf hin, dass unzureichende Ausrüstung nicht das Kernproblem ist, so Rik Ferguson, VP für Sicherheitsinformationen bei Forescout. „Auf dem Papier mag diese Toolvielfalt beruhigend wirken. In der Praxis führt sie jedoch oft zu einem anderen Problem: einer Sicherheitsumgebung, die unübersichtlich, unübersichtlich und schwer als zusammenhängendes System zu handhaben ist.“

„Aufsichtsräte sehen oft umfangreiche Tools und gehen davon aus, dass der Schutz umfassend ist“, sagt Ferguson. „Sicherheitsteams hingegen verbringen enorm viel Zeit damit, Informationen zusammenzutragen, Warnmeldungen zu überprüfen und Aktivitäten nachzugehen, die nicht immer zu einer messbaren Risikominderung führen.“

In diesem komplexen Umfeld sehen Unternehmen KI möglicherweise als Allheilmittel. Laut Hannan-Jones von UBDS Digital wird dies jedoch niemals funktionieren, da KI auf „hochwertigen, integrierten Daten“ basiert. „In fragmentierten Versorgungsunternehmen sind Daten oft von geringer Qualität, verstreut, inkonsistent oder unzugänglich. Ohne einheitliche Daten können KI-Modelle nur begrenzte oder unzuverlässige Erkenntnisse liefern.“

Ein weiterer zu berücksichtigender Faktor ist, dass KI organisatorische Silos nicht auflösen kann, so Hannan-Jones. „KI kann Aufgaben automatisieren oder Empfehlungen generieren, aber sie kann Abteilungen nicht zur Zusammenarbeit oder zum Informationsaustausch zwingen.“

Optimierter Ansatz

Anstatt einfach nur neue Tools einzuführen, sollten Energieversorgungsunternehmen einen optimierten Ansatz für die Einhaltung der Vorschriften verfolgen. Dies kann die zentrale Steuerung, die lokale Verantwortlichkeit, einheitliche Kontrollen, die kontinuierliche Überwachung und eine integrierte Risikobetrachtung erleichtern.

Standardisierung schafft laut Hannan-Jones „ein einheitliches Vokabular und Verfahren“ für Risiko, Sicherheit, Datenschutz und KI. Zum Beispiel: ISO 27001 Informationssicherheit abdeckend ISO 22701 zum Thema Datenschutz und ISO 42001 Steuerung des KI-Managements.

Diese Rahmenwerke erfordern eine klare Zuweisung von Rollen und Verantwortlichkeiten durch einen zentralisierten Ansatz. Dadurch wird sichergestellt, dass jeder weiß, wer wofür zuständig ist, was die Koordination und Kommunikation verbessert und Lücken verringert, so Hannan-Jones. „Organisationen können dann dokumentierte, wiederholbare Prozesse für die Risikobewertung und die Reaktion auf Vorfälle durchsetzen und kontinuierliche Verbesserungen vorantreiben“, erklärt sie.

Da ISO-Normen risikobasiert sind, verpflichten sie Organisationen gleichzeitig dazu, Risiken ganzheitlich und nicht isoliert zu betrachten. Die Ausrichtung des Risikomanagements an den Geschäftszielen stellt laut Hannan-Jones sicher, dass alle Abteilungen „mit einem einheitlichen Ansatz auf die gleichen Ziele hinarbeiten“.

Wenn Sie Ihre Organisation optimieren möchten, empfiehlt Hannan-Jones als ersten Schritt die Erfassung und Standardisierung Ihrer Kernprozesse. „Dokumentieren Sie alle wichtigen Arbeitsabläufe im gesamten Unternehmen, einschließlich Anlagenmanagement, Instandhaltung, Störungsbehebung und Risikomanagement. Dies schafft Klarheit, deckt Doppelarbeit auf, identifiziert Schwachstellen und bietet eine solide Grundlage für die Standardisierung.“

„Es ist wichtig, dass alle, einschließlich der Führungsebene, mitziehen“, sagt Hannan-Jones. „Die oberste Führungsebene muss den einheitlichen Compliance-Ansatz unterstützen, seinen Nutzen kommunizieren und Ressourcen bereitstellen. Nachhaltiger Wandel erfordert sichtbare Unterstützung von oben und eine klare Kommunikation im gesamten Unternehmen.“

Vorteile der Compliance

Es bestehen zwar weiterhin Herausforderungen, doch die Regulierung wird nicht komplexer. Vielmehr legt sie offen, wie unübersichtlich und fragil die internen Strukturen geworden sind. Risiken in der Energieversorgung werden erst dann zu einem Vorteil, wenn sie wie das Stromnetz selbst behandelt werden: als ein funktionierendes, vernetztes, kontinuierlich überwachtes und auf Resilienz ausgelegtes System.

Die Vorteile liegen auf der Hand: Wenn die Einhaltung der Vorschriften koordiniert und integriert wird, profitieren Energieversorger von einer schnelleren Reaktion der Regulierungsbehörden, einer stärkeren Cybersicherheit, vertrauenswürdigeren KI-Modellen, einer besseren Gewährleistung durch den Vorstand sowie weniger Doppelarbeit und Kosten.

„Eine koordinierte, integrierte Compliance ermöglicht es Unternehmen, ihre operative Kapazität zurückzugewinnen und ihre Energie auf die Verbesserung der Sicherheitsergebnisse zu konzentrieren“, sagt Conor Sherman, CISO bei Sysdig. „So können Sie Ihre Zeit in die Verbesserung der Netzstabilität investieren, anstatt mit einem Auditor über die Herkunft eines Screenshots zu diskutieren.“

Kate O’Flaherty

Kate ist Journalistin für Cybersicherheit und Datenschutz mit über zehn Jahren Erfahrung in der Berichterstattung über wichtige Themen für Nutzer, Unternehmen und Regierungen. Neben ISMS.online veröffentlicht sie auch Artikel in Forbes, Wired, The Guardian, The Observer, The Times und The Economist.

Lesen Sie mehr von Kate O'Flaherty

Internet-Sicherheit 29 Januar 2026

700credit-API-Risiken rücken Governance in der Finanzlieferkette in den Fokus (Blog)

700Credit-Sicherheitsvorfall: API-Risiken rücken die Governance der Finanzlieferkette in den Fokus

Was offenbart der Datenverstoß bei 700Credit hinsichtlich der Risiken von Finanzdatensystemen und Lieferketten, und welche Lehren lassen sich daraus ziehen? Von Kate O'Flaherty in ...

Kate O’Flaherty

Internet-Sicherheit 16 December 2025

Cyberangriffe beeinträchtigen das BIP: Was bedeutet das für Unternehmen?

Da Resilienz durch immer mehr Vorschriften gefordert wird, wie kann jedes Unternehmen seinen Beitrag leisten? Von Kate O'Flaherty. Unternehmen in ganz Großbritannien...

Kate O’Flaherty

Internet-Sicherheit 25 November 2025

Banner zum AWS-Ausfall und seinen Folgen für die Cybersicherheit

Der AWS-Ausfall und seine Auswirkungen auf die Cybersicherheit

Angesichts des steigenden Ausfallrisikos stellt sich die Frage: Wie können Unternehmen die Folgen von Cyberangriffen wie Phishing und Social Engineering abfedern? Von Kate O'Flah…

Kate O’Flaherty