ENISA, KI-Sicherheit und kritische Infrastrukturen: Was Energieversorger und Telkos jetzt wissen müssen

Fast 4.900 Sicherheitsvorfälle in einem einzigen Jahr, politisch motivierte Hacktivisten, die gezielt kritische Infrastrukturen ins Visier nehmen, und KI-Systeme, die gleichzeitig Verteidigungswerkzeug und neues Angriffsziel sind: Die ENISA zeichnet in ihrem Threat Landscape 2025 ein Bild, das für Energieversorger und Telekommunikationsanbieter konkrete Konsequenzen hat. Wer KI in Netzsteuerung, Lastprognose oder Schutzrelais einsetzt, steckt mitten in einer regulatorischen Dreifachpflicht – und viele Unternehmen unterschätzen, was das bedeutet.

Was ENISA 2025 wirklich sagt – und was gern übersehen wird

Der ENISA Threat Landscape 2025 wertet knapp 4.900 Sicherheitsvorfälle aus dem Zeitraum Juli 2024 bis Juni 2025 aus. Das Ergebnis ist ernüchternd: Fast 80 Prozent aller dokumentierten Cybervorfälle gehen auf politisch motivierte Hacktivisten zurück – Gruppen wie NoName057(16), Dark Storm Team oder Mr Hamza. Die öffentliche Verwaltung ist mit 63,1 Prozent der Fälle am stärksten betroffen, aber Energie-, Wasser- und OT-Systeme rücken stetig nach.

Ransomware bleibt die größte Einzelbedrohung. Staatliche Akteure setzen parallel verstärkt auf Spionage. Neu und besonders relevant für KRITIS-Betreiber: ENISA benennt explizit Angriffe auf KI-Systeme selbst sowie den Missbrauch von KI durch Angreifer als eigenständige Angriffsebene. Automatisierte Phishing-Kampagnen, KI-gestützte Reconnaissance, bösartige KI-Agenten – das ist keine Zukunftsspekulation, sondern dokumentierter Gegenwartsbefund.

Was viele Berichte weglassen: ENISA kritisiert im Parallelreport „NIS Investments 2025″ gleichzeitig, dass Regulatorik zwar der wichtigste Treiber für Cybersecurity-Investitionen ist, aber Fachkräftemangel und strukturelle Komplexität die tatsächliche Cyber-Resilienz bremsen. Investitionen wachsen, reale Sicherheit nicht im gleichen Maß. Das ist unbequem – und wichtig.

Die Dreifachpflicht für Energieversorger und Telekommunikation

Wer in Deutschland Strom, Gas oder Telekommunikation als kritische Infrastruktur betreibt, bewegt sich heute in drei regulatorischen Schichten gleichzeitig. Jede hat ihre eigene Logik, ihre eigenen Fristen, ihre eigenen Nachweispflichten.

Schicht eins: Sektorale KRITIS-Regulierung. Energieversorger unterliegen den IT-Sicherheitskatalogen nach § 11 Abs. 1a und 1b EnWG. Diese legen Mindestanforderungen an Informationssicherheit – typischerweise auf Basis von ISO 27001 – und Betriebssicherheit der Versorgungsnetze fest. Dazu kommen Meldepflichten, Nachweispflichten und Zertifizierungsanforderungen nach BSI-Gesetz und KRITIS-Verordnung. Telekommunikationsanbieter haben ergänzende Pflichten aus dem TKG und BNetzA-Vorgaben. Das ist die Grundschicht – vorhanden, bekannt, aber oft nur reaktiv bedient.

Schicht zwei: NIS-2. Die Richtlinie verlangt Risikomanagementmaßnahmen, Security-by-Design, Supply-Chain-Security und Meldepflichten für erhebliche Sicherheitsvorfälle. Energie und Telekommunikation sind explizit erfasste Sektoren. Die ENISA-Analyse zu NIS-Investments zeigt, dass NIS-2 die Budgets sichtbar hebt – ohne dass dahinter automatisch ausgebaute Sicherheitsstrukturen entstehen.

Schicht drei: EU AI Act. Hier liegt die neue und am meisten unterschätzte Dimension. Der Anhang III des EU AI Act klassifiziert KI-Systeme, die als Sicherheitskomponenten in kritischen Infrastrukturen fungieren, als Hochrisiko-KI. Dazu zählen explizit Strom-, Gas-, Wärme- und Wasserversorgung sowie digitale Infrastruktur. Diese Dreifachpflicht – sektorale Regulierung, NIS-2, AI Act – trifft Energie- und Telko-Unternehmen mit voller Wucht, sobald KI operativ in Netzprozesse eingebunden wird. Wer die regulatorischen Anforderungen des EU AI Act im Überblick verstehen will, findet dort eine strukturierte Einordnung der Pflichten nach Risikoklassen.

Was gilt als Hochrisiko-KI – und was nicht

Hier liegt die entscheidende Weichenstellung, und sie wird in der Praxis häufig falsch gezogen. Nicht jedes KI-System in einem Energieversorger oder Telko-Unternehmen ist automatisch Hochrisiko-KI. Die Abgrenzung folgt einer klaren Logik: Eine KI gilt als Sicherheitskomponente, wenn ihr Ausfall oder ihre Fehlfunktion zu physischen Schäden an der Infrastruktur oder zu Personen- oder Sachschäden führen kann.

Das Paradebeispiel aus dem Energiesektor: Eine KI-basierte Lastprognose, deren Ergebnisse automatisch Schaltentscheidungen im Netz auslösen, ist eine Hochrisiko-Sicherheitskomponente. Eine KI, die dieselben Lastdaten analysiert und nur einen Report für die Planungsabteilung erstellt – ohne direkte Steuerungswirkung –, fällt in der Regel nicht darunter. Der Unterschied klingt technisch, ist aber regulatorisch fundamental.

Das bedeutet: KI in Marketing, Kundenkommunikation, Buchhaltung oder reiner Datenanalyse ohne Schaltlogik bleibt außerhalb des Hochrisiko-Rahmens. Für KRITIS-Betreiber ist die erste Compliance-Aufgabe daher eine ehrliche Bestandsaufnahme: Welche KI-Systeme treffen operative Entscheidungen, die physische Auswirkungen haben können? Diese Systeme müssen vollständig erfasst und bewertet werden.

Ein weiterer Grenzfall, der in der Praxis häufig unterschätzt wird: KI-gestützte Anomalieerkennung in OT-Netzwerken. Wenn das System lediglich Alarm schlägt und ein Operator entscheidet, bleibt es unterhalb der Hochrisiko-Schwelle. Wird dieselbe KI aber so konfiguriert, dass sie bei erkannten Anomalien automatisch Netzabschnitte isoliert oder Verbindungen kappt, gilt sie als Hochrisiko-Sicherheitskomponente – unabhängig davon, wie das interne Lastenheft das System ursprünglich bezeichnete. Diese Grauzone betrifft viele Unternehmen, die ihre KI-Systeme in den letzten Jahren schrittweise mit Automatisierungsfunktionen erweitert haben, ohne die regulatorische Einordnung anzupassen.

Konkrete Pflichten für Hochrisiko-KI in KRITIS

Für KI-Systeme, die als Hochrisiko eingestuft werden, schreibt der EU AI Act einen Pflichtenkatalog vor, der weit über das hinausgeht, was viele IT-Abteilungen bisher als KI-Governance verstehen.

Risikomanagementsystem (Art. 9): Identifizierte Risiken, Bewertung, Minderungsmaßnahmen und regelmäßige Überprüfung sind Pflicht. Für Energienetze heißt das konkret: Szenarien wie Fehlprognosen unter Extremlast, Manipulation von Trainingsdaten durch Angreifer oder adversariale Angriffe auf Modelle müssen systematisch bewertet werden.

Datenqualität (Art. 10): Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ und so weit wie möglich fehler- und biasfrei sein. Dokumentation der Datenquellen und Tests gegen Extremszenarien sind keine Kür, sondern Pflicht. Gerade bei Lastprognosesystemen, die mit historischen Verbrauchsdaten trainiert werden, ist das eine handfeste technische Anforderung.

Logging und technische Dokumentation (Art. 11, 12): Vollständige Aufzeichnungspflichten für forensische Analysen und Audits. Kein KI-System in der Netzsteuerung darf ohne auditfähige Logs operieren. Das kollidiert in der Praxis häufig mit Legacy-OT-Umgebungen, die ursprünglich nicht für solche Anforderungen ausgelegt wurden.

Menschliche Aufsicht (Art. 14): Bei sicherheitsrelevanten Entscheidungen muss menschliche Eingriffsmöglichkeit bestehen. Ein KI-System, das Netzsegmente isoliert oder Lasten abwirft, ohne dass ein Operator übersteuern kann, wäre nach aktuellem Stand nicht compliant. Das ist eine direkte Anforderung an Systemarchitektur und Betriebsprozesse.

Der Bußgeldrahmen ist scharf: Verstöße gegen Hochrisiko-Pflichten können mit bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden. Falsche Angaben gegenüber Behörden kosten bis zu 7,5 Millionen Euro oder 1 Prozent des Umsatzes.

Fristen: Was jetzt gilt und was noch unklar ist

Hier ist Präzision geboten, denn es kursiert viel Halbwissen. Die Hochrisiko-Pflichten des EU AI Act für Anhang-III-Systeme waren ursprünglich für den 2. August 2026 geplant. Stand Mai 2026 liegt eine vorläufige Trilog-Einigung zur Verschiebung auf den 2. Dezember 2027 vor – diese ist zum Zeitpunkt der Recherche noch nicht endgültig beschlossen. Wer auf dieser Basis plant, kalkuliert mit einem vorläufigen Datum.

Das ist kein Freibrief zum Abwarten. Erstens: Konformitätsbewertungen, Systemdokumentation, Logging-Architekturen und Risikomanagementprozesse für KI in OT-Umgebungen sind keine Drei-Monats-Projekte. Energieversorger, die jetzt nicht mit der Bestandsaufnahme beginnen, werden 2027 unter Zeitdruck stehen. Zweitens gelten NIS-2 und nationale KRITIS-Anforderungen unabhängig vom AI-Act-Zeitplan bereits jetzt.

Ich halte die Verschiebungsdiskussion für ein zweischneidiges Schwert: Einerseits gibt sie Unternehmen Raum, Implementierungen durchdacht anzugehen. Andererseits verführt sie dazu, KI-Governance-Strukturen aufzuschieben, die unabhängig von regulatorischen Deadlines längst überfällig wären. Wer KI in kritischen Netzen einsetzt und noch kein Risikomanagementsystem dafür hat, hat ein Problem – egal, welches Datum im Amtsblatt steht.

Supply-Chain-Risiken: Der unterschätzte Hebel bei KRITIS und KI

Ein Aspekt, der in der öffentlichen Diskussion über ENISA, kritische Infrastrukturen und KI-Sicherheit zu wenig Aufmerksamkeit bekommt, ist die Lieferkette. Energieversorger und Telekommunikationsanbieter setzen KI-Systeme in aller Regel nicht selbst entwickelt ein, sondern beziehen sie von Drittanbietern – oft als integrierte Komponente in SCADA-Systemen, Netzleittechnik oder Predictive-Maintenance-Plattformen. Das verschiebt das Risikoprofil erheblich.

Der EU AI Act verpflichtet Betreiber, die Konformität der eingesetzten Hochrisiko-KI-Systeme sicherzustellen – unabhängig davon, ob sie das System selbst entwickelt haben oder zugekauft haben. Das bedeutet in der Praxis: Betreiber müssen von ihren KI-Lieferanten vollständige technische Dokumentation, Risikoanalysen und Nachweise über die Datenqualität der Trainingsdaten einfordern. Wer das in bestehenden Verträgen nicht verankert hat, wird bei einer Konformitätsprüfung Lücken vorfinden.

NIS-2 verlangt darüber hinaus explizit Supply-Chain-Security als Teil des Risikomanagements. Die Kombination beider Anforderungen führt zu einem konkreten Handlungsbedarf: Vertragliche Nachweispflichten gegenüber KI-Lieferanten müssen neu verhandelt oder ergänzt werden, bevor Compliance-Prüfungen anstehen. Gerade kleinere Stadtwerke oder regionale Netzbetreiber, die stark auf Standardlösungen großer Anbieter setzen, unterschätzen diesen Hebel systematisch.

Compliance und Sicherheitsvorfälle: Der Zusammenhang ist messbar

Compliance-Audits werden in KRITIS-Unternehmen häufig als bürokratische Pflichtübung behandelt. Eine Studie zu Cybersicherheit in kritischen Infrastrukturen – Energie, Wasser, Telekommunikation, Transport und Logistik – liefert ein anderes Bild: 84 Prozent der befragten Unternehmen, die in den letzten zwölf Monaten ein Compliance-Audit nicht bestanden hatten, verzeichneten im gleichen Zeitraum einen Sicherheitsvorfall. Der Zusammenhang zwischen Compliance-Versagen und tatsächlichen Sicherheitsverletzungen ist statistisch nicht zufällig.

Das deckt sich mit dem, was ENISA im NIS-Investments-Bericht indirekt kritisiert: Regulierung treibt Investitionen an, aber dort, wo Compliance nur formal erfüllt wird ohne substanzielle Sicherheitsmaßnahmen, bleibt die Resilienz schwach. Für Hochrisiko-KI in kritischen Infrastrukturen bedeutet das: Wer Art. 14 zur menschlichen Aufsicht nur auf dem Papier dokumentiert, ohne den Operator-Override technisch implementiert zu haben, hat weder ein Compliance- noch ein Sicherheitsproblem gelöst.

KI als Verteidigung: Chancen und neue Angriffsflächen

KI spielt in der Cybersicherheit von Energieunternehmen und Telekommunikationsanbietern längst eine operative Rolle. Frühwarnsysteme, Predictive Detection, Digital Twins von Netzabschnitten – KI-gestützte Verteidigung ist kein Zukunftsprojekt. Im Energiesektor erkennen KI-Systeme Bedrohungsmuster bereits heute frühzeitig und schlagen automatisiert Gegenmaßnahmen vor oder leiten sie ein.

Aber ENISA benennt die Kehrseite explizit: Genau diese KI-Systeme werden selbst zum Angriffsziel. Angriffe auf Modelle, Manipulation von Trainingsdaten, bösartige KI-Agenten – wer KI zur Verteidigung einsetzt, schafft gleichzeitig neue Angriffsflächen. Das ist keine theoretische Warnung. ENISA dokumentiert diese Angriffsmuster im Threat Landscape 2025 als tatsächlich beobachtete Phänomene.

ENISA empfiehlt konkret: Netzwerksegmentierung, Multi-Faktor-Authentifizierung, Zero-Trust-Konzepte, regelmäßige Backups und Schulungen – ergänzt um spezifische KI-Maßnahmen wie Monitoring der Modellintegrität, Zugriffsbeschränkungen auf Trainingsdaten und Validierungsprozesse für KI-Outputs vor sicherheitsrelevanten Entscheidungen. Für OT/SCADA-Umgebungen, die historisch auf Isolation statt auf Sicherheitsarchitektur gebaut wurden, ist das ein erheblicher Modernisierungsaufwand.

Was Betreiber jetzt konkret tun sollten

Die regulatorische Lage ist komplex, aber die erste Aufgabe ist schlicht: Klarheit schaffen. Welche KI-Systeme sind im Einsatz? Welche davon treffen operative Entscheidungen mit physischer Wirkung? Für diese Systeme beginnt die Hochrisiko-Compliance-Kette – unabhängig davon, ob der AI-Act-Termin 2026 oder 2027 kommt.

Parallel sollten Betreiber prüfen, ob ihre bestehenden Logging-Architekturen in OT-Umgebungen die Anforderungen aus Art. 12 erfüllen können. In vielen Energieverteilnetzen und Telko-Core-Infrastrukturen laufen Systeme, die schlicht keine auditfähigen Logs im geforderten Sinne produzieren. Das nachzurüsten braucht Zeit und Budget – beides sollte jetzt eingeplant werden.

Meiner Einschätzung nach ist die entscheidende organisatorische Frage nicht, wer die Compliance-Dokumentation erstellt, sondern wer im Unternehmen die Verantwortung für KI-Governance in KRITIS-Systemen trägt. Viele Energieversorger haben einen CISO, aber noch keinen klar definierten Prozess, wie KI-Risiken – Adversarial-Robustheit, Datenvergiftung, Modell-Drift – in das bestehende Risikomanagement integriert werden. Die NIS-2-Struktur bietet dafür einen Rahmen; der AI Act zwingt dazu, ihn KI-spezifisch auszufüllen.

Konkret empfiehlt sich für KRITIS-Betreiber ein gestuftes Vorgehen: Zunächst eine vollständige KI-Inventarisierung mit Klassifizierung nach Hochrisiko-Kriterien, danach eine Gap-Analyse der bestehenden Dokumentations- und Logging-Infrastruktur, anschließend die vertragliche Absicherung gegenüber KI-Lieferanten und schließlich die Integration von KI-Risikoszenarien in das bestehende Business-Continuity-Management. Keiner dieser Schritte ist trivial, aber alle sind planbar – sofern der Startpunkt nicht weiter hinausgezögert wird.

Was bleibt, ist eine grundsätzliche Frage: Können Energieversorger und Telekommunikationsanbieter KI wirklich sicher in kritische Netzprozesse integrieren – oder schaffen sie damit ein Angriffsziel, das kein Regulierungsrahmen vollständig absichern kann? Schreiben Sie uns Ihre Einschätzung oder diskutieren Sie das mit Ihrem Team: Die Antwort darauf wird die nächste Runde der ENISA-Berichte mitgestalten.