Resilienz rückt ins Zentrum der Daseinsvorsorge
Extremwetter, Klimawandel, geopolitische Spannungen, Sabotageakte auf Energieinfrastruktur und die Erfahrungen aus der Pandemie haben die Verwundbarkeit kritischer Infrastrukturen offengelegt. Politik und Öffentlichkeit bewerten die Sicherheit der Daseinsvorsorge neu. Auch Energieversorger und Stadtwerke stehen dabei im Fokus. Was lange als Thema der IT-Abteilung oder des technischen Sicherheitsmanagements (TSM) galt, wird zur strategischen Kernaufgabe der Unternehmensführung – und des Nachhaltigkeitsmanagements.
Nachhaltigkeitsmanager*innen als Treiber integrierter Resilienz
Mit der Reduzierung von Berichtspflichten im Zuge des Omnibus-Pakets verlagert sich der Aufgabenschwerpunkt für viele Nachhaltigkeitsverantwortliche. Eine mögliche neue Perspektive: Resilienz strategisch sichern. Doch wie hängen Resilienz und Nachhaltigkeit zusammen?
„Nachhaltigkeit“ beschreibt die Art und Weise, wie Unternehmen kritische ökonomische, ökologische und soziale Ressourcen managen, um den kurz-, mittel- und langfristigen Erfolg (und manchmal auch nur das nackte Überleben) zu sichern. Bemühen wir die beiden zentralen Perspektiven der Nachhaltigkeit (inside-out und outside-in), so ist die Resilienz in der Outside-in-Sicht zu verorten, also bei der Frage: Was machen Umwelteinflüsse mit meinem Unternehmen und wie kann ich diesen trotzen (= Resilienz)?
Dieses Nachhaltigkeitsverständnis zeigt, dass Resilienz ein essenzieller Bestandteil der Nachhaltigkeit sein muss – und damit auch eine Kernaufgabe eines strategisch verstandenen Nachhaltigkeitsmanagements.
Cyber-Resilienz, physische Sicherheit, Klimaresilienz und Lieferkettenstabilität sind Elemente langfristiger Unternehmensstabilität. Nachhaltigkeitsmanager*innen können hierbei eine strategisch-koordinierende Rolle übernehmen, Silos überwinden und bestehende Systeme für Resilienzanforderungen nutzen. Eine integrierte Steuerung reduziert Doppelaufwand, schafft Transparenz und verankert Resilienz strategisch im Unternehmen. Nachhaltigkeit erhält damit eine weitere strategische Dimension und wird näher am Kerngeschäft der Daseinsvorsorge positioniert.
Regulatorische Entwicklungen im Überblick
Auf EU- und Bundesebene werden aktuell neue regulatorische Rahmenbedingungen geschaffen, die Resilienz systematisch einfordern:
- Mit der Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience, CER-Richtlinie) stärkt die EU die physische Resilienz kritischer Einrichtungen.
- Das neue Bankenrichtlinienumsetzungs- und Bürokratieentlastungsgesetz, das Ende Januar vom Bundestag beschlossen worden ist, erlegt Banken die Verpflichtung auf, ESG-Risiken im Risikomanagement stärker zu berücksichtigen.
- Parallel verschärft die EU-Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) die Anforderungen an Cybersicherheit und Governance von Unternehmen. Das deutsche NIS-2-Umsetzungsgesetz trat am 06. Dezember 2025 in Kraft und erweitert den Kreis betroffener Unternehmen deutlich. Unter die Regelungen fallen Unternehmen, die in kritischen Bereichen, etwa der Strom-, Gas- oder Wärmeversorgung, tätig sind und mindestens 50 Beschäftigte haben oder einen Jahresumsatz von rund 10 Millionen Euro erzielen. Auch unabhängig von diesen Größenkriterien kann eine Einstufung erfolgen, wenn eine Organisation eine wesentliche Versorgungsrolle in einer Region übernimmt oder als alleiniger Anbieter eine kritische Dienstleistung bereitstellt. Für kommunale Versorgungsunternehmen ist daher eine sorgfältige Prüfung ihrer Betroffenheit besonders wichtig.
- Hinzu kommt das KRITIS-Dachgesetz, das Ende Januar vom Bundestag und am 06. März 2026 im Bundesrat verabschiedet wurde und sektorübergreifende Nachweispflichten und Umsetzungsmaßnahmen zum Umgang mit physischen Risiken verankert. Betroffen sind insbesondere Unternehmen, die über 500.000 Personen versorgen. Der genaue Kreis der betroffenen Einrichtungen wird aktuell diskutiert, orientiert sich aber voraussichtlich an den Grenzwerten aus der bisherigen BSI-KRITIS-Verordnung.
Zahlreiche Stadtwerke werden demnach erstmals unter die neuen Regeln fallen. Noch steht die Konkretisierung einiger Vorgaben durch die zuständigen Ministerien und durch branchenspezifische Resilienzstandards aus. Die Stoßrichtung ist dennoch bereits sehr deutlich: Die Anforderungen an Resilienz und Governance von Energieversorgern steigen. Während die Zeichen bei „klassischen“ Nachhaltigkeitsthemen zuletzt auf Deregulierung standen, nimmt die Regulierung im Bereich der Resilienz zu.
Konkrete Pflichten für Energieversorger
Für EVU und Stadtwerke entsteht ein substanzieller Handlungsauftrag. So muss ein Großteil der Stadtwerke die NIS-2-Anforderungen erfüllen. Gefordert sind umfassende Risikoanalysen, technische und organisatorische Schutzmaßnahmen, belastbare Notfall- und Krisenstrukturen sowie regelmäßige Schulungen. Unternehmen müssen sich registrieren, Vorfälle fristgerecht melden und angemessene Präventions- und Reaktionsmaßnahmen nachvollziehbar dokumentieren und aktualisieren. Zu den Risikoanalysen aus dem KRITIS-Dachgesetz gehören beispielsweise auch Klimaresilienzanalysen, wie sie bereits im Rahmen der Nachhaltigkeitsberichterstattung gefordert werden.
Besonders relevant ist die persönliche Verantwortung der Geschäftsleitung. Hierzu schreibt die NIS-2-Richtlinie Schulungs- und Überwachungspflichten für Leitungsorgane vor. Geschäftsführer*innen müssen ausreichende Kenntnisse zur Risikobewertung nachweisen. Verstöße können mit Bußgeldern zwischen 100.000 Euro und 10 Millionen Euro geahndet werden.
„Papier-Compliance“ reicht also nicht aus. Erforderlich sind klare Governance-Strukturen, definierte Verantwortlichkeiten, integrierte Risiko- und Kontrollsysteme sowie eine enge Verzahnung des operativen Betriebs, der IT und der Unternehmensleitung. Resilienz wird damit zur Managementaufgabe.
Was sollte jetzt getan werden?
Auch wenn operative Detailfragen noch offen sind, sollten EVU und Stadtwerke nicht abwarten. Die Richtung ist eindeutig. Sinnvoll sind jetzt eine strukturierte Gap-Analyse, der Aufbau einer klaren Governance für Resilienz, die Definition zentraler Verantwortlichkeiten sowie gezielte Schulungen für Geschäftsleitung und Schlüsselpersonen. Parallel empfiehlt sich eine integrierte Resilienzstrategie, die Cyber-, physische und klimainduzierte Risiken gemeinsam betrachtet. Wer frühzeitig tragfähige Strukturen etabliert, gewinnt regulatorische und operative Handlungssicherheit.
Resilienz als Zukunftsstrategie
Resilienz entwickelt sich vom Compliance-Thema zur strategischen Zukunftsaufgabe. Die regulatorischen Anforderungen werden weiter steigen, insbesondere für Stadtwerke als zentrale Akteure der kommunalen Versorgung. Unternehmen sollten das Thema bündeln, klare Verantwortlichkeiten schaffen und Resilienz fest in ihrer Gesamtstrategie verankern. Nicht nur zur Erfüllung gesetzlicher Pflichten, sondern zur Sicherung von Versorgungssicherheit, Reputation und wirtschaftlicher Stabilität. Wer Resilienz heute strukturiert aufbaut, stärkt morgen seine Handlungsfähigkeit in einem zunehmend volatilen Umfeld.
Weiterführende Links
Erfüllen Sie die regulatorische Anforderung einer NIS-2-Schulung für Leitorgane von EVU mithilfe unserer Masterclass: NIS-2-Masterclass für Stadtwerke und EVU
Kostenloses BET-Whitepaper zur Erstellung von Klimarisikoanalysen für EVU: Klimarisiken für Energieversorger
- Nachhaltigkeit bei EVU mit Gleichgesinnten diskutieren und entwickeln: Werden Sie Mitglied der Klimawerke
