NIS 2-direktivet: Hvad operatører af vindmølleparker og vindmøller har brug for at vide nu
Annoncere
wind-turbine.com
deutschenglishespañolfrançaisitalianopolskiportuguêsру́сскийnederlands
Annoncere
Reklamere
Søge
wind-turbineMatch
Hos os finder du den rigtige udbyder!
Opret en forespørgsel, så sætter vi dig i kontakt med fri relevante udbydere.
Opret en forespørgsel nu
  • fri
  • Hurtigt og nemt
  • Verificerede udbydere
  • Foreløbig
Annoncere
  1. Hjem
  2. Tidsskrift
  3. Nyheder fra markedet
  4. NIS 2-direktivet: Hvad operatører af ...

NIS 2-direktivet: Hvad operatører af vindmølleparker og vindmøller har brug for at vide nu

25.05.2025

En informativ oversigt for markedsdeltagere i den tyske vindindustri såsom driftsselskaber, serviceudbydere og energileverandører. Med NIS 2-direktivet (EU) 2022/2555 om styrkelse af cybersikkerheden i Unionen forfølger EU målet om at øge kritiske infrastrukturers modstandsdygtighed over for cybertrusler betydeligt. Direktivet erstatter det tidligere NIS-direktiv fra 2016 og skal være gennemført i national lovgivning senest i oktober 2024 – i Tyskland gennem den såkaldte NIS-2 Implementation and Cybersecurity Strengthening Act (NIS2UmsuCG).

Denne artikel belyser, hvem der er berørt i vindindustrien, hvilke sektorer og anlæg der er omfattet af anvendelsesområdet, og hvilke krav der følger af direktivet. I den forbindelse henviser vi væsentligt til erklæringen fra den tyske vindenergiforening (BWE) fra juli 2024 om udkastet til lovforslag fra BMI.

1. Hvem er berøres af NIS 2-direktivet?

Direktivet finder anvendelse på alle selskaber, der kritiske tjenester i specifikke sektorer og giver en særlig virksomhedens størrelse. Især følgende er afgørende:

  • Sektortilhørsforhold (f.eks. elproduktion)
  • virksomhedens størrelse (f.eks. antal ansatte, årlig omsætning, balancesum)
  • instituttets betydning (klassificeret som "vigtig" eller "særlig vigtig" institution)

Klassifikation af virksomheder

I den tyske gennemførelseslov skelnes der mellem:

  • "Særligt vigtige faciliteter": stor betydning for Forsyningssikkerhed og it-kritikalitet.
  • "Vigtige institutioner": mindre kritiske, men stadig relevante til sociale funktioner.

vindenergiselskaber er omfattet af lovgivning, hvis de:

  • Operatører af kraftværker (§ 3 nr. 18d EnWG),
  • Ydelser til sådanne operatører (f.eks. SCADA-systemer, operationel forvaltning)
  • IT-baserede processer med ekstern adgang (f.eks. fjernbetjening, dataoverførsel).

Særlig Udfordring for driftsselskaber

I vindindustrien er det almindeligt for vindmølleparker kan udskilles til selvstændige selskaber (f.eks. GmbH & Co. KG). Disse virksomheder alene er normalt ikke omfattet af regulering, da de er for små. Lovforslagets § 28 bestemmer imidlertid: at antallet af ansatte og salgsselskaber for så vidt angår tilknyttede selskaber kan henføres til moderselskabet på et pro rata-grundlag – forudsat at der ikke er nogen uafhængighed .

I praksis er disse datterselskaber men ofte helt afhængig af moderselskabets it-systemer, hvilket resulterer i – selvom de ikke selv har kontrol over IT have.


2. Hvilke Er sektorer berørt?

NIS 2-direktivet finder anvendelse på institutter fra 18 sektorer, opdelt i to kategorier:

2.1 Sektorer med høj kritikalitet ("særligt vigtige institutioner")

Disse omfatter bl.a.:

  • energi (elektricitet, herunder elproduktion, transmission og distribution)
  • Digital infrastruktur
  • Transport
  • Finans og forsikring

2.2 Andet kritiske sektorer ("centrale enheder")

Disse omfatter:

  • Fremstilling af komponenter til Energiteknologi
  • Affaldshåndtering
  • Post- og kurertjenester
  • Kemikalier, fødevarer, sundhedspleje

Til vindindustrien relevant:

  • Operatører af kraftværker
  • IT-tjenesteudbydere inden for SCADA-systemer, tilstandsovervågning, driftsstyringssoftware
  • Virksomheder med adgang til fjernbetjening af planter

3. Hvilket Er der nogen krav?

3.1 Tekniske og organisatoriske foranstaltninger

Berørte virksomheder skal gennemføre risikostyringsforanstaltninger i overensstemmelse med § 30 i lovforslaget. Disse omfatter:

  • Begreber til risikovurdering og IT-sikkerhed
  • Sikring af forretningskontinuitet (f.eks. sikkerhedskopier, beredskabsplaner)
  • Adgangs- og adgangskontrol
  • uddannelse af medarbejdere og Personale verifikation
  • Håndtering af sikkerhedshændelser

Særlig funktion til vindindustrien: operatører, der udfører opgaver på eksterne operatører eller IT-tjenesteudbydere, gennemførelsen af disse foranstaltninger.

3.2 Certificering af cybersikkerhed

Lovforslagets § 30, stk. 6, indeholder bestemmelser om en Forpligtelse til at certificere IKT-produkter, -tjenester og -processer før – baseret på europæiske ordninger i overensstemmelse med artikel 49 i forordning (EU) nr. 2019/881. Denne forpligtelse vedrører:

  • produkter såsom styreenheder til vindmølleparker SCADA-systemer
  • Software til driftsstyring
  • Løsninger til fjernadgang

I øjeblikket mangler de konkrete regler stadig og tidsplaner – derfor er usikkerheden stor blandt virksomhederne. The BWE opfordrer til tidlig klarhed, så virksomhederne kan begynde at gennemføre dåse.

3.3 Rapporteringsforpligtelser

Faciliteter skal være opmærksomme på sikkerhedshændelser inden for fastsatte frister:

  • Inden for 24 timer: Tidlig varsling
  • Inden for 72 timer: detaljeret rapport
  • Inden for 30 dage: Endelig rapport

Disse forpligtelser gælder kun for "påvirket".


4. Praktiske udfordringer for vindindustrien

Uklar afgrænsning af bestyrtelse

BWE's centrale kritik vedrører uklar definition af "uafhængighed". Hvis et driftsselskab ikke har egne IT-systemer, men formelt er omfattet af loven, er Gennemførelsen er næppe realistisk. BWE kræver derfor:

  • Et differentieret syn på Datterselskaber
  • Ingen forpligtelse for virksomheder uden De facto indflydelse på it-sikkerhed
  • Klar afgrænsning mellem operatør og IT-chefer

Grænseflade til Net Zero Industry Act

I forbindelse med Net Zero Industry Act (NZIA) vil cybersikkerhed også blive anvendt som et prækvalifikationskriterium for udbud . BWE foreslår derfor, at NIS 2 Implementation Act til kravene i NZIA. Målsætning: Udbud bør kun gives til udbydere, der anvender sikre IT-systemer – og på EU-basis.


5. Frister og overgangsbestemmelser

  • Virksomheder, der er omfattet af den nye forskrifter, skal kravene være opfyldt inden for 3 år efter Bevis ikrafttræden.
  • Fristen erstatter tidligere, strengere (f.eks. hvert andet år).
  • Det er stadig åbent, om og hvordan overgangsperioder for certificeringsforpligtelser.

6. Hvad er Hvad skal man gøre nu?

Anbefalede handlinger for Deltagere:

  • Lav en selvevaluering: Falder din virksomhed ind under NIS-2 kategorier?
  • Analyser it-risici: Hvilke systemer er kritiske? Hvilken en Adgang?
  • Kontrol af kontrakter: Kan tjenesteudbydere sikre overholdelse af Krav?
  • Etablering af medarbejderuddannelse: Øge bevidstheden om cybersikkerhed er obligatorisk.
  • Søg kontakt med foreninger: Hold kontakten via BWE eller andet Brancheorganisationer informerer om fremtidige regler.

Resultat

NIS 2-direktivet indfører en ny cybersikkerhed i vindindustrien. Mange operatører, Tjenesteudbydere og administrationsselskaber er – direkte eller indirekte – blive påvirket. Særligt kritisk: den nuværende usikkerhed om betonen samt de praktiske gennemførelsesmuligheder for Datterselskaber uden egen IT-adgang.

Det gør det så meget desto vigtigere at handle på et tidligt tidspunkt håndtere de nye krav, gennemgå processer og forberede certificerings- og rapporteringsforpligtelserne i god tid. Den Lovgiverne har pligt til at skabe klarhed – men også til at sikre, at Virksomhederne skal handle nu.

Flere nyheder

Vores partnere i vindenergiknudepunktet
Transport
Demontering
Inspektioner
Overfladebehandling
Kabel-teknologi
Natmarkering
Sikring af jord
Cybersikkerhed
Cybersikkerhed
Fortsat drift
Videresendelse 2.0
AI-overvågning
Følg os på