linkedin

Cybersicherheit für BESS & PV-Wechselrichter: 3 EU-Regelwerke bei 80 % chinesischem Marktanteil

NIS-2, Cyber Resilience Act und mögliche Herstellerbeschränkungen verändern die Anforderungen an PV-Anlagen und Batteriespeicher grundlegend. Unser Beitrag erklärt, welche regulatorischen Entwicklungen Betreiber und Investoren jetzt kennen sollten.

70 bis 80 Prozent der in Europa eingesetzten PV-Wechselrichter stammen nach Einschätzung der Bundesregierung von chinesischen Herstellern. Parallel dazu verdichten sich auf weltweiter, EU- und Bundes-Ebene die regulatorischen Initiativen, die genau diese Abhängigkeit als Sicherheitsrisiko für kritische Energieinfrastruktur einstufen. Die Diskussion um die Cybersicherheit bei Anlagen für Erneuerbare Energien (EE-Anlagen) hat sich massiv verschärft.

Die Energiewende hat die Struktur unserer Stromversorgung grundlegend verändert. Weg von wenigen großen, zentralen Großkraftwerken, hin zu Millionen dezentralen, digital vernetzten Akteuren (wie Windparks, PV-Großanlagen und virtuellen Kraftwerken). Hinzu kommen noch Energiemanagementsysteme (EMS), die in Echtzeit KI-gesteuert mit Netzbetreibern, Marktplattformen und Aggregatoren verbunden sind und die Energieströme eines Unternehmens lenken. Aus Sicht der IT-Sicherheit entsteht dadurch eine riesige, schwer kontrollierbare Angriffsfläche. Diese rückt zunehmend in den Fokus von geopolitisch motivierten Akteuren oder kriminellen Vereinigungen.

Für Betreiber und Investoren von Batteriespeichersystemen (BESS) und PV-Anlagen ergibt sich daraus ein neues, dreigleisiges Compliance-Feld. Die NIS-2-Umsetzung im BSIG und EnWG, der EU Cyber Resilience Act (CRA) sowie die laufende Reform des Cybersecurity Act (CSA) mit einer möglichen Hochrisiko-Herstellerliste. Dieser Artikel ordnet den aktuellen Stand ein und zeigt, was für Betreiber ab sofort relevant wird.

Warum das Thema jetzt eskaliert

Das Thema eskaliert, weil Wechselrichter und Batteriemanagementsysteme (BMS) heute keine passiven Bauteile mehr sind, sondern vernetzte, fernwartbare Komponenten mit Cloud-Anbindung, Firmware-Updates und teils weitreichenden Fernsteuerungsfunktionen. Genau diese Konnektivität rückt sie in den Fokus der Sicherheitsbehörden – nicht die Solar- oder Speichertechnik selbst, sondern die Kontrolle über die digitalen Schnittstellen.

Auslöser der aktuellen Debatte waren unter anderem Berichte, wonach in chinesischen Wechselrichtern und auch in Batterien mehrerer chinesischer Lieferanten nicht dokumentierte Kommunikationskomponenten identifiziert wurden – laut Presseberichten unter Berufung auf US-Regierungsvertreter teils inklusive Mobilfunkmodulen. Die Angaben ließen sich bislang nicht unabhängig verifizieren, haben aber sowohl in den USA als auch in der EU zu einer beschleunigten regulatorischen Neubewertung geführt.

Die Bundesregierung stützt ihre Risikoeinschätzung dabei nicht nur auf technische, sondern ausdrücklich auch auf rechtliche und geopolitische Kriterien: Chinesische Unternehmen unterliegen weitreichenden gesetzlichen Mitwirkungspflichten gegenüber staatlichen Stellen, was aus deutscher und europäischer Sicht ein strukturelles Risiko unabhängig vom Einzelfall darstellt.

Die drei Kernbereiche der Debatte um Cybersicherheit

Der “Regulierungs-Schock”: NIS-2 und die neuen IT-Sicherheitskataloge

Die gesetzlichen Daumenschrauben in Sachen Cybersicherheit werden spürbar angezogen. Betreiber von EE-Anlagen stehen unter massivem Druck, neue rechtliche Vorgaben umzusetzen:

  • NIS-2-Umsetzung: Die europäische Cybersicherheitsrichtlinie nimmt nun auch viele mittelgroße Betreiber und Zulieferer in die Pflicht. Waren es vorher nur Anlagen ab 104 MW, die als “Kritische Infrastruktur” (KRITIS) galten, sind es nun weitaus mehr. Zudem erweitert das KRITIS-Dachgesetz von Januar 2026 den physischen Schutz für EE-Anlagen, schreibt Risikoanalysen, Resilienzmaßnahmen sowie Krisen- und Notfallmanagement vor und definiert Meldepflichten. Der Bundesverband Erneuerbare Energie (BEE) fordert daher Augenmaß, damit kleinere Betreiber nicht bürokratisch überfordert werden.
  • Aktualisierung der IT-Sicherheitskataloge: Die Bundesnetzagentur hat die Anforderungen für Stromnetz- und Anlagenbetreiber verschärft. Der Fokus liegt nun deutlich stärker auf einer Prozessorientierung – das bedeutet kontinuierliche Risikoanalysen und ein funktionierendes Business Continuity Management (BCM), um bei Ausfällen handlungsfähig zu bleiben.

Technische Schwachstellen und das “Cloud-Dilemma”

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Branchenexperten warnen vor strukturellen Defiziten bei der Cybersicherheit von EE-Anlagen in der Praxis:

  • Direkte Internet-Erreichbarkeit: Viele PV- und Windenergieanlagen wurden in der Vergangenheit schnell ans Netz gebracht, ohne dass IT-Sicherheit Priorität hatte. Offene Ports im Router oder Standard-Passwörter machen es Angreifern oft leicht.
  • Abhängigkeit von Hersteller-Clouds: Ein großes Diskussionsthema ist die funktionale Abhängigkeit von Steuerungssystemen an die Clouds der Hersteller (oft im außereuropäischen Ausland). Fällt die Cloud aus oder wird sie gehackt, verliert der Betreiber die Kontrolle über die Anlage. Das BSI empfiehlt daher dringend den Wechsel auf lokalen Betrieb oder stark abgesicherte Verbindungen (wie VPN).
  • Mangelnde Segmentierung: Im Gegensatz zu alten fossilen Kraftwerken sind die Netzwerke bei EE-Anlagen oft nicht sauber in administrative IT und operative Technik (OT) getrennt.

Die Lieferkette als Einfallstor (Supply-Chain-Risiken)

Ein Angreifer muss nicht jede Windkraftanlage oder jeden Solarpark einzeln hacken. Wenn die Software des Herstellers der netzbildenden Wechselrichter oder der Fernwartungsdienstleister kompromittiert wird, können tausende Anlagen auf einmal manipuliert werden. Dies gilt genauso für die digitale Infrastruktur von C&I Speicher oder Utility-Scale-BESS. NIS-2 nimmt deshalb explizit die gesamte Lieferkette in die Pflicht. Betreiber müssen ihre Dienstleister und die Cybersicherheit der eingekauften Komponenten aktiv prüfen.

Das systemische Risiko: Ein einzelnes gehacktes Windrad gefährdet das Stromnetz nicht. Werden jedoch über schlecht gesicherte Schnittstellen oder Botnetze tausende dezentrale Einspeiser koordiniert abgeschaltet oder manipuliert, kann dies die Stabilität des gesamten Stromnetzes gefährden.

Der regulatorische Dreiklang für Cybersicherheit: NIS-2, CRA und CSA-Reform

Auf diese Gemengelage aus technischer Angriffsfläche, Marktkonzentration und geopolitischer Kontrolle haben Brüssel und Berlin reagiert. Dies nicht mit einem einzelnen Gesetz, sondern mit einem mehrstufigen Regelungsrahmen. Er adressiert Cybersicherheit für Betreiber, Hersteller und einzelne Lieferanten getrennt. Diese drei Regelwerke überlagern sich, greifen dabei ineinander und sind für Betreiber von BESS- und PV-Anlagen relevant:

Kurzübersicht

NIS-2 (BSIG/EnWG)Cyber Resilience Act (CRA)CSA-Reform / Hochrisiko-Herstellerliste
RechtsnaturNationales Gesetz (NIS-2-Umsetzungsgesetz), umgesetzt über BSIG und EnWG (§ 5c ff.)EU-Verordnung, unmittelbar geltend, keine nationale Umsetzung nötigÜberarbeitung einer bestehenden EU-Verordnung, aktuell im Gesetzgebungsverfahren
AdressiertBetreiber (Netz- und Anlagenbetreiber, digitale Energiedienste/ Aggregatoren)Hersteller, Importeure, Händler von Produkten mit digitalen ElementenHersteller kritischer IKT-Komponenten; potenziell Einsatzverbote für bestimmte Lieferanten
RegeltOrganisatorische IT-Sicherheit, Risikomanagement, Meldepflichten, Einsatz kritischer KomponentenSecurity-by-Design, Schwachstellenmanagement, CE-Kennzeichnung für digitale ProdukteZertifizierungsschemata (u. a. EUCC/ECCF), mögliche Herstellerverbote nach Vorbild der 5G-Toolbox
Zuständige StellenBSI, BNetzA, BMI (bei kritischen Komponenten), BBK (KRITIS-Dachgesetz)Nationale Marktaufsicht, ENISA, notifizierte Konformitätsbewertungs-stellenENISA (erweiterte Befugnisse geplant), EU-Kommission
Zentrale FristenIn Kraft seit 5.12.2025; Registrierung binnen 3 Monaten; Resilienz-nachweise binnen 3 JahrenMeldepflichten ab 11.9.2026; vollständige Pflichten inkl. CE-Kennzeichnung ab 11.12.2027Vorschlag Januar 2026 vorgestellt; Gesetzgebungsverfahren läuft, Zeitplan noch offen
SanktionsrahmenBußgelder zwischen 100.000 € und 20 Mio. €, teils umsatzabhängigMarktzugangsverbot bei Nichtkonformität, BußgelderMöglicher vollständiger Marktausschluss gelisteter Hersteller
Relevanz für BESS/PVBetreiber müssen Risikomanagement, Angriffserkennung und ggf. Ausschluss kritischer Komponenten nachweisenWechselrichter- und BMS-Hersteller müssen Produkte über den gesamten Lebenszyklus absichern und Schwachstellen meldenEntscheidet, welche Hersteller (z. B. aus China) für EU-finanzierte oder kritische Projekte überhaupt zulässig bleiben

Wichtig für die Einordnung: Die drei Regelwerke wirken komplementär. NIS-2 verpflichtet den Betreiber, CRA verpflichtet den Hersteller, die CSA-Reform entscheidet potenziell darüber, welche Hersteller überhaupt noch zulässig sind. Ein Betreiber kann NIS-2-konform aufgestellt sein und trotzdem ein Produkt einsetzen, das später von einer Hochrisiko-Liste betroffen ist. So sind die Themen zwar rechtlich getrennt, aber praktisch nicht isoliert zu betrachten.

Was ist eine „kritische Komponente” – und wer darf sie verbieten?

Das NIS-2-Umsetzungsgesetz hat die frühere, aufwendige Garantieerklärungspflicht für Hersteller kritischer Komponenten abgeschafft und durch ein flexibleres, risikoorientiertes Prüf- und Untersagungsverfahren ersetzt. Das Bundesministerium des Innern (BMI) kann gegenüber Betreibern kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers untersagen oder Anordnungen erlassen, wenn dieser Einsatz die öffentliche Ordnung oder Sicherheit voraussichtlich beeinträchtigt. Bei der Prüfung berücksichtigt das BMI unter anderem, ob:

  • der Hersteller unmittelbar oder mittelbar von der Regierung eines Drittstaates kontrolliert wird,
  • der Hersteller zur Zusammenarbeit mit staatlichen Stellen oder Streitkräften eines Drittstaates verpflichtet ist oder verpflichtet werden kann,
  • der Hersteller an Aktivitäten beteiligt war, die die öffentliche Ordnung oder Sicherheit der Bundesrepublik oder anderer EU-/EFTA-Staaten beeinträchtigen könnten.

Im Energiesektor sind kritische Funktionen und Komponenten seit 2025 grundsätzlich definiert; ab 2026 müssen sie im Rahmen der Registrierung als Betreiber kritischer Anlagen an die Behörden gemeldet werden. Für Übertragungsnetzbetreiber gelten bereits konkrete Vorgaben für Netz- und Systemsteuerungsfunktionen; die Ausweitung auf weitere Anlagenkategorien ist absehbar.

Auf EU-Ebene geht die Debatte einen Schritt weiter: Die Europäische Investitionsbank schließt neue Finanzierungen für Projekte mit Wechselrichtern aus Hochrisikostaaten (China, Russland, Iran, Nordkorea) bereits schrittweise aus, mit einer Übergangsfrist für laufende Projekte bis zum 1. November 2026 und einer strengeren Phase ab April 2027. Nach Angaben der Kommission machen Wechselrichter rund 5 Prozent der Kosten großer Solaranlagen aus; der Umstieg auf risikoärmere Lieferanten soll die Gesamtprojektkosten um geschätzt unter 2 Prozent erhöhen.

Bauteil-Import statt Fertigprodukt-Import als Lösung für Cybersicherheit?

Die Öffentlichkeit vereinfacht die Debatte meist zu einem Gegensatz „chinesischer Hersteller vs. europäischer Hersteller”. In der Praxis beobachten wir bei CUBE CONCEPTS einen dritten, zunehmend verbreiteten Weg, der Cybersicherheit und Wirtschaftlichkeit kombiniert. Hersteller importieren einzelne Komponenten – Solarzellen bzw. -module, Batteriezellen, Leistungshalbleiter – direkt aus China, montieren die Endprodukte (Modul, Wechselrichter, Batteriespeicher) in Europa und statten sie hier mit europäischer Steuerungs-, Kommunikations- und Sicherheitssoftware aus.

Für die regulatorische Einordnung ist das relevant, weil sowohl NIS-2/BSIG als auch die diskutierte Hochrisiko-Herstellerliste primär auf den rechtlichen Hersteller und dessen Kontrollverhältnisse abstellen – nicht auf die Herkunft einzelner Bauteile. Die genannten BMI-Prüfkriterien (Kontrolle durch eine Drittstaat-Regierung, Mitwirkungspflichten gegenüber staatlichen Stellen) sind auf den Hersteller im rechtlichen Sinne zugeschnitten, nicht auf die physische Fertigungskette der Vorprodukte. Das eröffnet einen Interpretationsspielraum, der in den aktuellen Gesetzestexten und Konsultationen noch nicht abschließend geklärt ist:

  • Gilt ein Wechselrichter, dessen Leistungshalbleiter aus China stammen, der aber von einem europäischen Unternehmen mit europäischer Firmware final gefertigt wird, als Produkt eines Hochrisiko-Herstellers?
  • Reicht eine europäische Software- und Kommunikationsschicht aus, um die im Zusammenhang mit chinesischen Herstellern diskutierten Fernzugriffs- und Backdoor-Bedenken zu adressieren – oder bleibt ein Risiko auf Komponentenebene bestehen, etwa bei Batteriezellen mit werkseitig integrierter BMS-Firmware?
  • Wie wird eine solche hybride Fertigungskette im Rahmen der CRA-Konformitätsbewertung (Stückliste/SBOM, technische Dokumentation nach Anhang VII) abgebildet, wenn wesentliche Vorprodukte von Drittstaat-Zulieferern stammen?

Für Planer, Betreiber und Investoren bedeutet das: Eine reine Prüfung des Herstellerlandes greift zu kurz. Wer belastbare Aussagen zur Lieferkette treffen will, sollte zusätzlich die Herkunft kritischer Vorprodukte (Zellchemie, Leistungselektronik, Kommunikationsmodule) sowie die Kontrolle über die Software- und Firmware-Ebene erfragen – unabhängig davon, wo die Endmontage stattfindet.

BESS versus PV-Wechselrichter: unterschiedliche Risikoprofile

Die öffentliche Cybersicherheit-Debatte konzentriert sich bislang stark auf PV-Wechselrichter, weil deren Marktkonzentration bei chinesischen Herstellern (u. a. Huawei, Sungrow, Ginlong Solis) besonders ausgeprägt ist. Für BESS-Betreiber sind mehrere Punkte gesondert zu betrachten:

  • Batteriemanagementsysteme (BMS) und Leistungselektronik (PCS) unterliegen denselben grundsätzlichen Konnektivitätsrisiken wie Wechselrichter – Berichte über nicht dokumentierte Kommunikationsmodule betrafen laut Presseberichten nicht nur Wechselrichter, sondern auch Batteriekomponenten mehrerer chinesischer Lieferanten.
  • FTM-Großspeicher mit Netzdienstleistungsverträgen (Regelenergie, Redispatch) sind aus Netzstabilitätssicht potenziell sensibler als verteilte Kleinanlagen, da sie konzentrierte Leistung mit direkter Systemrelevanz bündeln – zugleich unterliegen sie in der Regel bereits heute strengeren Anforderungen, etwa durch NIS-2 oder den BNetzA-IT-Sicherheitskatalog, wenn sie als kritische Anlage eingestuft sind.
  • Kleinere, verteilte Anlagen (Home-Storage, kleine C&I-Systeme) sind laut Solarpower Europe tendenziell schlechter reguliert, obwohl auch sie über herstellereigene Clouds oder Installateur-Backends vernetzt sind und damit ein aggregiertes Risiko darstellen können.

Für Betreiber und Investoren bedeutet das: Die Cybersicherheits-Bewertung eines Projekts sollte nicht nur die Wechselrichterebene betrachten, sondern die gesamte digitale Kette – BMS, EMS, PCS, Kommunikationsmodule und die jeweiligen Backend-Anbindungen.

Praktische Implikationen für Betreiber & Investoren

  • Lieferantenauswahl dokumentieren: Wer Betreiber einer kritischen Anlage ist oder werden könnte, sollte die Herkunft und rechtliche Kontrollstruktur von Wechselrichter-, BMS- und PCS-Herstellern bereits heute nachvollziehbar dokumentieren – nicht erst, wenn eine Untersagungsverfügung droht. Das schließt die Komponentenebene ein: Bei europäischer Endmontage mit chinesischen Vorprodukten lohnt ein Blick auf Zellchemie-, Halbleiter- und Firmware-Herkunft.
  • Fristen im Blick behalten: Die CRA-Meldepflichten für Hersteller greifen ab September 2026, die vollständigen Anforderungen ab Dezember 2027. Betreiber sollten von ihren Lieferanten frühzeitig Nachweise zur CRA-Roadmap einfordern, auch wenn die Pflicht formal beim Hersteller liegt.
  • NIS-2-Betroffenheit prüfen: Auch bislang nicht klassisch KRITIS-pflichtige Betreiber (etwa digitale Energiedienste/Aggregatoren) können durch die Ausweitung des Adressatenkreises neu unter das BSIG bzw. EnWG fallen.
  • Regulatorische Entwicklung ist noch nicht abgeschlossen: Die CSA-Reform mit der möglichen Hochrisiko-Herstellerliste befindet sich noch im Gesetzgebungsverfahren; ein Ausschluss bestimmter Hersteller ist wahrscheinlich, aber Umfang und Zeitpunkt sind noch offen.

Zeitstrahl: Die wichtigsten Fristen zur Cybersicherheit

blank

FAQ

Werden chinesische Wechselrichter in der EU verboten?

Ein generelles Verbot besteht Stand Juli 2026 nicht. Die EIB schließt jedoch neue Finanzierungen für Projekte mit Wechselrichtern aus Hochrisikostaaten schrittweise aus, und die EU-Kommission diskutiert im Rahmen der CSA-Reform eine Hochrisiko-Herstellerliste nach Vorbild der 5G-Toolbox. Zusätzlich kann das BMI in Deutschland den Einsatz kritischer Komponenten einzelner Hersteller im Einzelfall untersagen.

Ab wann gilt der Cyber Resilience Act für BESS-Komponenten?

Meldepflichten für aktiv ausgenutzte Schwachstellen gelten für Hersteller ab dem 11. September 2026. Die vollständigen Anforderungen inklusive CE-Kennzeichnung für Produkte mit digitalen Elementen gelten ab dem 11. Dezember 2027.

Sind BESS-Betreiber automatisch NIS-2-pflichtig?

Nein. Die NIS-2-Pflichten richten sich nach Anlagengröße, Sektor und Einstufung als kritische Anlage nach BSI-KritisV bzw. nach den Schwellenwerten für „wichtige” und „besonders wichtige” Einrichtungen. Eine Einzelfallprüfung ist erforderlich.

Was unterscheidet NIS-2 vom Cyber Resilience Act?

NIS-2 richtet sich an Betreiber von Anlagen und Netzen und regelt organisatorische Cybersicherheit (Risikomanagement, Meldepflichten). Der CRA richtet sich an Hersteller von Produkten mit digitalen Elementen und regelt die Produktsicherheit über den gesamten Lebenszyklus.

Kostenloses Erstgespräch

Lastgang & Standort analysieren — in 30 Minuten zur wirtschaftlichsten Energielösung.

Wir analysieren Ihren Standort, Ihr Lastprofil und Ihre Bezugskosten herstellerunabhängig. Sie erfahren sofort, wie PV und Batteriespeicher Ihre Netzkosten senken und regulatorische Fristen (EnWG, EPBD) optimal nutzen – ohne technisches Risiko oder Eigeninvestition.

Regulatorik und Deadlines im Blick · Inkl. 250+ Simulationsvarianten · Kostenlos & ohne Commitment

Weitere interessante Beiträge

Hürden der CSRD-Berichtspflicht

Hürden bei der CSRD-Berichtspflicht

Nach der EU-Richtlinie von 2026 konzentriert sich CSRD nun auf Unternehmen ab 1.000 Mitarbeitenden, für die eine fundierte ESG-Governance zur strategischen Pflicht wird. Dieser Beitrag beleuchtet die entscheidenden Schritte von der Ist-Analyse bis zum Monitoring.

Weiterlesen »
PV-Anlagen bei negativen Strompreisen

PV-Anlagen bei negativen Strompreisen

Seit Februar 2025 entfällt die EEG-Vergütung ab der ersten Stunde negativer Preise. Betreiber regelbarer Anlagen mit Batteriespeichern sind im Vorteil: Sie speichern Überschüsse zwischen oder verschieben Lasten, statt die Anlage komplett abzuschalten, und agieren so systemdienlich sowie wirtschaftlich unabhängig von Börsenschwankungen.

Weiterlesen »
Solar-Carports - Luftbild

Newsletter Anmeldung