70 bis 80 Prozent der in Europa eingesetzten PV-Wechselrichter stammen nach Einschätzung der Bundesregierung von chinesischen Herstellern. Parallel dazu verdichten sich auf weltweiter, EU- und Bundes-Ebene die regulatorischen Initiativen, die genau diese Abhängigkeit als Sicherheitsrisiko für kritische Energieinfrastruktur einstufen. Die Diskussion um die Cybersecurity bei Anlagen für Erneuerbare Energien (EE-Anlagen) hat sich massiv verschärft.
Die Energiewende hat die Struktur unserer Stromversorgung grundlegend verändert. Weg von wenigen großen, zentralen Großkraftwerken, hin zu Millionen dezentralen, digital vernetzten Akteuren (wie Windparks, PV-Großanlagen und virtuellen Kraftwerken). Hinzu kommen noch Energiemanagementsysteme (EMS), die in Echtzeit KI-gesteuert mit Netzbetreibern, Marktplattformen und Aggregatoren verbunden sind und die Energieströme eines Unternehmens lenken. Aus Sicht der IT-Sicherheit entsteht dadurch eine riesige, schwer kontrollierbare Angriffsfläche. Diese rückt zunehmend in den Fokus von geopolitisch motivierten Akteuren oder kriminellen Vereinigungen.
Für Betreiber und Investoren von Batteriespeichersystemen (BESS) und PV-Anlagen ergibt sich daraus ein neues, dreigleisiges Compliance-Feld. Die NIS-2-Umsetzung im BSIG und EnWG, der EU Cyber Resilience Act (CRA) sowie die laufende Reform des Cybersecurity Act (CSA) mit einer möglichen Hochrisiko-Herstellerliste. Dieser Artikel ordnet den aktuellen Stand ein und zeigt, was für Betreiber ab sofort relevant wird.
Warum das Thema jetzt eskaliert
Das Thema eskaliert, weil Wechselrichter und Batteriemanagementsysteme (BMS) heute keine passiven Bauteile mehr sind, sondern vernetzte, fernwartbare Komponenten mit Cloud-Anbindung, Firmware-Updates und teils weitreichenden Fernsteuerungsfunktionen. Genau diese Konnektivität rückt sie in den Fokus der Sicherheitsbehörden – nicht die Solar- oder Speichertechnik selbst, sondern die Kontrolle über die digitalen Schnittstellen.
Auslöser der aktuellen Debatte waren unter anderem Berichte, wonach in chinesischen Wechselrichtern und auch in Batterien mehrerer chinesischer Lieferanten nicht dokumentierte Kommunikationskomponenten identifiziert wurden – laut Presseberichten unter Berufung auf US-Regierungsvertreter teils inklusive Mobilfunkmodulen. Die Angaben ließen sich bislang nicht unabhängig verifizieren, haben aber sowohl in den USA als auch in der EU zu einer beschleunigten regulatorischen Neubewertung geführt.
Die Bundesregierung stützt ihre Risikoeinschätzung dabei nicht nur auf technische, sondern ausdrücklich auch auf rechtliche und geopolitische Kriterien: Chinesische Unternehmen unterliegen weitreichenden gesetzlichen Mitwirkungspflichten gegenüber staatlichen Stellen, was aus deutscher und europäischer Sicht ein strukturelles Risiko unabhängig vom Einzelfall darstellt.
Die drei Kernbereiche der Debatte um Cybersicherheit
Der “Regulierungs-Schock”: NIS-2 und die neuen IT-Sicherheitskataloge
Die gesetzlichen Daumenschrauben in Sachen Cybersicherheit werden spürbar angezogen. Betreiber von EE-Anlagen stehen unter massivem Druck, neue rechtliche Vorgaben umzusetzen:
- NIS-2-Umsetzung: Die europäische Cybersicherheitsrichtlinie nimmt nun auch viele mittelgroße Betreiber und Zulieferer in die Pflicht. Waren es vorher nur Anlagen ab 104 MW, die als “Kritische Infrastruktur” (KRITIS) galten, sind es nun weitaus mehr. Zudem erweitert das KRITIS-Dachgesetz von Januar 2026 den physischen Schutz für EE-Anlagen, schreibt Risikoanalysen, Resilienzmaßnahmen sowie Krisen- und Notfallmanagement vor und definiert Meldepflichten. Der Bundesverband Erneuerbare Energie (BEE) fordert daher Augenmaß, damit kleinere Betreiber nicht bürokratisch überfordert werden.
- Aktualisierung der IT-Sicherheitskataloge: Die Bundesnetzagentur hat die Anforderungen für Stromnetz- und Anlagenbetreiber verschärft. Der Fokus liegt nun deutlich stärker auf einer Prozessorientierung – das bedeutet kontinuierliche Risikoanalysen und ein funktionierendes Business Continuity Management (BCM), um bei Ausfällen handlungsfähig zu bleiben.
Technische Schwachstellen und das “Cloud-Dilemma”
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Branchenexperten warnen vor strukturellen Defiziten bei der Cybersicherheit von EE-Anlagen in der Praxis:
- Direkte Internet-Erreichbarkeit: Viele PV- und Windenergieanlagen wurden in der Vergangenheit schnell ans Netz gebracht, ohne dass IT-Sicherheit Priorität hatte. Offene Ports im Router oder Standard-Passwörter machen es Angreifern oft leicht.
- Abhängigkeit von Hersteller-Clouds: Ein großes Diskussionsthema ist die funktionale Abhängigkeit von Steuerungssystemen an die Clouds der Hersteller (oft im außereuropäischen Ausland). Fällt die Cloud aus oder wird sie gehackt, verliert der Betreiber die Kontrolle über die Anlage. Das BSI empfiehlt daher dringend den Wechsel auf lokalen Betrieb oder stark abgesicherte Verbindungen (wie VPN).
- Mangelnde Segmentierung: Im Gegensatz zu alten fossilen Kraftwerken sind die Netzwerke bei EE-Anlagen oft nicht sauber in administrative IT und operative Technik (OT) getrennt.
Die Lieferkette als Einfallstor (Supply-Chain-Risiken)
Ein Angreifer muss nicht jede Windkraftanlage oder jeden Solarpark einzeln hacken. Wenn die Software des Herstellers der netzbildenden Wechselrichter oder der Fernwartungsdienstleister kompromittiert wird, können tausende Anlagen auf einmal manipuliert werden. Dies gilt genauso für die digitale Infrastruktur von C&I Speicher oder Utility-Scale-BESS. NIS-2 nimmt deshalb explizit die gesamte Lieferkette in die Pflicht. Betreiber müssen ihre Dienstleister und die Cybersicherheit der eingekauften Komponenten aktiv prüfen.
Das systemische Risiko: Ein einzelnes gehacktes Windrad gefährdet das Stromnetz nicht. Werden jedoch über schlecht gesicherte Schnittstellen oder Botnetze tausende dezentrale Einspeiser koordiniert abgeschaltet oder manipuliert, kann dies die Stabilität des gesamten Stromnetzes gefährden.
Der regulatorische Dreiklang für Cybersicherheit: NIS-2, CRA und CSA-Reform
Auf diese Gemengelage aus technischer Angriffsfläche, Marktkonzentration und geopolitischer Kontrolle haben Brüssel und Berlin reagiert. Dies nicht mit einem einzelnen Gesetz, sondern mit einem mehrstufigen Regelungsrahmen. Er adressiert Cybersicherheit für Betreiber, Hersteller und einzelne Lieferanten getrennt. Diese drei Regelwerke überlagern sich, greifen dabei ineinander und sind für Betreiber von BESS- und PV-Anlagen relevant:
Kurzübersicht
| NIS-2 (BSIG/EnWG) | Cyber Resilience Act (CRA) | CSA-Reform / Hochrisiko-Herstellerliste | |
| Rechtsnatur | Nationales Gesetz (NIS-2-Umsetzungsgesetz), umgesetzt über BSIG und EnWG (§ 5c ff.) | EU-Verordnung, unmittelbar geltend, keine nationale Umsetzung nötig | Überarbeitung einer bestehenden EU-Verordnung, aktuell im Gesetzgebungsverfahren |
| Adressiert | Betreiber (Netz- und Anlagenbetreiber, digitale Energiedienste/ Aggregatoren) | Hersteller, Importeure, Händler von Produkten mit digitalen Elementen | Hersteller kritischer IKT-Komponenten; potenziell Einsatzverbote für bestimmte Lieferanten |
| Regelt | Organisatorische IT-Sicherheit, Risikomanagement, Meldepflichten, Einsatz kritischer Komponenten | Security-by-Design, Schwachstellenmanagement, CE-Kennzeichnung für digitale Produkte | Zertifizierungsschemata (u. a. EUCC/ECCF), mögliche Herstellerverbote nach Vorbild der 5G-Toolbox |
| Zuständige Stellen | BSI, BNetzA, BMI (bei kritischen Komponenten), BBK (KRITIS-Dachgesetz) | Nationale Marktaufsicht, ENISA, notifizierte Konformitätsbewertungs-stellen | ENISA (erweiterte Befugnisse geplant), EU-Kommission |
| Zentrale Fristen | In Kraft seit 5.12.2025; Registrierung binnen 3 Monaten; Resilienz-nachweise binnen 3 Jahren | Meldepflichten ab 11.9.2026; vollständige Pflichten inkl. CE-Kennzeichnung ab 11.12.2027 | Vorschlag Januar 2026 vorgestellt; Gesetzgebungsverfahren läuft, Zeitplan noch offen |
| Sanktionsrahmen | Bußgelder zwischen 100.000 € und 20 Mio. €, teils umsatzabhängig | Marktzugangsverbot bei Nichtkonformität, Bußgelder | Möglicher vollständiger Marktausschluss gelisteter Hersteller |
| Relevanz für BESS/PV | Betreiber müssen Risikomanagement, Angriffserkennung und ggf. Ausschluss kritischer Komponenten nachweisen | Wechselrichter- und BMS-Hersteller müssen Produkte über den gesamten Lebenszyklus absichern und Schwachstellen melden | Entscheidet, welche Hersteller (z. B. aus China) für EU-finanzierte oder kritische Projekte überhaupt zulässig bleiben |
Wichtig für die Einordnung: Die drei Regelwerke wirken komplementär. NIS-2 verpflichtet den Operator, CRA verpflichtet den Manufacturer, die CSA-Reform entscheidet potenziell darüber, welche Hersteller überhaupt noch zulässig sind. Ein Betreiber kann NIS-2-konform aufgestellt sein und trotzdem ein Produkt einsetzen, das später von einer Hochrisiko-Liste betroffen ist. So sind die Themen zwar rechtlich getrennt, aber praktisch nicht isoliert zu betrachten.
Was ist eine „kritische Komponente” – und wer darf sie verbieten?
Das NIS-2-Umsetzungsgesetz hat die frühere, aufwendige Garantieerklärungspflicht für Hersteller kritischer Komponenten abgeschafft und durch ein flexibleres, risikoorientiertes Prüf- und Untersagungsverfahren ersetzt. Das Bundesministerium des Innern (BMI) kann gegenüber Betreibern kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers untersagen oder Anordnungen erlassen, wenn dieser Einsatz die öffentliche Ordnung oder Sicherheit voraussichtlich beeinträchtigt. Bei der Prüfung berücksichtigt das BMI unter anderem, ob:
- der Hersteller unmittelbar oder mittelbar von der Regierung eines Drittstaates kontrolliert wird,
- der Hersteller zur Zusammenarbeit mit staatlichen Stellen oder Streitkräften eines Drittstaates verpflichtet ist oder verpflichtet werden kann,
- der Hersteller an Aktivitäten beteiligt war, die die öffentliche Ordnung oder Sicherheit der Bundesrepublik oder anderer EU-/EFTA-Staaten beeinträchtigen könnten.
Im Energiesektor sind kritische Funktionen und Komponenten seit 2025 grundsätzlich definiert; ab 2026 müssen sie im Rahmen der Registrierung als Betreiber kritischer Anlagen an die Behörden gemeldet werden. Für Übertragungsnetzbetreiber gelten bereits konkrete Vorgaben für Netz- und Systemsteuerungsfunktionen; die Ausweitung auf weitere Anlagenkategorien ist absehbar.
Auf EU-Ebene geht die Debatte einen Schritt weiter: Die Europäische Investitionsbank schließt neue Finanzierungen für Projekte mit Wechselrichtern aus Hochrisikostaaten (China, Russland, Iran, Nordkorea) bereits schrittweise aus, mit einer Übergangsfrist für laufende Projekte bis zum 1. November 2026 und einer strengeren Phase ab April 2027. Nach Angaben der Kommission machen Wechselrichter rund 5 Prozent der Kosten großer Solaranlagen aus; der Umstieg auf risikoärmere Lieferanten soll die Gesamtprojektkosten um geschätzt unter 2 Prozent erhöhen.
Bauteil-Import statt Fertigprodukt-Import als Lösung für Cybersicherheit?
Die Öffentlichkeit vereinfacht die Debatte meist zu einem Gegensatz „chinesischer Hersteller vs. europäischer Hersteller”. In der Praxis beobachten wir bei CUBE CONCEPTS einen dritten, zunehmend verbreiteten Weg, der Cybersicherheit und Wirtschaftlichkeit kombiniert. Hersteller importieren einzelne Komponenten – Solarzellen bzw. -module, Batteriezellen, Leistungshalbleiter – direkt aus China, montieren die Endprodukte (Modul, Wechselrichter, Battery storage) in Europa und statten sie hier mit europäischer Steuerungs-, Kommunikations- und Sicherheitssoftware aus.
Für die regulatorische Einordnung ist das relevant, weil sowohl NIS-2/BSIG als auch die diskutierte Hochrisiko-Herstellerliste primär auf den rechtlichen Hersteller und dessen Kontrollverhältnisse abstellen – nicht auf die Herkunft einzelner Bauteile. Die genannten BMI-Prüfkriterien (Kontrolle durch eine Drittstaat-Regierung, Mitwirkungspflichten gegenüber staatlichen Stellen) sind auf den Hersteller im rechtlichen Sinne zugeschnitten, nicht auf die physische Fertigungskette der Vorprodukte. Das eröffnet einen Interpretationsspielraum, der in den aktuellen Gesetzestexten und Konsultationen noch nicht abschließend geklärt ist:
- Gilt ein Wechselrichter, dessen Leistungshalbleiter aus China stammen, der aber von einem europäischen Unternehmen mit europäischer Firmware final gefertigt wird, als Produkt eines Hochrisiko-Herstellers?
- Reicht eine europäische Software- und Kommunikationsschicht aus, um die im Zusammenhang mit chinesischen Herstellern diskutierten Fernzugriffs- und Backdoor-Bedenken zu adressieren – oder bleibt ein Risiko auf Komponentenebene bestehen, etwa bei Batteriezellen mit werkseitig integrierter BMS-Firmware?
- Wie wird eine solche hybride Fertigungskette im Rahmen der CRA-Konformitätsbewertung (Stückliste/SBOM, technische Dokumentation nach Anhang VII) abgebildet, wenn wesentliche Vorprodukte von Drittstaat-Zulieferern stammen?
Für Planer, Betreiber und Investoren bedeutet das: Eine reine Prüfung des Herstellerlandes greift zu kurz. Wer belastbare Aussagen zur Lieferkette treffen will, sollte zusätzlich die Herkunft kritischer Vorprodukte (Zellchemie, Leistungselektronik, Kommunikationsmodule) sowie die Kontrolle über die Software- und Firmware-Ebene erfragen – unabhängig davon, wo die Endmontage stattfindet.
BESS versus PV-Wechselrichter: unterschiedliche Risikoprofile
Die öffentliche Cybersicherheit-Debatte konzentriert sich bislang stark auf PV-Wechselrichter, weil deren Marktkonzentration bei chinesischen Herstellern (u. a. Huawei, Sungrow, Ginlong Solis) besonders ausgeprägt ist. Für BESS-Betreiber sind mehrere Punkte gesondert zu betrachten:
- Batteriemanagementsysteme (BMS) und Leistungselektronik (PCS) unterliegen denselben grundsätzlichen Konnektivitätsrisiken wie Wechselrichter – Berichte über nicht dokumentierte Kommunikationsmodule betrafen laut Presseberichten nicht nur Wechselrichter, sondern auch Batteriekomponenten mehrerer chinesischer Lieferanten.
- FTM-Großspeicher mit Netzdienstleistungsverträgen (Regelenergie, Redispatch) sind aus Netzstabilitätssicht potenziell sensibler als verteilte Kleinanlagen, da sie konzentrierte Leistung mit direkter Systemrelevanz bündeln – zugleich unterliegen sie in der Regel bereits heute strengeren Anforderungen, etwa durch NIS-2 oder den BNetzA-IT-Sicherheitskatalog, wenn sie als kritische Anlage eingestuft sind.
- Kleinere, verteilte Anlagen (Home-Storage, kleine C&I-Systeme) sind laut Solarpower Europe tendenziell schlechter reguliert, obwohl auch sie über herstellereigene Clouds oder Installateur-Backends vernetzt sind und damit ein aggregiertes Risiko darstellen können.
Für Betreiber und Investoren bedeutet das: Die Cybersicherheits-Bewertung eines Projekts sollte nicht nur die Wechselrichterebene betrachten, sondern die gesamte digitale Kette – BMS, EMS, PCS, Kommunikationsmodule und die jeweiligen Backend-Anbindungen.
Praktische Implikationen für Betreiber & Investoren
- Lieferantenauswahl dokumentieren: Wer Betreiber einer kritischen Anlage ist oder werden könnte, sollte die Herkunft und rechtliche Kontrollstruktur von Wechselrichter-, BMS- und PCS-Herstellern bereits heute nachvollziehbar dokumentieren – nicht erst, wenn eine Untersagungsverfügung droht. Das schließt die Komponentenebene ein: Bei europäischer Endmontage mit chinesischen Vorprodukten lohnt ein Blick auf Zellchemie-, Halbleiter- und Firmware-Herkunft.
- Fristen im Blick behalten: Die CRA-Meldepflichten für Hersteller greifen ab September 2026, die vollständigen Anforderungen ab Dezember 2027. Betreiber sollten von ihren Lieferanten frühzeitig Nachweise zur CRA-Roadmap einfordern, auch wenn die Pflicht formal beim Hersteller liegt.
- NIS-2-Betroffenheit prüfen: Auch bislang nicht klassisch KRITIS-pflichtige Betreiber (etwa digitale Energiedienste/Aggregatoren) können durch die Ausweitung des Adressatenkreises neu unter das BSIG bzw. EnWG fallen.
- Regulatorische Entwicklung ist noch nicht abgeschlossen: Die CSA-Reform mit der möglichen Hochrisiko-Herstellerliste befindet sich noch im Gesetzgebungsverfahren; ein Ausschluss bestimmter Hersteller ist wahrscheinlich, aber Umfang und Zeitpunkt sind noch offen.
Zeitstrahl: Die wichtigsten Fristen zur Cybersicherheit

Frequently Asked Questions
Werden chinesische Wechselrichter in der EU verboten?
Ein generelles Verbot besteht Stand Juli 2026 nicht. Die EIB schließt jedoch neue Finanzierungen für Projekte mit Wechselrichtern aus Hochrisikostaaten schrittweise aus, und die EU-Kommission diskutiert im Rahmen der CSA-Reform eine Hochrisiko-Herstellerliste nach Vorbild der 5G-Toolbox. Zusätzlich kann das BMI in Deutschland den Einsatz kritischer Komponenten einzelner Hersteller im Einzelfall untersagen.
Ab wann gilt der Cyber Resilience Act für BESS-Komponenten?
Meldepflichten für aktiv ausgenutzte Schwachstellen gelten für Hersteller ab dem 11. September 2026. Die vollständigen Anforderungen inklusive CE-Kennzeichnung für Produkte mit digitalen Elementen gelten ab dem 11. Dezember 2027.
Sind BESS-Betreiber automatisch NIS-2-pflichtig?
Nein. Die NIS-2-Pflichten richten sich nach Anlagengröße, Sektor und Einstufung als kritische Anlage nach BSI-KritisV bzw. nach den Schwellenwerten für „wichtige” und „besonders wichtige” Einrichtungen. Eine Einzelfallprüfung ist erforderlich.
Was unterscheidet NIS-2 vom Cyber Resilience Act?
NIS-2 richtet sich an Betreiber von Anlagen und Netzen und regelt organisatorische Cybersicherheit (Risikomanagement, Meldepflichten). Der CRA richtet sich an Hersteller von Produkten mit digitalen Elementen und regelt die Produktsicherheit über den gesamten Lebenszyklus.