AI Regulatory Intelligence — by YRproject

sachliche Einordnung · nachvollziehbar bis zur Primärquelle

Compliance-Plattform Zusammenarbeiten LinkedIn NL·EN·DE
Erläuterung

KI im Energiesektor: kritische Infrastruktur und NIS2

Verabschiedet 2026-06-22 · ≈ 2 Min. Lesezeit · Dirk Baaijen

KI, die die Verwaltung oder den Betrieb der Energieversorgung steuert, kann nach der KI-Verordnung Hochrisiko sein (Anhang III, kritische Infrastruktur). Zugleich fällt der Energiesektor unter NIS2 für Cybersicherheit. Zwei Regime mit teils überlappenden Anforderungen an Robustheit und Aufsicht.

Kurze Antwort: KI im Energiesektor berührt zwei Regime. Steuert das KI-System als Sicherheitsbauteil die Verwaltung oder den Betrieb kritischer Infrastruktur — man denke an Netzbalancierung, Smart Grids oder Versorgungssicherheit —, kann es nach Anhang III der KI-Verordnung Hochrisiko sein. Daneben fällt der Sektor als "wesentliche Einrichtung" unter NIS2. Beide stellen Anforderungen an Robustheit, Sicherheit und Aufsicht, die man am besten gemeinsam erfüllt.

Anhang III: kritische Infrastruktur

Anhang III der KI-Verordnung stuft KI-Systeme, die als Sicherheitsbauteil bei der Verwaltung und dem Betrieb kritischer digitaler Infrastruktur, des Straßenverkehrs und der Versorgung mit unter anderem Elektrizität bestimmt sind, als Hochrisiko ein. Die Prüfung ist funktional: Bestimmt das System (mit), ob die Versorgung sicher und zuverlässig bleibt? Eine KI, die die Last für die Planung prognostiziert, ist etwas anderes als eine KI, die in Echtzeit ins Netz eingreift — Letztere lehnt sich in Richtung Hochrisiko.

NIS2: Cybersicherheit

NIS2 (Richtlinie (EU) 2022/2555) stuft Energie als Sektor mit wesentlichen Einrichtungen ein. Das bringt Pflichten zu Risikomanagement, Vorfallmeldung, Sicherheit der Lieferkette und Verantwortlichkeit der Leitungsorgane mit sich. Für KI-Systeme, die auf kritischen Prozessen laufen, bedeutet NIS2, dass die Sicherheit des Systems selbst — gegen Manipulation, Datenvergiftung oder Ausfall — Teil der gesetzlichen Sorgfaltspflicht ist, nicht freiwillig.

Wo die Regime sich berühren

Die KI-Verordnung verlangt für Hochrisiko-Systeme Genauigkeit, Robustheit und Cybersicherheit (Art. 15). NIS2 verlangt angemessene technische und organisatorische Maßnahmen für die gesamte Einrichtung. Diese überlappen in der Praxis: Ein Angriff, der eine Netz-KI täuscht, ist zugleich eine Frage der Robustheit nach der KI-Verordnung und ein NIS2-Vorfall. Klug ist es, das KI-Risikomanagement in die breitere NIS2-Sicherheitspolitik einzubetten, sodass eine Governance-Struktur beides abdeckt.

Nicht alles ist Hochrisiko

Viel Energie-KI ist kein Sicherheitsbauteil: Verbrauchsprognose, Tarifoptimierung oder Kundenanalysen. Diese fallen außerhalb von Anhang III, können aber durchaus unter die DSGVO fallen (intelligente Zähler, Profiling) oder unter NIS2, wenn sie auf kritischen Systemen laufen. Das Muster des Zusammentreffens von Sicherheit und Sektorregeln ähnelt dem bei KI in der Industrie.

Was zu tun ist

  • Klassifizieren Sie je System: Ist die KI ein Sicherheitsbauteil für die Versorgung oder unterstützend?
  • Integrieren Sie Governance: bringen Sie die Robustheit nach der KI-Verordnung in Ihre NIS2-Sicherheitspolitik ein.
  • Sichern Sie die Vorfallmeldung: sorgen Sie dafür, dass KI-Störungen in die NIS2-Meldekette passen.
  • Schützen Sie Daten und Modell vor Manipulation und Vergiftung — das ist sowohl KI-Verordnung als auch NIS2.
  • Verankern Sie die Verantwortung auf Leitungsebene; NIS2 macht das ausdrücklich.

Im Energiesektor ist KI selten ein eigenständiges IT-Projekt. Sie ist Teil kritischer Infrastruktur und wird von KI-Verordnung und NIS2 gemeinsam beurteilt.

Quellen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordnung (EU) 2024/1689 (KI-Verordnung): Anhang III nennt KI als Sicherheitsbauteil bei Verwaltung und Betrieb kritischer Infrastruktur als Hochrisiko.
  2. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlinie (EU) 2022/2555 (NIS2): Cybersicherheitspflichten für wesentliche Einrichtungen, darunter der Energiesektor.

Share on LinkedIn

Lesen Sie auch

U

KI in der Telekommunikation: Netzwerkmanagement, Betrugserkennung und NIS2

Telekommunikationsunternehmen setzen KI für Netzoptimierung und Betrugserkennung ein. Die KI-Verordnung betrifft vor allem die Betrugserkennung, die Kunden bewertet, während NIS2 strenge Anforderungen an Cybersicherheit und Meldung dieser wesentlichen Infrastruktur stellt.

W

Die KI-Verordnung für den CISO: Artikel 15, NIS2 und der CRA

Die KI-Verordnung stellt in Artikel 15 Anforderungen an Genauigkeit, Robustheit und Cybersicherheit von Hochrisiko-KI. Für den CISO kommt dies zusätzlich zu NIS2 und dem Cyber Resilience Act hinzu. Diese Übersicht erläutert das Zusammenspiel und was Security-Teams konkret regeln müssen.

W

Genauigkeit, Robustheit und Cybersicherheit: Artikel 15 der KI-Verordnung

Artikel 15 verlangt, dass Hochrisiko-KI über die gesamte Lebensdauer ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreicht. Das System muss Fehlern, Störungen und Angriffen wie Data Poisoning und gegnerischen Eingaben standhalten. Dieser Artikel erläutert, was das bedeutet.

Dirk Baaijen

Über diese Wissensdatenbank

Zusammengestellt und gepflegt von YRproject — Programm- und Projektsteuerung an der Schnittstelle von digitaler Transformation, KI und Regulierung. Jede sachliche Aussage ist bis zur Primärquelle nachvollziehbar. Hinter YRproject steht Dirk Baaijen Über & Methode →

Ein Projekt oder Programm? Mit YRproject arbeiten →

Das monatliche Briefing

KI-Regulierung in fünf Minuten: was sich geändert hat, was kommt und was es bedeutet. Kein Spam, jederzeit abbestellbar.

Ihre Adresse wird nur hierfür verwendet und auf eigenen Servern gespeichert.