Die Energiewende steht und fällt mit der Zuverlässigkeit unserer Infrastruktur. Wasserstoff spielt dabei eine zentrale Rolle als Bindeglied zwischen erneuerbarer Energieerzeugung, Industrie, Mobilität und Speicherung. Doch mit wachsender Relevanz steigen auch die Anforderungen an die Sicherheit und Resilienz dieser Systeme. Zwei neue EU-Richtlinien greifen dabei gezielt ineinander: die CER-Richtlinie zur Resilienz kritischer Einrichtungen und die NIS2-Richtlinie zur Cybersicherheit.

CER-Richtlinie: Schutz für kritische physische Infrastruktur

Die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (Critical Entities Resilience, CER) verpflichtet Mitgliedstaaten und Unternehmen dazu, systemrelevante Infrastrukturen gegen physische Risiken zu schützen. Dazu zählen Naturkatastrophen, Sabotageakte, menschliches Versagen oder Störungen der Versorgungskette.
Für den Wasserstoffbereich heißt das: Betreiber von Elektrolyseuren, Pipelines, Speicheranlagen oder Tankstellen müssen sich darauf vorbereiten, als „kritische Einrichtungen“ eingestuft zu werden. Dies bringt konkrete Pflichten mit sich, wie die regelmäßige Durchführung von Risikoanalysen, die Entwicklung von Resilienzplänen und die Meldung von Vorfällen an nationale Stellen.

NIS2-Richtlinie: Digitale Resilienz wird Pflicht

Parallel zur CER-Richtlinie regelt die NIS2-Richtlinie (EU) 2022/2555 den Schutz vor digitalen Gefahren. Sie betrifft alle wesentlichen und wichtigen Einrichtungen, die in kritischen Sektoren tätig sind – darunter die Energieversorgung. Im Wasserstoffbereich betrifft das insbesondere die IT- und OT-Systeme zur Steuerung und Überwachung von Anlagen, Prozessen und Netzwerken.
Die Anforderungen reichen von der Einrichtung eines Cybersicherheits-Managementsystems über Schulungen des Personals bis zur 24h-Meldepflicht bei sicherheitsrelevanten Vorfällen. Auch Lieferketten und Dienstleister müssen in die Sicherheitsarchitektur einbezogen werden.

Zusammenspiel der Richtlinien: Zwei Seiten derselben Medaille

Besonders wichtig: Wer unter die CER-Richtlinie fällt, gilt automatisch auch als „wesentliche Einrichtung“ unter der NIS2-Richtlinie. Beide Vorgaben greifen also ineinander und verlangen einen ganzheitlichen Sicherheitsansatz – physisch und digital. Nationale Aufsichtsbehörden sind angehalten, diese Abstimmung zu unterstützen und Doppelregulierungen zu vermeiden.

Was Wasserstoffakteure jetzt tun sollten

Unternehmen sollten prüfen, ob sie als kritische oder wesentliche Einrichtung gelten. In diesem Fall sind folgende Schritte ratsam:

1. Aufbau eines Risikomanagements für physische und digitale Gefahren
2. Erstellung eines Resilienzplans und eines IT-Sicherheitskonzepts
3. Integration der CER- und NIS2-Vorgaben in bestehende Managementsysteme
4. Schulung von Mitarbeitenden und Festlegung interner Meldeprozesse
5. Austausch mit Verbänden, Aufsichtsbehörden und Partnern

Fazit: Sicherheit ist kein Zusatz, sondern Voraussetzung

Wasserstoff als Energiespeicher und -träger der Zukunft braucht eine robuste Infrastruktur. Die CER- und NIS2-Richtlinien zeigen klar: Wer systemrelevant ist, muss auch systemfest sein. Unternehmen, die jetzt proaktiv handeln, sichern nicht nur ihre Betriebsfähigkeit, sondern auch ihre Wettbewerbsfähigkeit in einem sensiblen und wachstumsstarken Markt.

Kombi-Checkliste zur Umsetzung der CER- und NIS2-Richtlinie im Wasserstoffsektor

Diese Checkliste hilft Wasserstoffakteuren, die Anforderungen der CER-Richtlinie (Resilienz kritischer Einrichtungen) und der NIS2-Richtlinie (Cybersicherheit) gemeinsam umzusetzen. Sie richtet sich an Betreiber von Elektrolyseuren, Speicheranlagen, Pipelines, Tankstellen oder digital vernetzten Wasserstoffinfrastrukturen, die als kritisch oder wesentlich gelten.

Zur Checkliste geht es hier.