Viele Stadtwerke und kommunale Energieversorger haben in den vergangenen Monaten erheblich in ihre IT-Sicherheit investiert. Die NIS2-Richtlinie hat diesen Schub ausgelöst. Firewalls wurden erneuert, Netzwerke segmentiert, Monitoring-Systeme eingeführt — Maßnahmen, die zweifellos zur Widerstandsfähigkeit beitragen. Gleichwohl zählte das BSI allein in der ersten Jahreshälfte 2025 insgesamt 68 kritische Cyberangriffe auf das deutsche Energiesystem. Die Ursache liegt in der Struktur der Angriffe selbst. Erfolgreiche Attacken auf Energieinfrastruktur beginnen selten mit hochkomplexen Einbrüchen in abgesicherte Systeme. Sie beginnen mit Phishing-Mails, gestohlenen Zugangsdaten, Social Engineering und manipulierten Fernwartungszugängen. Alle diese Einstiegsvektoren zielen nicht auf die Technik, sondern auf den Menschen. Wer unter Zeitdruck eine täuschend echte E-Mail nicht als Angriff erkennt, öffnet eine Tür, die keine Firewall schließen kann. Das gilt für den IT-Administrator ebenso wie für die Kollegin in der Leitstelle oder den Monteur im Außendienst. Gezielte Schulungsprogramme senken die Phishing-Anfälligkeit von knapp 48 auf unter vier Prozent — eine Risikoreduktion um mehr als 90 Prozent, ohne zusätzliche Hard- oder Software. Wer diese Zahl kennt und Schulungen dennoch als nachrangige Compliance-Aufgabe abarbeitet, verkennt die Bedrohungslage. Artikel 21 der NIS2-Richtlinie zieht daraus die Konsequenz und erhebt Schulungen zur gesetzlichen Pflicht. Verlangt werden rollenspezifisch konzipierte Maßnahmen, revisionssicher dokumentiert und bei behördlichen Prüfungen unmittelbar nachweisbar. Betroffen sind keineswegs nur IT-Abteilungen. Die Richtlinie nennt ausdrücklich Leitstellen-Personal, Außendienst, Anlagensteuerungsteams und die Leitungsebene. Ein Einheitsformat, das allen alles beibringen soll, erfüllt diese Anforderung auf dem Papier, in der Praxis scheitert es. Für Stadtwerke und kommunale Infrastrukturbetreiber folgt daraus eine konkrete Frage. Wie sieht ein Schulungskonzept aus, das tatsächlich greift und im Ernstfall belastbar ist? Die Antwort liegt nicht im nächsten E-Learning-Kurs von der Stange, sondern in einem systematischen Transferprozess, der Rollen, Arbeitsrealitäten und reale Angriffsszenarien zusammenführt. Genau diesen Ansatz hat die ML Gruppe aus ihrer täglichen Praxis heraus entwickelt. Als etablierter Bildungspartner des Bundes begleitet das Unternehmen seit über drei Jahrzehnten große Organisationen durch komplexe Transformationsprozesse. Mit rund 400 Experten, 70 mobilen Klassenzimmern und jährlich über 130.000 Teilnehmertagen stellt die Gruppe bundesweit sicher, dass das erworbene Wissen nahtlos im Arbeitsalltag ankommt. Für kommunale Energieversorger bietet die ML Gruppe daher rollenspezifische Programme, die klassische Präsenztrainings eng mit realitätsnahen Angriffssimulationen verzahnen. Ergänzt wird dies durch eine lückenlose, auditkonforme Dokumentation. Damit wird die formale Schulungspflicht der NIS2-Richtlinie in methodische Qualität übersetzt – jenen entscheidenden Faktor, der letztlich über die tatsächliche Handlungsfähigkeit der Mitarbeiter im Ernstfall bestimmt. (DEKOM, 22.06.2026) Ganzer Artikel hier…
