Für Betreiber von Stromnetzen gibt es neben der KRITIS und neuen NIS2-Regulierung ab Ende 2025 auch den EU Network Code on Cybersecurity (NCCS) . EU NCCS regelt die Sicherheit von grenzüberschreitenden Stromflüssen in der EU und wurde 2024 von der EU-Kommission verabschiedet. Es gibt eine Schnittmenge mit NIS2, NCCS geht für betroffene Einrichtungen mehr in die Tiefe. Betroffen von EU NCCS sind drei Gruppen an Unternehmen im Energiesektor: NCCS Electricity system operators and market actors (TSO, DSO, NEMO, RCC und weitere), Service and governance entities (kritische ICT-Provider, Managed Security Service Providers und weitere) und schließlich Third-country actors (nicht-EU Einrichtungen mit Einfluss auf grenzüberschreitende Stromflüsse). EU NCCS fordert von betroffenen Unternehmen Cybersecurity-Maßnahmen und regulierte Prozesse: Ein Management-System (CSMS/ISMS), Lieferketten-Sicherheit, Vorfallsmeldungen, Audits und Compliance sowie Teilnahme am Monitoring. Unternehmen müssen von nationalen Behörden nominiert werden, und fallen dann (meist) unter EU NIS2/NCCS Doppelregulierung (neben EnWG & co.).