Ein B2B-Unternehmen im Bereich der Energietechnologie ist eine ganze Stadt. Und zwar eine, die mit anderen Städten zusammenarbeitet. Sie treibt Handel mit ihnen, tauscht Daten mit ihnen aus und verbindet ihre Infrastruktur mit der der anderen. Verteilnetzbetreiber senden Signale. Daten von Verbraucher:innen fließen hindurch. Netzbetreiber, Energieversorger, neue Energiehändler, Hardwarehersteller und Cloud-Dienste – sie alle spielen in dieser Beziehung eine Rolle.
Und wenn du deine Infrastruktur mit einer anderen Stadt vernetzt, sollte deine erste Frage lauten: Kannst du darauf vertrauen, wie diese Stadt verwaltet wird?
Eine Stadt ist nur dann eine Partnerschaft wert, wenn sie von innen heraus sicher ist und an ihren Grenzen geschützt.
Dabei stellt sich nie die Frage, ob die Tore verschlossen sind. Es geht darum, dass die Stadt sicher weiterfunktionieren kann, während sich das Leben in ihr durchmischt und bewegt. Die Frage ist, ob die Stadt all diese Beziehungen außerhalb aufrechterhalten kann. Offen. Effizient. Und mit absoluter Klarheit darüber, wer Zutritt hat und wer nicht.
Das ist die Perspektive, aus der wir bei gridX Cybersicherheit denken. Und das ist auch die Perspektive, von der aus unsere CyberVadis-Bewertung als „Mature“ (zu Deutsch: „reif“) bei einer Punktzahl von 895/1.000 zu verstehen ist.
Diese steht nicht sinnbildlch für ein verschlossenes Tor, sondern dient als Beweis für eine wohlverwaltete Stadt. Als Beweis für eine Stadt, die Europas anspruchsvollste Energieunternehmen als vertrauensvollen Partner sehen.
Was macht eine Stadt sicher? Ihre Mauern sind es nicht. Es sind Flächennutzungspläne und Bauvorschriften. Es ist eine Feuerwehr, die trainiert, bevor es brennt, um schnell und professionell reagieren zu können. Es sind Straßen, die so angelegt sind, dass Rettungsdienste jedes Stadtviertel erreichen können. Es sind die Gutachter, die prüfen, ob die Brücken sicher sind – nicht, weil sie erwarten, dass sie heute einstürzen, sondern weil die Kosten einer unterlassenen Prüfung unvorstellbar hoch wären.
Ernsthaft betriebene Cybersicherheit funktioniert genau so.
gridX ist an der Schnittstelle zwischen Energieinfrastruktur, Daten von Verbraucher:innen und echtzeitbasiertem Netzmanagement tätig. Unsere EMS-Plattform ist das Bindeglied zwischen Energieversorgern, Netzbetreibern, Hardwareherstellern und den Haushalten und Unternehmen, die sie versorgen. Ein Sicherheitsversagen bedeutet eine Störung der kritischen Infrastruktur. Es bedeutet einen Verstoß gegen den Schutz der personenbezogenen Daten von Zehntausenden von Endnutzer:innen. Es bedeutet einen Vertrauensverlust, den sich der Energiesektor – der ohnehin schon einen der komplexesten Wandlungsprozesse seiner Geschichte durchläuft – nicht leisten kann.
Deshalb hat sich gridX nicht das Ziel gesteckt, einfach nur eine Prüfung zu bestehen. Wir haben uns zum Ziel gesetzt, eine Stadt zu schaffen, in der es sich zu leben lohnt.
Was genau CyberVadis getestet hat

Unsere Punktzahl von 895/1.000 wurde durch CyberVadis ermittelt – einer der strengsten unabhängigen Benchmarking-Plattformen für Cybersicherheit, die von großen europäischen Unternehmen zur Überprüfung ihrer Lieferketten genutzt wird. Jede Kontrollmaßnahme musste dokumentiert, nachgewiesen und unabhängig validiert werden.
Über 167 einzelne Sicherheitskontrollen hinweg wurde gridX in einer Vielzahl von Schwerpunktbereichen bewertet – darunter Governance, Datenschutz, Risikobewertung, Personalsicherheit und Drittanbietermanagement.
Unsere Gesamtpunktzahl: 895 von 1.000. Der CyberVadis-Benchmark-Durchschnitt aller bewerteten Unternehmen: 670. Das sind 225 Punkte über der Benchmark – ein deutliches Zeichen für unser Engagement im Bereich Cybersicherheit.
Die Einstufung „Mature“ am oberen Ende der Skala bedeutet im Sinne der Bewertung: Diese Stadt wurde nicht nur auf guten Absichten gebaut. Es ist eine Stadt mit einer gut durchdachten und funktionierenden Infrastruktur.
Der Cybersicherheits-Score von gridX: Wo unsere Stärken liegen und warum sie wichtig sind
Governance und Risikobewertung: 1.000/1.000
In beiden Bereichen wurde geprüft, ob Sicherheit formell definiert, kommuniziert und umgesetzt wird – und nicht nur theoretisch vorgesehen ist.
Im Bereich Governance ist die Informationssicherheitsrichtlinie von gridX formell dokumentiert und für alle Mitarbeiter:innen von jedem Standort aus zugänglich. Rollen und Verantwortlichkeiten für die Informationssicherheit sind unternehmensweit klar definiert, und gridX wurde im Rahmen einer Informationssicherheitsbewertung unabhängig zertifiziert.
Im Bereich Risikobewertung verfügt gridX über einen formellen Maßnahmenplan zur Risikenbewältigung – eine festgelegte Vorgehensweise zur Minderung identifizierter Risiken, anstatt bei auftretenden Problemen ad hoc zu reagieren.
Eine perfekte Punktzahl bedeutet jedoch nicht, dass niemals etwas schiefgehen wird. Sie bedeutet vielmehr, dass für den Fall, dass etwas schiefgeht, bereits eine dokumentierte Struktur zur Reaktion vorhanden ist, die nicht erst aufgebaut werden muss.
Personalsicherheit: 1.000/1.000
Dieser Bereich bewertet, wie Sicherheitsaspekte über den gesamten Mitarbeiterlebenszyklus hinweg verankert sind – vom Einstellungsprozess und Onboarding bis hin zur täglichen Arbeit. Dabei wird geprüft, ob Unternehmen die richtigen Prozesse etabliert haben, um von Anfang an eine starke Sicherheitskultur zu fördern.
Wie Jonas Quilitz, Chief Product Officer bei gridX, erklärt, „Technologie schützt den Perimeter, aber Menschen sind die eigentliche erste Verteidigungslinie. Die Bewertung von 1.000 von 1.000 Punkten im Bereich Personalsicherheit sowie Sensibilisierung und Schulung zeigt, dass Sicherheit bei gridX Teil unserer Unternehmenskultur ist – und nicht nur eine Kontrollmaßnahme.“
Diese Kultur beginnt bereits vor dem ersten Arbeitstag. Jeder neue Mitarbeiter und jede neue Mitarbeiterin – ob festangestellt, befristet oder als Dienstleister – unterzeichnet einen Verhaltenskodex oder eine Geheimhaltungsvereinbarung (NDA). Darüber hinaus durchlaufen alle Bewerber vor ihrem Eintritt formelle Hintergrundüberprüfungen.
Sensibilisierung und Weiterbildung: 1.000/1.000
Alle Mitarbeiter:innen erhalten auf ihre jeweilige Rolle zugeschnittene Sicherheitsschulungen, nehmen an laufenden Sensibilisierungskampagnen zum Thema Social Engineering teil und werden darin geschult, verdächtiges Verhalten zu erkennen und zu melden – unterstützt durch Tools wie SoSafe. Bei der Sensibilisierung handelt es sich dabei nicht um ein einmaliges Einarbeitungsmodul. Sie wird kontinuierlich vertieft und in der Praxis überprüft.
Vorfallbearbeitung und -reaktion: 1.000/1.000
Hier werden zwei Funktionen von CyberVadis kombiniert: „Detect“ (Probleme erkennen) und „React“ (darauf reagieren). gridX erzielte in beiden Bereichen die volle Punktzahl.
Im Bereich der Erkennung protokolliert und überwacht gridX kontinuierlich Aktivitäten der Benutzer:innen, Geschäftsanwendungen und die Netzwerkinfrastruktur, wobei die Protokolle vor Manipulationen geschützt sind. Unterstützt wird dies durch regelmäßige Penetrationstests, Schwachstellenscans und einen formellen Plan zum Schwachstellenmanagement.
Hinsichtlich der Reaktion verfügt gridX über einen dokumentierten Prozess zum Vorfallmanagement, einschließlich eines Verfahrens zur Aktivierung einer Krisenmanagementeinheit bei schwerwiegenden Vorfällen, eines dedizierten Security-Incident-Response-Teams (SIRT) und eines formellen Verfahrens zur umgehenden Benachrichtigung betroffener Geschäftskunden.
Wie Alei Salem, Head of Security bei gridX, sagt: „Jeder hat einen Plan, bis er Opfer eines Cyberangriffs wird. Ein Notfallplan, der nicht regelmäßig überprüft wird, führt unweigerlich dazu, dass man bei (unerwarteten) Widrigkeiten in Panik gerät und regelrecht erstarrt. Es ist unerlässlich, seine Pläne regelmäßig zu testen, bis sie in Fleisch und Blut übergehen; wenn dann ein Vorfall eintritt, kann man die Ruhe bewahren, die Vorgehensweise befolgen und die Situation auf die effizienteste und effektivste Weise bewältigen.“
Zusammengenommen bedeuten diese Ergebnisse, dass Probleme in Echtzeit erkannt und strukturiert und zuverlässig angegangen werden.
Netzwerkmanagement und mobile Sicherheit: 957/1.000
gridX sichert jeden Verbindungspunkt, nicht nur das Büronetzwerk. Das Netzwerk ist in Sicherheitszonen unterteilt, sowohl auf der Perimeter- als auch auf der Anwendungsebene gesichert und durch starke Verschlüsselung für Kommunikation und Authentifizierung geschützt. Im mobilen Bereich durchlaufen alle privaten Geräte vor der Verbindung eine Sicherheitsprüfung, der Zugriff ist ausschließlich auf zugelassene Geräte beschränkt, und eine Mobile-Device-Management-Lösung (MDM) verwaltet diese zentral und kann den Zugriff widerrufen, falls ein Gerät verloren geht oder gestohlen wird.
Datenschutz: 892/1.000
Die Einhaltung der Datenschutz-Grundverordnung (DSGVO) ist mehr als nur eine Richtlinie – sie wird in der Praxis umgesetzt. gridX hat einen Datenschutzbeauftragten ernannt, führt ein vollständiges Verzeichnis der Verarbeitung personenbezogener Daten und bietet betroffenen Personen formelle Möglichkeiten, auf ihre Daten zuzugreifen, diese zu berichtigen, zu löschen oder zu übertragen. Aufbewahrungsfristen und Löschverfahren sind festgelegt, und es gibt ein Benachrichtigungsverfahren, um betroffene Personen, Verantwortliche und Aufsichtsbehörden im Falle einer Datenpanne zu informieren.
Für europäische Energieversorger, die unter zunehmender behördlicher Aufsicht stehen, ist die Datenschutzpolitik eines Technologiepartners kein nebensächliches Anliegen. Sie hat direkten Einfluss auf ihre eigenen Compliance-Verpflichtungen.
Sicherheit bei Projekten und in der Anwendungsentwicklung: 903/1.000
Bei gridX ist Sicherheit bereits in die Produktentwicklung integriert und wird nicht erst nachträglich hinzugefügt. Es gibt eine formale Methodik für sichere Entwicklung, und die Entwickler sind in deren Anwendung geschult. Test- und Produktionsumgebungen werden getrennt gehalten, der Zugriff auf den Quellcode ist eingeschränkt und kontrolliert, und jedes Release durchläuft vor der Bereitstellung eine Codeüberprüfung und Sicherheitstests.
Sicherheitsmanagement für Dritte: 790/1.000
Kein Unternehmen kann seine Sicherheit isoliert gewährleisten. gridX verlangt bei Bedarf unterzeichnete Geheimhaltungsvereinbarungen von Dritten und verpflichtet Cloud-Anbieter zur Einhaltung eines dokumentierten Standards: Nachweis eines Geschäftskontinuitätsplans, eines dokumentierten Vorfallreaktionsprozesses sowie offizieller Zertifizierungen zur Informationssicherheit. Cloud-Anbieter werden zudem regelmäßig entsprechend der Art der von ihnen angebotenen Lösung bewertet. Eine Punktzahl von 790 spiegelt einen ausgereiften Ansatz in einem Bereich wider, in dem viele andere Unternehmen von ähnlicher Größe noch im Entwicklungsstadium sind.
KI-Governance: 808/1.000
Da KI zunehmend in die Verwaltung von Energiesystemen integriert wird, hat gridX die rechtlichen und regulatorischen Anforderungen im Zusammenhang mit dem KI-Einsatz identifiziert und dokumentiert, führt ein aktuelles Verzeichnis der eingesetzten KI-Systeme und -Tools und hat Sicherheitsmaßnahmen rund um den KI-Einsatz formalisiert. Die Mitarbeiter:innen werden zudem im KI-Risikomanagement geschult. Für ein Unternehmen in dieser Phase ist dieses Niveau der KI-Governance ungewöhnlich – und ein bedeutendes Signal für Geschäftskunden, die sich mit ihren eigenen KI-Verpflichtungen auseinandersetzen.
Was die Cybersicherheitsbewertung von gridX für die Energieunternehmen bedeutet, mit denen wir zusammenarbeiten
Es gibt eine Form der Cybersicherheit, bei der es ausschließlich um die Verteidigungsfähigkeit geht: Man tut gerade so viel, dass man die Anforderungen erfüllt, und macht dann weiter wie bisher. Das ist nicht das, was eine Bewertung von 895 ausmacht.
Sie steht für ein Unternehmen, das erkannt hat, dass Sicherheit dazu gehört, wenn man als ernstzunehmender Akteur im Bereich kritischer Infrastrukturen auftreten will. Sie repräsentiert einen Lieferkettenpartner, auf den sich große europäische Energieunternehmen verlassen können.
Anne B. Bicking, CEO von gridX, drückt es so aus: „Die dezentrale Energiewende ist ein groß angelegtes Wachstumsspiel – doch was man nicht verteidigen kann, lässt sich auch nicht skalieren. Unser CyberVadis-Score von 895 ist mehr als nur ein Vertrauenssiegel; er ist der eindeutige Beweis dafür, dass gridX eine hochsichere Infrastruktur auf Unternehmensniveau bereitstellt, die in der Lage ist, kritische Energieanlagen zu schützen. Dieses Maß an Cybersicherheit gewährleistet, dass unsere Partner offensiv wachsen können – unter vollständiger Einhaltung internationaler Standards wie NIS-2 und ohne Abstriche bei der Systemstabilität.“
Die Energiewende wird nicht von einer einzelnen Stadt im Alleingang vorangetrieben. Es bedarf eines Netzwerks von Städten – über Versorgungsgrenzen, nationale Stromnetze und Schnittstellen von Verbraucher:innen hinweg –, die alle miteinander verbunden sind, miteinander handeln und nur so vertrauenswürdig sind wie das schwächste Glied in der Kette.
Wir wollen eine der sichersten Städte sein, mit denen man zusammenarbeiten kann.
Häufig gestellte Fragen (FAQ)
Warum ist ein Cybersicherheits-Score bei der Bewertung eines Partners für Energiesoftware von Bedeutung?
Weil deine Infrastruktur nur so sicher ist wie der schwächste Punkt in deiner Lieferkette. Wenn du eine EMS-Plattform in deine Betriebsabläufe integrierst, kaufst du nicht nur Software – du verbindest deine Systeme, deine Daten und die Daten deiner Endkundinnen und -kunden mit der Sicherheitslage eines anderen Unternehmens. Ein verifiziertes Rating eines unabhängigen Anbieters wie unser CyberVadis-Ergebnis von 895/1.000 gibt dir eine konkrete Bewertungsgrundlage, sodass du dich nicht nur auf unser Wort verlassen brauchst.
Wie wirkt sich die CyberVadis-Bewertung von gridX auf unsere eigene Einhaltung gesetzlicher Vorschriften als Energieversorger oder Energiehändler aus?
Direkt. Gemäß NIS2 sind Betreiber kritischer Dienste nicht nur für ihre eigene Sicherheit verantwortlich, sondern auch für die Sicherheitspraktiken der Technologiepartner in ihrer Lieferkette. Die Zusammenarbeit mit einem Partner, der unabhängig geprüft und mit „Mature“ bewertet wurde, bedeutet eine Lücke weniger in der Compliance-Bilanz und ein Dokumentationselement mehr, auf das du bei Fragen einer Behörde verweisen kannst.
Ist die CyberVadis-Bewertung ein einmaliges Zertifikat oder ein fortlaufender Prozess?
Es handelt sich um einen fortlaufenden Prozess. CyberVadis-Bewertungen werden regelmäßig aktualisiert, sodass die Ergebnisse den aktuellen Stand eines Unternehmens zum Zeitpunkt der Bewertung widerspiegeln. Unsere Bewertung vom Mai 2026 ist aktuell, und wir arbeiten bereits an den Verbesserungspotenzialen, die im Bewertungsbericht identifiziert wurden. Die Sicherheitslage ist in der Tat etwas, das man kontinuierlich aufrechterhalten muss.
Was passiert, wenn es zu einem Sicherheitsvorfall kommt, der die Plattform von gridX betrifft?
Unser „React“-Ergebnis von 1.000/1.000 spiegelt einen vollständig strukturierten Prozess zur Reaktion auf Vorfälle wider – mit festgelegten Rollen, dokumentierten Verfahren und klaren Kommunikationsprotokollen. Im Falle eines Vorfalls wissen wir genau, wer was wann zu tun hat. Unser „Detect“-Ergebnis von 1.000/1.000 bedeutet, dass wir auch darauf vorbereitet sind, Probleme in Echtzeit zu erkennen, anstatt sie erst im Nachhinein zu entdecken. Gerne erläutern wir potenziellen Partnern unseren Reaktionplan im Detail.
Kann ich den vollständigen CyberVadis-Bericht einsehen, bevor ich einen Vertrag unterzeichne?
Ja. Im Rahmen eines ernsthaften Beschaffungs- oder Due-Diligence-Prozesses stellen wir gerne den vollständigen Bericht zur Verfügung. Wenn du die Bedeutung der Ergebnisse im Kontext deiner spezifischen Sicherheitsanforderungen besprechen möchtest, steht dir unser Team für ein individuelles Gespräch zur Verfügung.

