Wasser und Abwasser

Im Sektor Wasser und Abwasser versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit zwei kritischen Dienstleistungen – der Versorgung mit Trinkwasser und der Beseitigung von Abwasser. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.

KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2024 um viele Einrichtungen, die als Unternehmen reguliert werden, wenn sie Unternehmensgrößen überschreiten.

Nr.	Unternehmen	Scope
	Betreiber kritischer Anlagen	Anlage über Schwellenwert (KRITIS)
	KRITIS-Sektordefinition Wasser: Trinkwasserversorgung: Gewinnung, Aufbereitung, Verteilung, Leitzentrale Abwasserbeseitigung: Kanalisation, Kläranlage, Leitzentrale
	Besonders wichtige Einrichtung	Unternehmen (NIS2) >250 Mitarbeiter oder >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanz
	Wichtige Einrichtung	Unternehmen (NIS2) >50 Mitarbeiter oder >10 Mio. EUR Umsatz und >13 Mio. EUR Bilanz
	NIS2-Sektordefinition Wasser: Trinkwasserversorgung: Wasserversorgungsanlagen Abwasserbeseitigung: Abwasser sammeln, entsorgen, behandeln

Regulierte Pflichten

NIS2 und KRITIS

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Die Gesetze sind in Arbeit und sollen Oktober 2024 in Kraft treten. Für Betreiber kritischer Anlagen (KRITIS) als auch die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Dezember 2023
Thema	Betreiber kritischer Anlagen		Einrichtungen
Gesetz	NIS2-Umsetzung	KRITIS-Dachgesetz	NIS2-Umsetzung
Fristen	ab 2024	ab 2026	ab 2024
Scope	Kritische Anlage	Kritische Anlage	Unternehmen
Pflichten	Registrierung Vorfallsmeldungen Sanktionen Prüfungen	Registrierung Vorfallsmeldungen Sanktionen	Registrierung Vorfallsmeldungen Sanktionen
Maßnahmen	Informationssicherheit Risikomanagement IT-Sicherheit Angriffserkennung SzA	Resilienz Risikomanagement Physische Sicherheit	Informationssicherheit Risikomanagement IT-Sicherheit
Nachweise	Audits	Stichproben	Stichproben
Regulator	BSI	BBK/Länder	BSI

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.

KRITIS

Kritische Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Wasser in der KRITIS-Verordnung definiert. Betreiben Unternehmen kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie KRITIS-Betreiber.

aus BSI-KritisV August 2021, Anhang 2
Nr.	Anlage	Beschreibung	Schwellenwert
1.	Trinkwasserversorgung (nach DIN 4046)
1.1.1	Gewinnungsanlage	Brunnen, Brunnenreihe, Sickerleitung, Sickerstollen, Zisterne, Entnahmebauwerk oder Stauanlage für Oberflächenwasser oder Rohwasser	22 Mio. m³/Jahr	gewonnene Wassermenge
1.2.1	Aufbereitungsanlage (Wasserwerk)	Einrichtungen zur Trinkwasseraufbereitung inkl. Nebenanlagen und Mess-, Steuerungs- und Regelungstechnik	22 Mio. m³/Jahr	aufbereitete Wassermenge
1.3.1	Wasserverteilungssystem	Rohrleitungen, Trinkwasserbehälter, Förderanlagen und Einrichtungen zur Verteilung von Wasser an Verbraucher	22 Mio. m³/Jahr	verteilte Wassermenge
1.4.1	Leitzentrale	Leitwarte, Leitstelle oder Prozessleitwarte, in der Anlagen zentral überwacht/gesteuert werden	22 Mio. m³/Jahr	gesteuerte Wassermenge
2.	Abwasserbeseitigung (nach DIN EN 16323)
2.1.1	Kanalisation	Netz von Rohrleitungen und Zusatzbauten zur Ableitung von Abwasser von Anschlusskanälen zu Kläranlagen oder anderen Entsorgungsstellen	500 Tsd.	angeschlossene Einwohner
2.2.1	Kläranlage	Anlage, in der Abwasser physikalisch, biologisch und/oder chemisch behandelt wird (DIN EN 16323)	500 Tsd.	ausgebaut für Einwohner
2.3.1	Leitzentrale	Leitwarte, Leitstelle oder Prozessleitwarte, in der Anlagen zentral überwacht/gesteuert werden	500 Tsd.	ausgebaut für Einwohner

Schwellenwerte

Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.

Abwasserbeseitigung

Der Schwellenwert für die Anlagen Kanalisation, Kläranlage und Leitzentrale (1.1.1 bis 1.3.1) ist das direkte Bemessungskriterium versorgter Personen:

500.000 angeschlossene Einwohner

Trinkwasserversorgung

In den Anlagen Wasserwerk, Verteilungssystem und Leitzentrale (2.1.1 bis 2.4.1) berechnet sich der Schwellenwert über den angenommenen Durchschnittsverbrauch von 44 m³ Trinkwasser pro Person pro Jahr für 500.000 versorgte Personen.

22 Mio. m³ Trinkwasser pro Jahr

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

NIS2

Einrichtungen

Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.

aus NIS2-Umsetzungsgesetz, Entwurf Dezember 2023
† - gemeint sind immer ganze Unternehmen als *Betreiber von ...*
Nr.	Teilsektor	Einrichtungsart†	Besonderheit
5.1	Trinkwasserversorgung (Teilsektor)
5.1.1		Wasserversorgungsanlagen § 2 Nr. 3 TrinkwV	als wesentlicher Teil der Geschäftstätigkeit
5.2	Abwasserbeseitigung (Teilsektor)
5.2.1		Abwasser sammeln, entsorgen oder behandeln im Sinne §2 Abs. 1 AbwAG	als wesentlicher Teil der Geschäftstätigkeit

Regulierung und Standards

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

Branchenspezifischer Sicherheitsstandard Wasser/Abwasser, DVGW, DWA, Version 2021.2, Webseite des BSI (gültig bis Januar 2025)

Weitere Informationen

Literatur

Nutzung des branchenspezifischen Sicherheitsstandards Wasser/Abwasser (B3SWA) in Verbundunternehmen, BSI, Version 1.01, 30.11.2018
B3S Wasser/Abwasser - Hinweise zum Nachweisverfahren gemäß § 8a (3) BSIG, DVGW und DWA, Version 0.9, 1.3.2018
Erfahrungen bei der Implementierung des branchenspezifischen Sicherheitsstandards Wasser/Abwasser in einem Wasserversorgungsunternehmen, DVGW energie/wasser-praxis Nr. 8/2018
Der Branchenspezifische Sicherheitsstandard Wasser/Abwasser (B3S WA) in der Version 2, DWA Korrespondenz Wasserwirtschaft 2020 (13) Nr. 6
Fragen und Antworten zur IT-Sicherheitsgesetzgebung Wasser/Abwasser, Verband kommunaler Unternehmen (VKU), 2016

Quellen

BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
DIN EN 16323:2014-07, Wörterbuch für Begriffe der Abwassertechnik, Juli 2014
DIN 4046:1983-09, Wasserversorgung; Begriffe; Technische Regel des DVGW, September 1983