KRITIS-Sektor Wasser

Im KRITIS-Sektor Wasser erbringen KRITIS-Betreiber zwei kritische Dienstleistungen zur Versorgung der Allgemeinheit mit Trinkwasser und der Beseitigung von Abwasser:

  1. Trinkwasserversorgung: Gewinnung, Aufbereitung, Verteilung, Steuerung und Überwachung
  2. Abwasserbeseitigung: Siedlungsentwässerung, Abwasserbehandlung, Gewässereinleitung, Steuerung und Überwachung

Erbringen Betreiber diese kritischen Dienstleistungen in eigenen Anlagen und überschreiten dabei Schwellenwerte (meist 500 Tsd. versorgte Personen), werden sie KRITIS-Betreiber.

KRITIS-Betreiber

Änderungen IT-Sicherheitsgesetz 2.0

2.0 Die Anlagen und Schwellenwerte im Sektor Wasser ändern sich in der neuen KRITIS-Verordnung 2.0 nur leicht — in Gewinnungsanlagen gehörden nun auch Stauanlagen dazu.

IT-SiG 2.0

DE Das neue IT-Sicherheitsgesetz 2.0

Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ 12 Folien PDF ∙ Mai 2021

Pflichten als Kritische Infrastruktur

KRITIS-Betreiber unterliegen der KRITIS-Regulierung mit Pflichten für IT-Sicherheit:

  1. Identifikation KRITIS-Anlagen: Betreiber müssen sich selbst als KRITIS identifizieren.
  2. Registrierung als KRITIS: Meldung der KRITIS-Anlagen und Registrierung beim BSI
  3. KRITIS-Meldepflichten: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI
  4. KRITIS-Geltungsbereich: KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
  5. Cyber Security in KRITIS: Technische und organisatorische Maßnahmen zum Management von IT-Sicherheit (ISMS), Risiken, Kontinuität (BCMS) und Technologien
  6. KRITIS-Prüfungen: Umsetzung der Cyber Security Maßnahmen durch Prüfungen nachweisen

up

Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Wasser definiert.

aus BSI-KritisV August 2021, Anhang 2
Änderungen 2021 unterstrichen.
Nr. Anlage Beschreibung Schwellenwert
1.
Trinkwasserversorgung (nach DIN 4046)
1.1.1 Gewinnungsanlage Brunnen, Brunnenreihe, Sickerleitung, Sickerstollen, Zisterne, Entnahme­bauwerk oder Stauanlage für Oberflächen­wasser oder Rohwasser 22 Mio. m³/Jahrgewonnene Wassermenge
1.2.1 Aufbereitungsanlage
(Wasserwerk)
Einrichtungen zur Trinkwasseraufbereitung inkl. Nebenanlagen und Mess-, Steuerungs- und Regelungstechnik 22 Mio. m³/Jahraufbereitete Wassermenge
1.3.1 Wasserverteilungssystem Rohrleitungen, Trinkwasserbehälter, Förderanlagen und Einrichtungen zur Verteilung von Wasser an Verbraucher 22 Mio. m³/Jahrverteilte Wassermenge
1.4.1 Leitzentrale Leitwarte, Leitstelle oder Prozessleitwarte, in der Anlagen zentral überwacht/gesteuert werden 22 Mio. m³/Jahrgesteuerte Wassermenge
2.
Abwasserbeseitigung (nach DIN EN 16323)
2.1.1 Kanalisation Netz von Rohrleitungen und Zusatzbauten zur Ableitung von Abwasser von Anschlusskanälen zu Kläranlagen oder anderen Entsorgungsstellen 500 Tsd.angeschlossene Einwohner
2.2.1 Kläranlage Anlage, in der Abwasser physikalisch, biologisch und/oder chemisch behandelt wird (DIN EN 16323) 500 Tsd.ausgebaut für Einwohner
2.3.1 Leitzentrale Leitwarte, Leitstelle oder Prozessleitwarte, in der Anlagen zentral überwacht/gesteuert werden 500 Tsd.ausgebaut für Einwohner

up

Schwellenwerte

Die Schwellenwerte im Sektor Wasser berechnen sich wie folgt:

Abwasserbeseitigung

Der Schwellenwert für die Anlagen Kanalisation, Kläranlage und Leitzentrale (1.1.1 bis 1.3.1) ist das direkte Bemessungskriterium versorgter Personen:

Überschreitet eine Anlage diesen Wert zum 30. Juni eines Jahres, muss sie ab dem 1. April des Folgejahres als Kritische Infrastruktur vom Betreiber beim BSI registriert werden.

Trinkwasserversorgung

In den Anlagen Wasserwerk, Verteilungsssytem und Leitzentrale (2.1.1 bis 2.4.1) berechnet sich der Schwellenwert über den angenommenen Durchschnittsverbrauch von 44 m³ Trinkwasser pro Person pro Jahr für 500.000 versorgte Personen.

Wird der Schwellenwert in einem Kalenderjahr überschritten, muss der Betreiber dies zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

up

Regulierung und Standards

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

  1. Branchen­spezifischer Sicherheits­ standard Wasser/Abwasser, DVGW, DWA, Version 3.0, Webseite des BSI

up

Weitere Informationen

Literatur

  1. Nutzung des branchenspezifischen Sicherheitsstandards Wasser/Abwasser (B3SWA) in Verbundunternehmen, BSI, Version 1.01, 30.11.2018
  2. B3S Wasser/Abwasser - Hinweise zum Nachweisverfahren gemäß § 8a (3) BSIG, DVGW und DWA, Version 0.9, 1.3.2018
  3. Erfahrungen bei der Implementierung des branchenspezifischen Sicherheitsstandards Wasser/Abwasser in einem Wasserversorgungs­unternehmen, DVGW energie/wasser-praxis Nr. 8/2018
  4. Der Branchenspezifische Sicherheitsstandard Wasser/Abwasser (B3S WA) in der Version 2, DWA Korrespondenz Wasserwirtschaft 2020 (13) Nr. 6
  5. Fragen und Antworten zur IT-Sicherheitsgesetz­gebung Wasser/Abwasser, Verband kommunaler Unternehmen (VKU), 2016

Quellen

  1. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
  2. DIN EN 16323:2014-07, Wörterbuch für Begriffe der Abwassertechnik, Juli 2014
  3. DIN 4046:1983-09, Wasserversorgung; Begriffe; Technische Regel des DVGW, September 1983