KRITIS-Sektor Wasser
Im KRITIS-Sektor Wasser versorgen KRITIS-Betreiber die Allgemeinheit durch zwei kritische Dienstleistungen mit Trinkwasser und beseitigen Abwasser:
- Trinkwasserversorgung: Gewinnung, Aufbereitung, Verteilung, Steuerung und Überwachung
- Abwasserbeseitigung: Siedlungsentwässerung, Abwasserbehandlung, Gewässereinleitung, Steuerung und Überwachung
Erbringen Betreiber diese kritischen Dienstleistungen in eigenen Anlagen und überschreiten dabei Schwellenwerte (meist 500 Tsd. versorgte Personen), werden sie KRITIS-Betreiber.
KRITIS-Betreiber
Pflichten als Kritische Infrastruktur
KRITIS-Betreiber unterliegen der KRITIS-Regulierung mit Pflichten für IT-Sicherheit:
- Identifikation KRITIS-Anlagen: Betreiber müssen sich selbst als KRITIS identifizieren.
- Registrierung als KRITIS: Meldung der KRITIS-Anlagen und Registrierung beim BSI
- KRITIS-Meldepflichten: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI
- KRITIS-Geltungsbereich: KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
- Cyber Security in KRITIS: Management von Sicherheit (ISMS), Notfällen (BCM) und Risiken und technischen Maßnahmen, Sicherheitsstandards.
- Angriffserkennung (ab 5/2023): Systeme und Prozesse zum Monitoring, Erkennung und Reaktion auf Cyber Angriffe (nach der BSI OH SzA)
- KRITIS-Prüfungen: Umsetzung der Cyber Security Maßnahmen durch Prüfung nachweisen
Anlagen
Die folgenden KRITIS-Anlagen sind im Sektor Wasser definiert.
Nr. | Anlage | Beschreibung | Schwellenwert | |
---|---|---|---|---|
1. | Trinkwasserversorgung (nach DIN 4046) | |||
1.1.1 | Gewinnungsanlage | Brunnen, Brunnenreihe, Sickerleitung, Sickerstollen, Zisterne, Entnahmebauwerk oder Stauanlage für Oberflächenwasser oder Rohwasser | 22 Mio. m³/Jahr | gewonnene Wassermenge |
1.2.1 | Aufbereitungsanlage (Wasserwerk) |
Einrichtungen zur Trinkwasseraufbereitung inkl. Nebenanlagen und Mess-, Steuerungs- und Regelungstechnik | 22 Mio. m³/Jahr | aufbereitete Wassermenge |
1.3.1 | Wasserverteilungssystem | Rohrleitungen, Trinkwasserbehälter, Förderanlagen und Einrichtungen zur Verteilung von Wasser an Verbraucher | 22 Mio. m³/Jahr | verteilte Wassermenge |
1.4.1 | Leitzentrale | Leitwarte, Leitstelle oder Prozessleitwarte, in der Anlagen zentral überwacht/gesteuert werden | 22 Mio. m³/Jahr | gesteuerte Wassermenge |
2. | Abwasserbeseitigung (nach DIN EN 16323) | |||
2.1.1 | Kanalisation | Netz von Rohrleitungen und Zusatzbauten zur Ableitung von Abwasser von Anschlusskanälen zu Kläranlagen oder anderen Entsorgungsstellen | 500 Tsd. | angeschlossene Einwohner |
2.2.1 | Kläranlage | Anlage, in der Abwasser physikalisch, biologisch und/oder chemisch behandelt wird (DIN EN 16323) | 500 Tsd. | ausgebaut für Einwohner |
2.3.1 | Leitzentrale | Leitwarte, Leitstelle oder Prozessleitwarte, in der Anlagen zentral überwacht/gesteuert werden | 500 Tsd. | ausgebaut für Einwohner |
Schwellenwerte
Abwasserbeseitigung
Der Schwellenwert für die Anlagen Kanalisation, Kläranlage und Leitzentrale (1.1.1 bis 1.3.1) ist das direkte Bemessungskriterium versorgter Personen:
- 500.000 angeschlossene Einwohner
Überschreitet eine Anlage diesen Wert zum 30. Juni eines Jahres, muss sie ab dem 1. April des Folgejahres als Kritische Infrastruktur vom Betreiber beim BSI registriert werden.
Trinkwasserversorgung
In den Anlagen Wasserwerk, Verteilungssystem und Leitzentrale (2.1.1 bis 2.4.1) berechnet sich der Schwellenwert über den angenommenen Durchschnittsverbrauch von 44 m³ Trinkwasser pro Person pro Jahr für 500.000 versorgte Personen.
- 22 Mio. m³ Trinkwasser pro Jahr
Wird der Schwellenwert in einem Kalenderjahr überschritten, muss der Betreiber dies zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.
Regulierung und Standards
Branchenstandards
Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.
B3S
- Branchenspezifischer Sicherheits standard Wasser/Abwasser, DVGW, DWA, Version 3.0, Webseite des BSI
Weitere Informationen
Literatur
- Nutzung des branchenspezifischen Sicherheitsstandards Wasser/Abwasser (B3SWA) in Verbundunternehmen, BSI, Version 1.01, 30.11.2018
- B3S Wasser/Abwasser - Hinweise zum Nachweisverfahren gemäß § 8a (3) BSIG, DVGW und DWA, Version 0.9, 1.3.2018
- Erfahrungen bei der Implementierung des branchenspezifischen Sicherheitsstandards Wasser/Abwasser in einem Wasserversorgungsunternehmen, DVGW energie/wasser-praxis Nr. 8/2018
- Der Branchenspezifische Sicherheitsstandard Wasser/Abwasser (B3S WA) in der Version 2, DWA Korrespondenz Wasserwirtschaft 2020 (13) Nr. 6
- Fragen und Antworten zur IT-Sicherheitsgesetzgebung Wasser/Abwasser, Verband kommunaler Unternehmen (VKU), 2016
Quellen
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
- DIN EN 16323:2014-07, Wörterbuch für Begriffe der Abwassertechnik, Juli 2014
- DIN 4046:1983-09, Wasserversorgung; Begriffe; Technische Regel des DVGW, September 1983