Wasser und Abwasser

Water works picture

Im Sektor Wasser und Abwasser versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit zwei kritischen Dienst­leistungen – der Versorgung mit Trink­wasser und der Beseitigung von Abwasser. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.

KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2024 um viele Einrichtungen, die als Unternehmen reguliert werden, wenn sie Unternehmens­größen überschreiten.

Nr. Unternehmen Scope
   Betreiber kritischer Anlagen Anlage über Schwellenwert (KRITIS)
KRITIS-Sektordefinition Wasser:
   Besonders wichtige Einrichtung Unternehmen (NIS2)
  • ≥250 Mitarbeiter oder
  • >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanz
   Wichtige Einrichtung Unternehmen (NIS2)
  • ≥50 Mitarbeiter oder
  • >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanz
NIS2-Sektordefinition Wasser:

Regulierte Pflichten

NIS2 und KRITIS

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Die Gesetze sind in Arbeit und sollen Oktober 2024 in Kraft treten. Für Betreiber kritischer Anlagen (KRITIS) als auch die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Juli 2024
Thema Betreiber kritischer Anlagen Einrichtungen
Gesetz NIS2-Umsetzung KRITIS-Dachgesetz NIS2-Umsetzung
Fristen ab 2024 (eher 2025) ab 2026 ab 2024 (eher 2025)
Scope Kritische Anlage Kritische Anlage Unternehmen
Pflichten Registrierung
Vorfallsmeldungen
Sanktionen
Prüfungen
Registrierung
Vorfallsmeldungen
Sanktionen
Registrierung
Vorfallsmeldungen
Sanktionen
Maßnahmen Informationssicherheit
BCM und Krisen
Supply Chain
Risikomanagement
IT-Sicherheit
Angriffserkennung SzA
Personal

Resilienz

Risikomanagement
Physische Sicherheit

Personal
Informationssicherheit
BCM und Krisen
Supply Chain
Risikomanagement
IT-Sicherheit

Personal
Nachweise Prüfungen Teil von Audits Stichproben
Regulator BSI BBK und Länder BSI

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.

up

KRITIS

Kritische Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Wasser in der KRITIS-Verordnung definiert. Betreiben Unternehmen kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie KRITIS-Betreiber.

aus BSI-KritisV August 2021, Anhang 2
Nr. Anlage Beschreibung Schwellenwert
1.
Trinkwasserversorgung (nach DIN 4046)
1.1.1 Gewinnungsanlage Brunnen, Brunnenreihe, Sickerleitung, Sickerstollen, Zisterne, Entnahme­bauwerk oder Stauanlage für Oberflächen­wasser oder Rohwasser 22 Mio. m³/Jahrgewonnene Wassermenge
1.2.1 Aufbereitungsanlage
(Wasserwerk)
Einrichtungen zur Trinkwasseraufbereitung inkl. Nebenanlagen und Mess-, Steuerungs- und Regelungstechnik 22 Mio. m³/Jahraufbereitete Wassermenge
1.3.1 Wasserverteilungssystem Rohrleitungen, Trinkwasserbehälter, Förderanlagen und Einrichtungen zur Verteilung von Wasser an Verbraucher 22 Mio. m³/Jahrverteilte Wassermenge
1.4.1 Leitzentrale Leitwarte, Leitstelle oder Prozessleitwarte, in der Anlagen zentral überwacht/gesteuert werden 22 Mio. m³/Jahrgesteuerte Wassermenge
2.
Abwasserbeseitigung (nach DIN EN 16323)
2.1.1 Kanalisation Netz von Rohrleitungen und Zusatzbauten zur Ableitung von Abwasser von Anschlusskanälen zu Kläranlagen oder anderen Entsorgungsstellen 500 Tsd.angeschlossene Einwohner
2.2.1 Kläranlage Anlage, in der Abwasser physikalisch, biologisch und/oder chemisch behandelt wird (DIN EN 16323) 500 Tsd.ausgebaut für Einwohner
2.3.1 Leitzentrale Leitwarte, Leitstelle oder Prozessleitwarte, in der Anlagen zentral überwacht/gesteuert werden 500 Tsd.ausgebaut für Einwohner

up

Schwellenwerte

Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.

Abwasserbeseitigung

Der Schwellenwert für die Anlagen Kanalisation, Kläranlage und Leitzentrale (1.1.1 bis 1.3.1) ist das direkte Bemessungskriterium versorgter Personen:

Trinkwasserversorgung

In den Anlagen Wasserwerk, Verteilungssystem und Leitzentrale (2.1.1 bis 2.4.1) berechnet sich der Schwellenwert über den angenommenen Durchschnittsverbrauch von 44 m³ Trinkwasser pro Person pro Jahr für 500.000 versorgte Personen.

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

up

NIS2

Einrichtungen

Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.

aus NIS2-Umsetzungsgesetz, Mai 2024
^ - gemeint sind immer ganze Unternehmen als Betreiber von ...
Nr. Teilsektor Einrichtungsart^ Besonderheit
5.1 Trinkwasserversorgung (Teilsektor)
5.1.1 Wasserversorgungsanlagen § 2 Nr. 3 TrinkwV als wesentlicher Teil der Geschäfts­tätigkeit
5.2 Abwasserbeseitigung (Teilsektor)
5.2.1 Abwasser sammeln, entsorgen oder behandeln im Sinne §2 Abs. 1 AbwAG als wesentlicher Teil der Geschäfts­tätigkeit

up

Regulierung und Standards

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

up

Weitere Informationen

Literatur

  1. Nutzung des branchenspezifischen Sicherheitsstandards Wasser/Abwasser (B3SWA) in Verbundunternehmen, BSI, Version 1.01, 30.11.2018
  2. B3S Wasser/Abwasser - Hinweise zum Nachweisverfahren gemäß § 8a (3) BSIG, DVGW und DWA, Version 0.9, 1.3.2018
  3. Erfahrungen bei der Implementierung des branchenspezifischen Sicherheitsstandards Wasser/Abwasser in einem Wasserversorgungs­unternehmen, DVGW energie/wasser-praxis Nr. 8/2018
  4. Der Branchenspezifische Sicherheitsstandard Wasser/Abwasser (B3S WA) in der Version 2, DWA Korrespondenz Wasserwirtschaft 2020 (13) Nr. 6
  5. Fragen und Antworten zur IT-Sicherheitsgesetz­gebung Wasser/Abwasser, Verband kommunaler Unternehmen (VKU), 2016

Quellen

  1. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
  2. DIN EN 16323:2014-07, Wörterbuch für Begriffe der Abwassertechnik, Juli 2014
  3. DIN 4046:1983-09, Wasserversorgung; Begriffe; Technische Regel des DVGW, September 1983