KRITIS-Sektor Wasser

Im KRITIS-Sektor Wasser erbringen KRITIS-Betreiber zwei kritische Dienstleistungen zur Versorgung der Allgemeinheit mit Trinkwasser und der Beseitigung von Abwasser:

  1. Abwasserbeseitigung: Siedlungsentwässerung, Abwasserbehandlung und Gewässereinleitung und die Steuerung und Überwachung von Abwasser.
  2. Trinkwasserversorgung: Gewinnung, Aufbereitung, Verteilung und Steuerung und Überwachung von Trinkwasser.

Erbringt ein Betreiber im Sektor diese kritischen Dienstleistungen in eigenen Anlagen und überschreitet dabei Schwellenwerte von 500 Tsd. versorgten Personen, wird er zum KRITIS-Betreiber. Die Anlagen und Schwellenwerte im Sektor sind unten aufgelistet.

KRITIS-Betreiber

Änderungen IT-Sicherheitsgesetz 2.0

2.0 Die Anlagen und Schwellenwerte im Sektor Wasser ändern sich in der neuen KRITIS-Verordnung 2.0 nur leicht — in Gewinnungsanlagen gehörden nun auch Stauanlagen dazu.

IT-SiG 2.0

DE Das neue IT-Sicherheitsgesetz 2.0

Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ 12 Folien PDF ∙ Mai 2021

Pflichten als Kritische Infrastruktur

Unternehmen, die mit ihren Anlagen die definierten Schwellenwerte als Kritische Infrastruktur überschreiten, fallen als KRITIS-Betreiber unter die KRITIS-Regulierung und unterliegen dann einer Fülle von Cyber Security Pflichten:

  1. Identifikation KRITIS-Anlagen: Betreiber müssen sich selbst als KRITIS identifizieren.
  2. Registrierung als KRITIS: Meldung der KRITIS-Anlagen und Registrierung beim BSI
  3. KRITIS-Meldepflichten: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI
  4. KRITIS-Geltungsbereich: KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
  5. Cyber Security in KRITIS: Technische und organisatorische Maßnahmen zum Management von IT-Sicherheit (ISMS), Risiken, Kontinuität (BCMS) und Technologien
  6. KRITIS-Prüfungen: Umsetzung der Cyber Security Maßnahmen durch Prüfungen nachweisen

up

Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Wasser definiert.

aus BSI-KritisV Stand Juni 2017, Anhang 2
Nr. Anlage Beschreibung Schwellenwert
1. Abwasserbeseitigung (nach DIN EN 16323)
1.1.1 Kanalisation Netz von Rohrleitungen und Zusatzbauten zur Ableitung von Abwasser von Anschlusskanälen zu Kläranlagen oder anderen Entsorgungsstellen 500 Tsd.angeschlossene Einwohner
1.2.1 Kläranlage Anlage, in der Abwasser physikalisch, biologisch und/oder chemisch behandelt wird (DIN EN 16323) 500 Tsd.ausgebaut für Einwohner
1.3.1 Leitzentrale Leitwarte, Leitstelle oder Prozessleitwarte, in der Anlagen zentral überwacht/gesteuert werden 500 Tsd.ausgebaut für Einwohner
2. Trinkwasserversorgung (nach DIN 4046)
2.1.1 Gewinnungsanlage
(Wasserwerk)
Brunnen, Brunnenreihe, Sickerleitung, Sickerstollen, Zisterne oder Entnahme­bauwerk zur Gewinnung von Oberflächen­wasser 22 Mio. m³/Jahrgewonnene Wassermenge
2.2.1 Aufbereitungsanlage
(Wasserwerk)
Einrichtungen zur Trinkwasseraufbereitung inkl. Nebenanlagen und Mess-, Steuerungs- und Regelungstechnik 22 Mio. m³/Jahraufbereitete Wassermenge
2.3.1 Wasserverteilungssystem Rohrleitungen, Trinkwasserbehälter, Förderanlagen und Einrichtungen zur Verteilung von Wasser an Verbraucher 22 Mio. m³/Jahrverteilte Wassermenge
2.4.1 Leitzentrale Leitwarte, Leitstelle oder Prozessleitwarte, in der Anlagen zentral überwacht/gesteuert werden 22 Mio. m³/Jahrgesteuerte Wassermenge

up

Schwellenwerte

Die Schwellenwerte im Sektor Wasser berechnen sich wie folgt:

Abwasserbeseitigung

Der Schwellenwert für die Anlagen Kanalisation, Kläranlage und Leitzentrale (1.1.1 bis 1.3.1) ist das direkte Bemessungskriterium versorgter Personen:

Überschreitet eine Anlage diesen Wert zum 30. Juni eines Jahres, muss sie ab dem 1. April des Folgejahres als Kritische Infrastruktur vom Betreiber beim BSI registriert werden.

Trinkwasserversorgung

In den Anlagen Wasserwerk, Verteilungsssytem und Leitzentrale (2.1.1 bis 2.4.1) berechnet sich der Schwellenwert über den angenommenen Durchschnittsverbrauch von 44 m³ Trinkwasser pro Person pro Jahr für 500.000 versorgte Personen.

Wird der Schwellenwert in einem Kalenderjahr überschritten, muss der Betreiber dies zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

up

Weitere Informationen

Literatur

  1. Nutzung des branchenspezifischen Sicherheitsstandards Wasser/Abwasser (B3SWA) in Verbundunternehmen, BSI, Version 1.01, 30.11.2018
  2. B3S Wasser/Abwasser - Hinweise zum Nachweisverfahren gemäß ยง 8a (3) BSIG, DVGW und DWA, Version 0.9, 1.3.2018
  3. Erfahrungen bei der Implementierung des branchenspezifischen Sicherheitsstandards Wasser/Abwasser in einem Wasserversorgungs­unternehmen, DVGW energie/wasser-praxis Nr. 8/2018
  4. Der Branchenspezifische Sicherheitsstandard Wasser/Abwasser (B3S WA) in der Version 2, DWA Korrespondenz Wasserwirtschaft 2020 (13) Nr. 6
  5. Fragen und Antworten zur IT-Sicherheitsgesetz­gebung Wasser/Abwasser, Verband kommunaler Unternehmen (VKU), 2016

Branchenstandard

Für den Sektor Wasser gibt es einen branchenspezifischen Sicherheitsstandards (B3S):

  1. Branchenstandard IT-Sicherheit Wasser/Abwasser (Version 2.0), Webseite des BSI

Quellen

  1. BSI-Kritisverordnung vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  2. DIN EN 16323:2014-07, Wörterbuch für Begriffe der Abwassertechnik, Juli 2014
  3. DIN 4046:1983-09, Wasserversorgung; Begriffe; Technische Regel des DVGW, September 1983