Wasser und Abwasser

Im Sektor Wasser und Abwasser versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit zwei kritischen Dienstleistungen – der Versorgung mit Trinkwasser und der Beseitigung von Abwasser. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.

Pflichten
KRITIS-Anlagen
NIS2-Einrichtungen

KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2025 um viele neue Einrichtungen, die als Unternehmen reguliert werden, wenn sie Umsatz und Mitarbeiterzahlen überschreiten.

Nr.	Unternehmen	Scope
	Betreiber kritischer Anlagen	Anlage über Schwellenwert (KRITIS)
	KRITIS-Sektordefinition Wasser: Trinkwasserversorgung: Gewinnung, Aufbereitung, Verteilung, Leitzentrale Abwasserbeseitigung: Kanalisation, Kläranlage, Leitzentrale
	Besonders wichtige Einrichtung	Unternehmen (NIS2) ≥250 Mitarbeiter oder >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanz
	Wichtige Einrichtung	Unternehmen (NIS2) ≥50 Mitarbeiter oder >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanz
	NIS2-Sektordefinition Wasser: Trinkwasserversorgung: Wasserversorgungsanlagen Abwasserbeseitigung: Abwasser sammeln, entsorgen, behandeln

Regulierte Pflichten

NIS2 und KRITIS

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung. Die Gesetze werden wohl etwas verspätet 2025 in Kraft treten. Für Betreiber kritischer Anlagen, ehemals KRITIS, und die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.

eigene Zusammenstellung aus NIS2-Regierungsentwurf Oktober 2024
Thema	Betreiber kritischer Anlagen (KRITIS)		Einrichtungen
Gesetz	NIS2-Umsetzung	KRITIS-Dachgesetz	NIS2-Umsetzung
Fristen	ab 2025	ab 2026	ab 2025
Scope	Kritische Anlage	Kritische Anlage	Unternehmen
Pflichten	Registrierung Vorfallsmeldungen Sanktionen Prüfungen	Registrierung Vorfallsmeldungen Sanktionen	Registrierung Vorfallsmeldungen Sanktionen
Maßnahmen	Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Angriffserkennung SzA Personal	Resilienz Risikomanagement Physische Sicherheit Personal	Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Personal
Nachweise	Prüfungen	Teil von Audits	Stichproben
Regulator	BSI	BBK und Länder	BSI

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.

KRITIS

Kritische Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Wasser in der KRITIS-Verordnung definiert. Betreiben Unternehmen diese kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie zu KRITIS-Betreibern mit vielen regulierten Pflichten.

aus BSI-KritisV August 2021, Anhang 2
Nr.	Anlage	Beschreibung	Schwellenwert
1.	Trinkwasserversorgung (nach DIN 4046)
1.1.1	Gewinnungsanlage	Brunnen, Brunnenreihe, Sickerleitung, Sickerstollen, Zisterne, Entnahmebauwerk oder Stauanlage für Oberflächenwasser oder Rohwasser	22 Mio. m³/Jahr	gewonnene Wassermenge
1.2.1	Aufbereitungsanlage (Wasserwerk)	Einrichtungen zur Trinkwasseraufbereitung inkl. Nebenanlagen und Mess-, Steuerungs- und Regelungstechnik	22 Mio. m³/Jahr	aufbereitete Wassermenge
1.3.1	Wasserverteilungssystem	Rohrleitungen, Trinkwasserbehälter, Förderanlagen und Einrichtungen zur Verteilung von Wasser an Verbraucher	22 Mio. m³/Jahr	verteilte Wassermenge
1.4.1	Leitzentrale	Leitwarte, Leitstelle oder Prozessleitwarte, in der Anlagen zentral überwacht/gesteuert werden	22 Mio. m³/Jahr	gesteuerte Wassermenge
2.	Abwasserbeseitigung (nach DIN EN 16323)
2.1.1	Kanalisation	Netz von Rohrleitungen und Zusatzbauten zur Ableitung von Abwasser von Anschlusskanälen zu Kläranlagen oder anderen Entsorgungsstellen	500 Tsd.	angeschlossene Einwohner
2.2.1	Kläranlage	Anlage, in der Abwasser physikalisch, biologisch und/oder chemisch behandelt wird (DIN EN 16323)	500 Tsd.	ausgebaut für Einwohner
2.3.1	Leitzentrale	Leitwarte, Leitstelle oder Prozessleitwarte, in der Anlagen zentral überwacht/gesteuert werden	500 Tsd.	ausgebaut für Einwohner

Schwellenwerte

Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.

Abwasserbeseitigung

Der Schwellenwert für die Anlagen Kanalisation, Kläranlage und Leitzentrale (1.1.1 bis 1.3.1) ist das direkte Bemessungskriterium versorgter Personen:

500.000 angeschlossene Einwohner

Trinkwasserversorgung

In den Anlagen Wasserwerk, Verteilungssystem und Leitzentrale (2.1.1 bis 2.4.1) berechnet sich der Schwellenwert über den angenommenen Durchschnittsverbrauch von 44 m³ Trinkwasser pro Person pro Jahr für 500.000 versorgte Personen.

22 Mio. m³ Trinkwasser pro Jahr

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

NIS2

Einrichtungen

Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.

aus NIS2-Umsetzungsgesetz, Mai 2024
^ - gemeint sind immer ganze Unternehmen als *Betreiber von ...*
Nr.	Teilsektor	Einrichtungsart^	Besonderheit
5.1	Trinkwasserversorgung (Teilsektor)
5.1.1		Wasserversorgungsanlagen § 2 Nr. 3 TrinkwV	als wesentlicher Teil der Geschäftstätigkeit
5.2	Abwasserbeseitigung (Teilsektor)
5.2.1		Abwasser sammeln, entsorgen oder behandeln im Sinne §2 Abs. 1 AbwAG	als wesentlicher Teil der Geschäftstätigkeit

Regulierung und Standards

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

Branchenspezifischer Sicherheitsstandard Wasser/Abwasser, DVGW, DWA, Version 2021.2, Webseite des BSI (gültig bis Januar 2025)

Weitere Informationen

Literatur

Nutzung des branchenspezifischen Sicherheitsstandards Wasser/Abwasser (B3SWA) in Verbundunternehmen, BSI, Version 1.01, 30.11.2018
B3S Wasser/Abwasser - Hinweise zum Nachweisverfahren gemäß § 8a (3) BSIG, DVGW und DWA, Version 0.9, 1.3.2018
Erfahrungen bei der Implementierung des branchenspezifischen Sicherheitsstandards Wasser/Abwasser in einem Wasserversorgungsunternehmen, DVGW energie/wasser-praxis Nr. 8/2018
Der Branchenspezifische Sicherheitsstandard Wasser/Abwasser (B3S WA) in der Version 2, DWA Korrespondenz Wasserwirtschaft 2020 (13) Nr. 6
Fragen und Antworten zur IT-Sicherheitsgesetzgebung Wasser/Abwasser, Verband kommunaler Unternehmen (VKU), 2016

Quellen

BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
DIN EN 16323:2014-07, Wörterbuch für Begriffe der Abwassertechnik, Juli 2014
DIN 4046:1983-09, Wasserversorgung; Begriffe; Technische Regel des DVGW, September 1983