Die Resilienz in der Wasserwirtschaft stärken - Maßnahmen zur IT-Sicherheit verbessern

Schützen Sie Ihren Betrieb, Ihre Infrastruktur auch im digitalen Cyber-Raum
Reservematerial, Notfallplan, Bereitschaftsdienst, Inspektionsroutinen – die Wasserwirtschaft ist es gewöhnt, an Funktionstüchtigkeit, Sicherheit und Schutz zu denken. Jetzt geht es darum, diese Denke auch effektiv auf die digitale Welt zu übertragen. Und zwar für alle Betriebsgrößen, egal ob klein oder groß!

Der Gesetzgeber begrenzt sich bei seinen verpflichtenden Regelungen zur IT-Sicherheit momentan noch auf große kritische Infrastrukturen (> 500 Tsd. EW) und wichtige Wirtschaftszweige. Bereits jetzt ist eine Ausweitung abzusehen. Anfang 2023 ist die EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie) in Kraft getreten. Sie weitet den Kreis der Unternehmen mit kritischen Dienstleistungen aus.

Stellungnahme NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

>> KRITIS-Definition der Bundesressorts

Wer ist betroffen?

Wer ist kritische Infrastruktur?

Stand jetzt sind alle Unternehmen betroffen, die deren Einrichtungen 500 Tsd. und mehr Einwohner betreffen. Die gesetzliche Regelungen verpflichten zu:

Maßnahmen zur IT-Sicherheit
§8a BSI-Gesetz verpflichtet Sie alle zwei Jahre zu überprüfen, ob Ihre IT-Sicherheit auf dem Stand der Technik ist. Der Nachweis muss BSI-konform geführt werden.

Wer wird betroffen sein?

Anfang 2023 ist die EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie) in Kraft getreten. Sie weitet den Kreis der Unternehmen mit kritischen Dienstleistungen aus. Die Umsetzung der NIS2-Richtlinie in deutsches Recht erfolgt unter anderem durch eine Novellierung des IT-Sicherheitsgesetzes. Wesentliche Änderung ist die Abkehr von dem bisherigen Begriff der „kritischen Dienstleistung“ zur Betrachtung des ganzen Unternehmens, das die kritische Dienstleistung anbietet. Das bedeutet, als neuer Schwellenwert wird die Anzahl der Mitarbeitenden und der Jahresumsatz des Unternehmens genommen. Es sind Größenordnungen von 50 MA oder 10 Mio. Euro Jahresumsatz (Klasse „wichtige“) bzw. 250 Mitarbeitenden oder 50 Mio. Euro Jahresumsatz (Klasse „Wesentliche“) im Gespräch.

Branchenstandard Wasser/Abwasser (B3S WA)

Wie unterstützt die DWA?

Vor dem Hintergrund verstärkter Cyberangriffe hat die Thematik IT-Sicherheit für alle Betreiber kritischer Infrastrukturen eine hohe Brisanz. Stellen Sie sicher, dass die IT-Infrastruktur Ihrer Wasserversorgungs- und Abwasserentsorgungsanlagen vor Ausfall und Manipulation geschützt ist.

DVGW und DWA haben daher den branchenspezifischen IT-Sicherheitsstandard Wasser/Abwasser weiter entwickelt. Dieser hilft Wasserver- und Abwasserentsorgungsunternehmen dabei, ein Schutzniveau zu implementieren, das dem aktuellen Stand der Technik entspricht. Jetzt ist die Edition 2023 des branchenspezifischen Sicherheitsstandards Wasser/Abwasser veröffentlicht, die mit vielen Neuerungen aufwartet und komplett auf dem IT-Grundschutz-Kompendium des BSI aufbaut.

Die Struktur wurde grundlegend überarbeitet und die Anwendungsfälle 3 Ebenen zugeordnet:
• Ebene 1: Organisatorische und technische Verantwortung für IT-Sicherheit
• Ebene 2: IT-Sicherheit der IT-/OT-Infrastruktur
• Ebene 3: IT-Sicherheit bei der Nutzung der IT-/OT-Infrastruktur
Außerdem wurden Doppelungen im Bereich der Anforderungen entfernt und die Anzahl der Anforderungen auf insgesamt 200 reduziert.

Vorteile der Web-Applikation „B3S WA-Sicherheitskompendium“
Mit diesem Leitfaden erstellen Sie einen Katalog von Mindestanforderungen, die auf Ihre spezifische Unternehmenssituation zugeschnitten sind. Das IT-Sicherheitskompendium besteht aus:
• 18 Anwendungsfällen zur Auswahl, mit denen die grundsätzliche Infrastrukturkonfiguration der IT-Systeme von Wasserver- und Abwasserentsorgungsanlagen beschrieben wird
• Generierung des dazugehörigen Anforderungskataloges in Bezug auf die IT-Sicherheit
• Angabe der Anforderungen an die IT-Sicherheit Ihres Unternehmens und den dazugehörigen Umsetzungshinweisen, die Sie beachten müssen
• Darüber hinaus erhalten Sie die Möglichkeit, auf allen Ebenen Ergänzungen oder Modifikationen auf dem aktuellen Stand der Technik zu erstellen

Der Branchenspezifische IT-Sicherheitsstandard Wasser/Abwasser definiert die Anforderungen zur Erfüllung der gesetzlichen Vorgaben des aktuellen, durch das IT-Sicherheitsgesetz 2.0 geänderten, BSI-Gesetzes (BSIG) für den Sektor Wasser. Er basiert auf dem IT-Grundschutz-Kompendium (Edition 2023) und entspricht damit den gesetzlichen Vorgaben. Der IT-Sicherheitsstandard wurde wieder in enger Abstimmung mit BSI und BBK aktualisiert.

B3S WASSER/ABWASSER | GÜLTIG BIS AUGUST 2027
Für das inzwischen 4. Update vom B3S WA, der Edition 2023, hat der DVGW in Zusammenarbeit mit der DWA Ende August 2024 die Eignungsfeststellung vom BSI erhalten. Die genaue Eignungsprüfung finden Sie hier.

Der B3S WA Edition 2023 kann zur Erarbeitung einer Prüfgrundlage für ein Audit genutzt werden.