Die Resilienz in der Wasserwirtschaft stärken - Maßnahmen zur IT-Sicherheit verbessern

Schützen Sie Ihren Betrieb, Ihre Infrastruktur auch im digitalen Cyber-Raum
Reservematerial, Notfallplan, Bereitschaftsdienst, Inspektionsroutinen – die Wasserwirtschaft ist es gewöhnt, an Funktionstüchtigkeit, Sicherheit und Schutz zu denken. Jetzt geht es darum, diese Denke auch effektiv auf die digitale Welt zu übertragen. Und zwar für alle Betriebsgrößen, egal ob klein oder groß!

Der Gesetzgeber begrenzt sich bei seinen verpflichtenden Regelungen zur IT-Sicherheit momentan noch auf große kritische Infrastrukturen (> 500 Tsd. EW) und wichtige Wirtschaftszweige. Bereits jetzt ist eine Ausweitung abzusehen. Anfang 2023 ist die EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie) in Kraft getreten. Sie weitet den Kreis der Unternehmen mit kritischen Dienstleistungen aus.

Stand jetzt sind alle Unternehmen betroffen, die deren Einrichtungen 500 Tsd. und mehr Einwohner betreffen
Die gesetzliche Regelungen verpflichten zu

• Maßnahmen zur IT-Sicherheit
• §8a BSI-Gesetz verpflichtet Sie alle zwei Jahre zu überprüfen, ob Ihre IT-Sicherheit auf dem Stand der Technik ist. Der Nachweis muss BSI-konform geführt werden.

Anfang 2023 ist die EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie) in Kraft getreten. Sie weitet den Kreis der Unternehmen mit kritischen Dienstleistungen aus. Die Umsetzung der NIS2-Richtlinie in deutsches Recht erfolgt unter anderem durch eine Novellierung des IT-Sicherheitsgesetzes.

Wesentliche Änderung ist die Abkehr von dem bisherigen Begriff der „kritischen Dienstleistung“ zur Betrachtung des ganzen Unternehmens, das die kritische Dienstleistung anbietet. Das bedeutet, als neuer Schwellenwert wird die Anzahl der Mitarbeitenden und der Jahresumsatz des Unternehmens genommen. Es sind Größenordnungen von 50 MA oder 10 Mio. Euro Jahresumsatz (Klasse „wichtige“) bzw. 250 Mitarbeitenden oder 50 Mio. Euro Jahresumsatz (Klasse „Wesentliche“) im Gespräch.

Die DWA zusammen mit dem DVGW hat zur Unterstützung der Betreiber wasserwirtschaftlicher Anlagen, u.a. die in den Bereich kritischer Dienstleistungen fallen oder zukünftig fallen, den Branchenstandard „B3S Wasser/Abwasser“ entwickelt. Er besteht aus dem Merkblatt DWA-M 1060 und dem IT-Sicherheitsleitfaden.
Der B3S-Standard hilft den Unternehmen bei der Nachweisführung gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und hat durch das BSI die Eignungsfeststellung erhalten. Er wird fortlaufend überarbeitet und vom BSI erneut auf Eignung geprüft. Inzwischen hat das BSI zum dritten Mal die Eignungsfeststellung für die Version 2021 2.0 erteilt.

Mit dem elektronischen "IT-Sicherheitsleitfaden" erstellen Sie systematisch und strukturiert einen Katalog von Schutzmaßnahmen, die auf Ihre Unternehmenssituation zugeschnitten sind. Durch die Umsetzung dieser Schutzmaßnahmen erfüllen Sie die Anforderungen des Gesetzgebers gemäß § 8a (1) BSI-Gesetz

Der IT‑Sicherheitsleitfaden besteht aus:

• 27 Anwendungsfälle, mit denen die grundsätzliche Infrastrukturkonfiguration der IT‑Systeme von Abwasserentsorgungs- und Wasserversorgungsanlagen beschrieben wird
• Generierung des dazugehörigen Gefährdungskatalogs in Bezug auf die IT‑Sicherheit
• Angabe der Anforderungen an die IT‑Sicherheit Ihres Unternehmens und den dazugehörigen Umsetzungshinweisen, die Sie beachten müssen

Darüber hinaus erhalten Sie die Möglichkeit auf allen Ebenen Ergänzungen oder Modifikationen zu erstellen. Der Katalog der Maßnahmen zur IT-Sicherheit ist in allgemeine für alle Betreiber und besondere Maßnahmen für die Zertifizierung unterteilt.
Der Katalog ist auch zur Anwendung für kleinere Betreiber geeignet. Wichtig ist es, mit der Einrichtung der Maßnahmen zu beginnen, um die Resilienz der Anlagen zu stärken bzw. für mögliche, zukünftige rechtliche Vorgaben vorbereitet zu sein.