Die Resilienz in der Wasserwirtschaft stärken - Maßnahmen zur IT-Sicherheit verbessern

Schützen Sie Ihren Betrieb, Ihre Infrastruktur auch im digitalen Cyber-Raum
Reservematerial, Notfallplan, Bereitschaftsdienst, Inspektionsroutinen – die Wasserwirtschaft ist es gewöhnt, an Funktionstüchtigkeit, Sicherheit und Schutz zu denken. Jetzt geht es darum, diese Denke auch effektiv auf die digitale Welt zu übertragen. Und zwar für alle Betriebsgrößen, egal ob klein oder groß!

Der Gesetzgeber begrenzt sich bei seinen verpflichtenden Regelungen zur IT-Sicherheit momentan noch auf große kritische Infrastrukturen (> 500 Tsd. EW) und wichtige Wirtschaftszweige. Bereits jetzt ist eine Ausweitung abzusehen. Anfang 2023 ist die EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie) in Kraft getreten. Sie weitet den Kreis der Unternehmen mit kritischen Dienstleistungen aus.

„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

>> KRITIS-Definition der Bundesressorts

Wer ist betroffen?

Wer ist kritische Infrastruktur?

Stand jetzt sind alle Unternehmen betroffen, die deren Einrichtungen 500 Tsd. und mehr Einwohner betreffen. Die gesetzliche Regelungen verpflichten zu:

Maßnahmen zur IT-Sicherheit
§8a BSI-Gesetz verpflichtet Sie alle zwei Jahre zu überprüfen, ob Ihre IT-Sicherheit auf dem Stand der Technik ist. Der Nachweis muss BSI-konform geführt werden.

Wer wird betroffen sein?

Anfang 2023 ist die EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie) in Kraft getreten. Sie weitet den Kreis der Unternehmen mit kritischen Dienstleistungen aus. Die Umsetzung der NIS2-Richtlinie in deutsches Recht erfolgt unter anderem durch eine Novellierung des IT-Sicherheitsgesetzes. Wesentliche Änderung ist die Abkehr von dem bisherigen Begriff der „kritischen Dienstleistung“ zur Betrachtung des ganzen Unternehmens, das die kritische Dienstleistung anbietet. Das bedeutet, als neuer Schwellenwert wird die Anzahl der Mitarbeitenden und der Jahresumsatz des Unternehmens genommen. Es sind Größenordnungen von 50 MA oder 10 Mio. Euro Jahresumsatz (Klasse „wichtige“) bzw. 250 Mitarbeitenden oder 50 Mio. Euro Jahresumsatz (Klasse „Wesentliche“) im Gespräch.

Branchenstandard Wasser/Abwasser (B3S)

Wie unterstützt die DWA?

Die DWA zusammen mit dem DVGW hat zur Unterstützung der Betreiber wasserwirtschaftlicher Anlagen, u.a. die in den Bereich kritischer Dienstleistungen fallen oder zukünftig fallen, den Branchenstandard „B3S Wasser/Abwasser“ entwickelt. Er besteht aus dem Merkblatt DWA-M 1060 und dem IT-Sicherheitsleitfaden. Der B3S-Standard hilft den Unternehmen bei der Nachweisführung gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und hat durch das BSI die Eignungsfeststellung erhalten. Er wird fortlaufend überarbeitet und vom BSI erneut auf Eignung geprüft. Das BSI hat für die Version 3 (2021) die Eignungsfeststellung erteilt. Dieser Bescheid wurde um ein Jahr bis Jan. 2025 verlängert.

Der Branchenspezifische Sicherheitsstandard Wasser/Abwasser (B3S WA) – Edition 2023 – liegt vor.
Der bestehende Standard wurde auf Basis des BSI IT-Grundschutz-Kompendiums (2023) grundlegend überarbeitet. Mit den Änderungen im B3S WA Edition 2023 gehen auch die Überarbeitungen der inhalts- gleichen Merkblätter DVGW W 1060 (M) bzw. DWA-M 1060 „IT-Sicherheit – Branchenspezifischer Sicherheitsstandard Wasser/Abwasser“ einher. Weitere Informationen finden Sie im Artikel der KA

Artikelauszug aus der KA: B3S WA

Aufbau des B3S WA

Medien zum B3S WA