Comply/CheckScope prüfen

NIS2 · Branchenüberblick

Wie betrifft NIS2 die Wasserversorgung?

Trinkwasser- und Abwasser-Versorger sind in Anhang I als Sektor mit hoher Kritikalität gelistet. Die Pflichten überschneiden sich mit der KRITIS-Verordnung — viele Wasserwerke haben bereits ein ISMS aufgebaut. NIS2 senkt die Schwellen und erweitert um Lieferketten-Pflichten.

NIS2-Check für Wasserversorgung startenStand: Geprüft gegen NIS2UmsuCG-EntwurfQuelle

Welche Wasserversorgung-Unternehmen sind NIS2-pflichtig?

Wasserversorgung ist in Anhang I der NIS2-Richtlinie gelistet (Sektoren mit hoher Kritikalität). Wesentliche Einrichtungen ab 250 MA oder 50 Mio. € Umsatz und 43 Mio. € Bilanzsumme. Wichtige Einrichtungen ab 50 MA oder 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme. Versorger ab 500.000 Einwohnern fallen zusätzlich unter die KRITIS-Verordnung (BSI-KritisV).

Typische Adressaten

  • Stadtwerke und kommunale Wasserwerke
  • Trinkwasser-Zweckverbände und Wasserverbände
  • Abwasser-Entsorger und Klärwerks-Betreiber
  • Wasserversorgungs-Genossenschaften ab Schwellen-Größe
  • Industrie-Wasseraufbereiter (B2B-Wasser-Lieferanten)

Top-Mindestmaßnahmen für Wasserversorgung

NIS2 listet in Anhang IV elf generelle Mindestmaßnahmen. Drei sind für die Wasserversorgung-Branche besonders wirksam — sowohl regulatorisch als auch im realen Bedrohungsbild.

Maßnahme 1 von 3

OT-Sicherheit für SCADA und Leittechnik

Warum

Trinkwasser-Aufbereitung und Abwasser-Reinigung werden über SCADA-Systeme gesteuert. Manipulation kann zu Hygiene-Risiken führen (z. B. Chlor-Dosierung). NIS2 verlangt höchsten Schutzstandard.

In der Praxis

Hardware-Diodes oder Datendiode zwischen Prozess- und Office-Netz. Whitelisting für SCADA-Workstations. Hersteller-Patches mit Test-Stage vor Produktiv-Deployment.

Maßnahme 2 von 3

Notfall- und Krisen-Versorgungs­konzepte

Warum

Wasser muss verfügbar bleiben. NIS2 verlangt nachweisbare Business-Continuity-Pläne. Im Wasserbereich besonders: manuelle Steuerung bei IT-Ausfall, Notbrunnen, Tankwagen-Verteilung.

In der Praxis

Dokumentiertes Notbetriebs-Handbuch. Regelmäßige Notfall-Übungen mit dokumentiertem Ergebnis. Vorab-Verträge mit Tankwagen-Dienstleistern. Kommunikation an Bevölkerung vorbereitet.

Maßnahme 3 von 3

Lieferketten-Sicherheit für OT-Komponenten

Warum

Wasserwerke nutzen Steuerungs-Komponenten (SPS, HMI, Durchfluss-Sensoren) von wenigen Herstellern. Schwachstellen in diesen Komponenten haben hohe Reichweite.

In der Praxis

Hersteller-Inventar mit Schwachstellen-Monitoring. Patch-SLAs vertraglich verankert. Lieferanten-Reduktion auf zertifizierte Komponenten (IEC-62443-zertifiziert).

Lieferketten-Pflicht in der Wasserversorgung

Wasserwerke haben überschaubare Lieferketten: Steuerungs-Hersteller, Chemikalien-Lieferanten, IT-Dienstleister, Labor. Ein Ausfall in der Lieferkette kann Versorgungs­engpässe verursachen. NIS2 verlangt aktives Lieferketten-Management.

Typische Lieferanten- und Dienstleister-Beziehungen

  • SCADA- und SPS-Hersteller: Schwachstellen-Meldung und Patch-Verfahren
  • Chemikalien-Lieferanten (Chlor, Aluminium-Sulfat): EDI-Sicherheit, Verfügbarkeit
  • Labor-Dienstleister: sichere Datenübermittlung von Messergebnissen
  • IT-Dienstleister (Leitstand-Software, ERP): Sicherheits-Anhang in Verträgen

Erste Einordnung

NIS2-Check mit Sektor-Vorbelegung für Wasserversorgung

Vier Fragen, eine erste Einschätzung — keine Rechtsberatung. Das Tool nutzt eine Sektor-Vorbelegung, die zu Wasserversorgung-Profilen passt, und zeigt eine priorisierte erste Roadmap.

NIS2-Check für Wasserversorgung starten

Häufige Fragen zu NIS2 in der Wasserversorgung

Wir sind kleines Stadtwerk mit 30 MA — fallen wir unter NIS2?

Bei 30 MA unterhalb der 50-MA-Schwelle. Umsatz und Bilanzsumme entscheiden zusätzlich — bei Wasser-Versorgern oft im Mio.-Bereich. Wenn 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme überschritten sind, fällt der Versorger als „wichtige Einrichtung“ unter NIS2.

Wie ist das Verhältnis zur KRITIS-Verordnung?

KRITIS-Verordnung greift ab 500.000 versorgten Einwohnern. NIS2 greift bei deutlich geringeren Schwellen. KRITIS-Pflichtige sind automatisch NIS2-pflichtig. NIS2 erweitert um Lieferketten-Pflicht, kürzere Meldefristen und Geschäftsleitungs-Haftung.

Welche Vorfälle in der Branche sind dokumentiert?

Oldsmar (Florida 2021, Versuchter Eingriff in Chlor-Dosierung), South Staffordshire Water 2022 (Cl0p-Ransomware, Datenabfluss), kommunale Wasserwerke in Hessen 2023 (Phishing-Eskalation). Der Sektor ist erklärtes Angreifer-Ziel.

Müssen wir die Bevölkerung über Cyber-Vorfälle informieren?

NIS2 verlangt Meldung an BSI und das nationale CSIRT. Eine direkte Informations­pflicht der Bevölkerung ergibt sich aus der Trinkwasserverordnung und ggf. § 6 TwVO bei Hygiene-Risiken. Kommunikation muss vorab geplant sein.

Welche Rolle spielt der B3S Wasser/Abwasser?

Der Branchenspezifische Sicherheits-Standard (B3S) Wasser/Abwasser ist vom BSI anerkannt und deckt KRITIS-Pflichten ab. Er korrespondiert weitgehend mit NIS2-Mindestmaßnahmen — eine Gap-Analyse B3S → NIS2 ist sinnvoll, um die NIS2-spezifischen Themen (Lieferkette, Meldefristen) zu identifizieren.

Wer ist die Aufsichtsbehörde?

Das BSI ist zentrale NIS2-Aufsicht. Für KRITIS-Wasser zusätzlich die Landesumweltämter und Gesundheitsämter (Trinkwasser-Hygiene). Doppelte Meldewege sollten vorab geklärt sein.