Zur Startseite
Wasser

Update des IT-Sicherheitleitfadens veröffentlicht

Das Regelwerk enthält Neuerungen, die im Rahmen der fortschreitenden Digitalisierung an Bedeutung gewinnen. Dazu zählen zum Beispiel Cloud-Nutzung und Internet der Dinge.
25.04.2022

Die EU will in Zukunft vermutlich auch kleinere Versorger als Kritis-Unternehmen einstufen.

 

Bild: © Pickup/AdobeStock

Wasserver- und Abwasserentsorger müssen sich als „Kritische Infrastrukturen“ umfassend vor Cyberangriffen schützen. Dafür haben die Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA) und der Deutsche Verein des Gas- und Wasserfaches (DVGW) den branchenspezifischen IT-Sicherheitsstandard Wasser/Abwasser (B3S WA) entwickelt.

Nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt hat, dass die Version 2021 des B3S WA die gesetzlichen Anforderungen im BSI-Gesetz für Kritis-Betreiber erfüllt, wurde jetzt das dritte Update des IT-Sicherheitsleitfadens veröffentlicht. Damit können die Unternehmen das gesetzlich vorgeschriebene Schutzniveau erreichen.

Angriffserkennung ist nun eingeschlossen

„Bei der Aktualisierung stand im Fokus, den Leitfaden um Aspekte zu ergänzen, die im Rahmen der fortschreitenden Digitalisierung besondere Bedeutung gewinnen. Dazu zählen zum Beispiel Cloud-Nutzung, Internet of Things oder Angriffserkennung. Wichtig war auch, dass die neue Version weiterhin eine Basisabsicherung der IT-Struktur für kleine und mittlere Betreiber bietet“, betonen DWA und DVGW.

Durch das Merkblatt „IT-Sicherheit – Branchenstandard Wasser/Abwasser“ (DWA-Merkblatt M 1060 bzw. DVGW-Merkblatt W 1060) wird der B3S WA im Regelwerk der Branchenverbände verankert. Sie sind inklusive des dazugehörigen IT-Tools ab sofort erhältlich.

Auch kleineren Unternehmen empfohlen

Unternehmen, die über 22 Mio. Kubikmeter Wasser pro Jahr – bezogen auf Anlagenkategorien, z.B. Wasserwerk oder Leitzentrale – abgeben bzw. bei denen 500.000 Einwohner an die Kanalisation angeschlossen sind bzw. die eine Ausbaugröße der Kläranlage mit einer Größe von 500.000 Einwohnerwerten betreiben, müssen die Vorschriften umsetzen. DWA und DVGW empfehlen aber auch Betreibern unterhalb dieser Schwellenwerte zumindest die Implementierung des Basisschutzniveaus.

Die derzeit laufenden Überlegungen auf EU-Ebene zur NIS-2-Richtlinie, also zur Europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit, deuten nach Angaben der Verbände darauf hin, dass auch Anlagen unterhalb der Schwellenwerte der aktuellen BSI-Kritis-Verordnung in Zukunft als Kritische Infrastrukturen eingestuft werden könnten. (hp)