Wasserbranche fordert mehr Klarheit bei aktuellen Cyberschutz-Gesetzen
Von Michael Nallinger
"Cyberangriffe, aber auch physische Angriffe wie Sabotage auf die kritische Infrastruktur nehmen zu", konstatierte kürzlich Markus Heinrich auf dem DVGW-Kongress in Berlin. Der Jurist von Wolter Hoppenberg Rechtsanwälte nannte exemplarisch den Angriff auf die Südwestfalen-IT, der Ende 2023 die IT-Infrastruktur mit über 70 betroffenen Kommunen und Unternehmen lahmlegte und Ausfälle sowie Einschränkungen der Dienstleistungen der meisten Kommunen von über einer Woche verursachte.
Die Risiken sollen mit zwei Gesetzesvorhaben begrenzt werden. Kürzlich hat der Bundestag über das Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuG) der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) beraten. Dabei wurde die späte Umsetzung in Deutschland kritisiert. Eigentlich hätte die EU-Richtlinie NIS 2 bis zum 18. Oktober in nationales Recht umgesetzt sein sollen. Mittlerweile geht man jedoch davon aus, dass NIS 2 in Deutschland erst im Frühjahr 2025 wirksam wird.
Während sich das NIS-2-Umsetzungsgesetz vorwiegend auf eine Erhöhung des Cybersicherheitsniveaus kritischer Anlagen konzentriert, richtet ein zweites Gesetzesvorhaben, das Kritis-Dachgesetz, den Schwerpunkt auf die Resilienz und den physischen Schutz dieser Anlagen. Hier hat das Bundeskabinett den Regierungsentwurf des Bundesinnenministeriums kürzlich beschlossen.
Stolpersteine für die Verabschiedung
Aber auch hier ist ein reibungsloser Fortgang des Gesetzgebungsverfahrens nicht selbstverständlich. Zum einen ist das Gesetz im Bundesrat zustimmungspflichtig, und den Bundesländern kommt eine zentrale Rolle beim Vollzug in den Kritis-Sektoren Wasser, Abwasser und Siedlungsabfallentsorgung zu. Zum anderen ist die Regierungsarbeit durch das Ende der Ampelkoalition erheblich erschwert. Dennoch fordert der DVGW-Vorstand Wolf Merkel: „Das Gesetzesvorhaben ist ausgereift und sollte noch in diesem Jahr zum Abschluss gebracht werden.“
Nach aktuellem Gesetzesentwurf haben Kritis-Betreiber bis Mitte Juli 2026 Zeit, entsprechende Maßnahmen zu ergreifen, um die zentralen Pflichten des Kritis-Dachgesetzes zu erfüllen, berichtete Heinrich in Berlin. Das schlanke Gesetz mit aktuell „nur“ 20 Paragrafen soll als „All-Gefahrengesetz“ hinsichtlich nicht-IT-bezogener Maßnahmen erstmals einheitliche bundesgesetzliche sektorübergreifende Mindestvorgaben normieren.
„Der Schutz vor Gefährdungen beispielsweise durch physische oder Cyber-Angriffe darf auch vor den drängenden Herausforderungen im Zusammenhang mit den fortschreitenden Klimaveränderungen nicht zurücktreten“, betonte Merkel auf der Veranstaltung in Berlin. Der DVGW-Vorstand verweist darauf, dass der Verein bereits Anfang der 1960er-Jahre erste diesbezügliche Regelwerke veröffentlicht hatte und diese seitdem kontinuierlich dem technologischen Fortschritt anpasst.
Neues Regelwerk für Resilienzpläne
Merkel sieht darin eine gute Basis, die Wasserversorgungsanlagen entsprechend zu schützen. „Die Wasserversorgung in Deutschland ist mehrfach gut geschützt, zum Beispiel durch IT-technische, physische, organisatorische und betriebliche Maßnahmen. Damit dies so bleibt, arbeiten wir kontinuierlich daran, die Wirksamkeit von Schutzmaßnahmen aktuellen Anforderungen anzupassen und in unseren Regelwerken und Dienstleistungen, wie dem Technischen Sicherheitsmanagement, abzubilden”, erklärt der DVGW-Vorstand.
Der DVGW plant, die gesetzlichen Vorgaben wie Resilienzpläne für alle Kritischen Infrastrukturen mit Umsetzungshilfen in einem neuen Regelwerk zu bündeln, damit Wasserversorgungsunternehmen die gesetzlichen Vorgaben erfüllen können. Und auch bei der IT-Sicherheit hat der DVGW laut Merkel schon Vorarbeit geleistet. Dazu zählt etwa der bereits vor Jahren mit der DWA entwickelt branchenspezifische IT-Sicherheitsstandard Wasser/Abwasser, der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt ist.
Cyberangriffe werden immer komplexer
Zudem hat man sich zum NIS2-Umsetzungsgesetz mit einer Stellungnahme eingebracht. Dass hier Handlungsbedarf besteht, ist aus Sicht des DVGW unbestritten. „Durch eine zunehmende Anzahl von immer komplexer werdenden Cyberangriffen, auch vor dem Hintergrund von geopolitischen Verschiebungen, ist die weitere Ausgestaltung des rechtlichen Rahmens der IT-Sicherheit für den Kritis-Schutzunbedingt notwendig“, heißt es dort.
Allerdings fordert der DVGW, dass die Anforderungen im NIS2UmsuG an die deutschen Unternehmen nicht strenger sein sollten als in der NIS-2-Richtlinie von der EU vorgegeben. Aus Sicht des DVGW ist es nicht vertretbar, den deutschen Gas- und Wasserversorgungsunternehmen hier strengere Vorschriften aufzuerlegen.
Zudem wird eine eindeutige Zuständigkeit angemahnt. Aus dem Referentenentwurf gehe hervor, dass die Zuständigkeit für den Bereich der kritischen Anlagen und Netze im Energiesektor der Bundesnetzagentur (BNetzA) zu übertragen sei, während das BSI für den Bereich der besonders wichtigen Einrichtungen im Energiesektor zuständig sein soll. Der DVGW befürchtet hier eine doppelte Verantwortung und Berichtspflicht der Betreiber.
Forderung nach Verzahnung der Gesetzesvorhaben
Mehr Klarheit wünscht man sich auch bei der Umsetzung der Anforderungen durch branchenspezifische Sicherheitsstandards. Hier besteht eine Lücke, die nach Ansicht des DVGW absehbar zu Problemen und Fragen für die Kategorie der „wichtigen Einrichtungen“führt. In dem Sektor Wasser sind viele Unternehmen betroffen und werden künftig in diese Kategorie fallen. Deshalb ist es dem DVGW als technischen Regelsetzer der Branche ein besonderes Anliegen, dass die „wichtigen Einrichtungen“von Beginn an, und nicht erst durch Orientierungshilfen und Leitfäden vom BSI, präzise Angaben zum Rahmen der gesetzlichen Verpflichtungen erhalten, die Rechtssicherheit in Bezug auf die zu erfüllenden Anforderungen geben.
Mit Blick auf die beiden neuen Gesetze im Bereich der Kritischen Infrastrukturen fordert der DVGW grundsätzlich eine enge Verzahnung des NIS-Umsetzungsgesetzes mit dem Kritis-Dachgesetz im Sinne eines All-Gefahren-Ansatzes. „Nur so erreichen wir eine effiziente, umsetzbare und auch wirtschaftlich abbildbare Gesetzgebung zum Schutz Kritischer Infrastrukturen, die die Risiken aus dem Cyberraum und dem physischen Raum ganzheitlich berücksichtigt“, unterstreicht Merkel.