Cybervize - Cybersecurity Beratung

KRITIS-Nachweis, Mapping und Roadmap für Wasserversorger

Wasser / AbwasserCISOKRITIS-BeauftragteISMS ManagerTechnische Leitung Wasser/AbwasserCompliance- und Audit-Verantwortliche

Kernaussage

Der Sektor Wasser hat beim KRITIS-Nachweis einen strukturellen Vorteil: Es existiert ein festgestellter, einschlägiger Branchenstandard, der B3S Wasser/Abwasser (B3S WA) in der Edition 2023, nach der BSI-Übersicht gültig bis August 2027. Die Methodenfrage der generischen Nachweis-Roadmap ist für Wasserversorger damit weitgehend beantwortet, ohne dass der B3S dadurch zur Pflicht wird.

Die Pflicht folgt nicht aus dem B3S, sondern aus dem BSI-Gesetz in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG); der B3S WA ist eine anerkannte, aber freiwillige Nachweishilfe. Aufsichts-, Nachweis- und Meldebehörde für die Cybersicherheit im Sektor Wasser ist das BSI, nicht die Bundesnetzagentur. Für das Management ist der KRITIS-Nachweis damit ein mehrjähriges Steuerungsthema, dessen sektorale Besonderheiten früh in die Roadmap gehören.

Problem in der Praxis

Drei wasserspezifische Missverständnisse tauchen regelmäßig auf.

Erstens die Behördenverwechslung: Wasserversorger ordnen ihre Cyber-Aufsicht gelegentlich der Bundesnetzagentur zu, weil diese für Energie und Telekommunikation zuständig ist. Im Sektor Wasser sind Nachweis und Meldungen jedoch Sache des BSI. Der physische Resilienzstrang nach dem KRITIS-Dachgesetz liegt zudem bei BBK und Ländern und ist davon zu trennen.

Zweitens die Gleichsetzung von B3S und Pflicht: Der B3S WA wird als das Gesetz missverstanden, ist aber nur das Werkzeug, mit dem die gesetzlichen Anforderungen branchengerecht konkretisiert und nachgewiesen werden.

Drittens veraltete Paragraphenbezüge: Die DVGW- und DWA-Unterlagen sowie der B3S WA selbst stammen aus 2024 und verweisen noch auf den alten Paragraphen 8a BSIG. Mit der NIS2-Umsetzung wurde das BSIG neu nummeriert. Wer alte Verweise unverändert übernimmt, zitiert eine nicht mehr geltende Fassung.

CISO-Einordnung

Für den CISO eines Wasserversorgers lohnt sich die saubere Trennung von vier Ebenen, die zugleich das Mapping ergeben.

Europäische Ebene: die NIS2-Richtlinie (RL (EU) 2022/2555); Trinkwasser und Abwasser sind dort im Anhang I als Sektoren mit hoher Kritikalität gelistet.

Gesetzesebene: das BSIG in der Fassung des NIS2UmsuCG (BGBl. 2025 I Nr. 301, in Kraft seit 6.12.2025). Es verlangt Risikomanagement nach dem Stand der Technik (nach derzeitigem Stand Paragraf 30, Stand der Technik in Absatz 2), besondere Pflichten der Betreiber kritischer Anlagen einschließlich Angriffserkennung (Paragraf 31) und den Nachweis (Paragraf 39). KRITIS-Betreiber gelten zugleich als besonders wichtige Einrichtungen. Die Paragraphenzuordnung ist am geltenden Text zu prüfen, da sie gegenüber der alten Fassung umgeschlüsselt wurde.

Werkzeugebene: der B3S WA. Seine Rechtsgrundlage, die Eignungsfeststellung durch das BSI, ist nach derzeitigem Stand in Paragraf 30 Absatz 8 und 9 verortet (früher Paragraf 8a Absatz 2 a. F.); ebenfalls zu prüfen.

Nachweisebene: der Beleg gegenüber dem BSI, geführt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen, wobei aufgedeckte Sicherheitsmängel dem BSI mitzuteilen sind.

Umsetzungsperspektive

Die generische sechsschrittige KRITIS-Nachweis-Roadmap (Betroffenheit und Scope, Methodenwahl, Gap-Analyse, Prüfung planen, Mängel beheben, Zyklus etablieren) gilt unverändert. Wasserspezifisch sind vor allem drei Punkte.

Der Geltungsbereich folgt der Anlagenlandschaft: Wassergewinnung, Aufbereitung und Wasserwerk, Verteilung und Leitungsnetz mit Leitzentralen auf der Trinkwasserseite; Kanalisation, Abwassernetz, Kläranlagen und Leitzentralen auf der Abwasserseite. Prägend ist der hohe Anteil an Prozessleit- und OT-Technik. Der Scope muss diese Anlagen vollständig erfassen, auch ausgelagerte Fernwirk- und Fernwartungsstrecken. Welche Anlage die Schwelle erreicht, ergibt sich aus dem BSIG mit der BSI-KritisV; die diskutierten Werte (Abwasser rund 500.000 angeschlossene Einwohner, Trinkwasser rund 22 Mio. Kubikmeter pro Jahr) sind illustrativ und am Verordnungsstand zu prüfen, da die Anpassung der BSI-KritisV an BSIG 2025 und KRITIS-Dachgesetz noch offen ist.

Die Methodenwahl ist im Sektor Wasser meist entschieden: Der festgestellte B3S WA Edition 2023 bildet die branchentypischen Gefährdungen ab, folgt einem ISMS-Aufbau und kann auf ISO/IEC 27001 oder BSI IT-Grundschutz aufsetzen. Sein Trägerregelwerk DVGW W 1060 und das gleichlautende DWA-Merkblatt M 1060 sowie das B3S-WA-Sicherheitskompendium sind kostenpflichtig; sie sind regulär zu beziehen, ihre Maßnahmen- und Anforderungslisten gehören aber nicht in interne Wissens- oder RAG-Systeme.

Die Geltung gehört in die mehrjährige Planung: Die Eignungsfeststellung ist befristet (hier bis August 2027). Ein abgelaufener B3S entbindet nicht von der Nachweispflicht; fällt der nächste Nachweis in eine Lücke, ist anderweitig nachzuweisen, etwa über ISO/IEC 27001 mit ergänzender Prüfung.

Typische Fehler

  1. Die Cyber-Aufsicht im Sektor Wasser wird der Bundesnetzagentur statt dem BSI zugeordnet.
  2. Der physische Resilienzstrang (KRITIS-Dachgesetz, BBK/Länder) wird mit dem Cyberstrang des BSIG vermischt, obwohl beide denselben Versorger treffen.
  3. Alte Paragraphenverweise (Paragraf 8a BSIG a. F.) aus den 2024er Unterlagen werden ungeprüft fortgeschrieben.
  4. Der B3S WA wird als Pflicht statt als freiwillige Nachweishilfe verstanden.
  5. Der Geltungsbereich erfasst Fernwirk-, Fernwartungs- oder ausgelagerte Leittechnik nicht vollständig.
  6. Der Re-Feststellungshorizont des B3S WA (gültig bis August 2027) wird nicht in die Nachweisplanung eingerechnet.

Risiken und Trade-offs

Die Bindung an den B3S WA schafft Klarheit und Anerkennung, erzeugt aber eine Abhängigkeit von dessen Geltungsdauer. Wer den gesamten Nachweis darauf stützt, braucht Vorsorge für den Fall, dass die Eignungsfeststellung nicht nahtlos verlängert wird.

Ein zweiter Trade-off liegt im Prüfweg: Audit, Prüfung und Zertifizierung unterscheiden sich in Aufwand, Aussagekraft und Wiederverwendbarkeit. Ein bestehendes ISO/IEC-27001-Zertifikat hebt Synergien, deckt den KRITIS-Nachweis aber nicht automatisch ab, weil sein Scope die kritische Anlage und die gesetzlichen Pflichten vollständig erfassen muss und KRITIS-spezifische Prüfaspekte meist zu ergänzen sind.

Drittens das Aktualitäts- und Rechtsrisiko: Mehrere Details beruhen auf Sekundärquellen oder noch nicht angepassten Regelwerken und sind vor verbindlichen Aussagen zu prüfen, darunter die Paragraphenzuordnung im BSIG 2025, der Stand der BSI-KritisV samt Schwellenwerten, das genaue Eignungsfeststellungsdatum, die Editionsbezeichnung des Trägerregelwerks und der Nachweisturnus. Der frühere Paragraf 8a Absatz 3 a. F. sah zwei Jahre vor; der nach NIS2UmsuCG geltende Turnus ist am aktuellen Text gegenzuprüfen, nicht fortzuschreiben.

Entscheidungspunkte

  • Ist der Geltungsbereich entlang der Anlagenlandschaft (Gewinnung, Aufbereitung, Netz, Leitzentralen, Kläranlage) präzise geschnitten, bevor die Methode festgelegt wird?
  • Wird der Nachweis über den festgestellten B3S WA geführt, und gibt es einen Plan B für die Zeit nach August 2027?
  • Welcher Prüfweg passt zu Reifegrad, Budget und Prüfzyklus, und ist ein vorhandenes ISO-27001-Zertifikat nur Baustein oder vollständiger Nachweis?
  • Wie wird der Cyberstrang (BSI) organisatorisch sauber vom physischen Resilienzstrang (KRITIS-Dachgesetz, BBK/Länder) getrennt und zugleich koordiniert?
  • Welcher Nachweistermin gilt konkret, und welche Übergangsregel nach NIS2UmsuCG ist im Einzelfall einschlägig?

Praktische Empfehlungen

  1. Halten Sie das BSI als Cyber-Aufsichts- und Meldebehörde fest und kommunizieren Sie die Trennung zum physischen Strang (BBK/Länder).
  2. Nutzen Sie den festgestellten B3S WA Edition 2023 als methodischen Anker, aber als freiwillige Nachweishilfe, nicht als Pflicht.
  3. Beziehen Sie DVGW W 1060 und DWA-M 1060 regulär, übernehmen Sie aber keine Maßnahmen- oder Anforderungslisten in interne Wissens- oder RAG-Systeme.
  4. Schlüsseln Sie Paragraphenverweise aus den 2024er Unterlagen auf den geltenden BSIG-2025-Text um und markieren Sie unsichere Zuordnungen als zu prüfen.
  5. Hinterlegen Sie Fälligkeitstermin und B3S-Gültigkeitsdatum (August 2027) mehrjährig und rechnen Sie vom Termin rückwärts, inklusive Vorlauf für Prüfkapazitäten.
  6. Verifizieren Sie BSI-KritisV-Stand, Schwellenwerte, Nachweisturnus und Prüfstellen-Regime an aktuellen BSI- und Gesetzesquellen.

Relevante Normreferenzen

  • BSIG in der Fassung des NIS2UmsuCG (BGBl. 2025 I Nr. 301, in Kraft seit 6.12.2025): Anker für Risikomanagement und Stand der Technik (Paragraf 30), besondere Pflichten kritischer Anlagen (Paragraf 31), Nachweispflicht (Paragraf 39) und B3S-Eignungsfeststellung (Paragraf 30 Absatz 8 und 9; früher Paragraf 8a a. F.). Paragraphenstand am aktuellen Text prüfen.
  • BSI-KritisV: bestimmt Anlagenkategorien und Schwellenwerte im Sektor Wasser; Stand und Anpassung an BSIG 2025 prüfen.
  • B3S Wasser/Abwasser (Edition 2023, DVGW und DWA, vom BSI festgestellt, gültig bis August 2027): sektorale Konkretisierung; Trägerregelwerk DVGW W 1060 und DWA-M 1060 kostenpflichtig, nur Struktur und Konzept, keine Volltexte oder Anforderungslisten (reference only).
  • ISO/IEC 27001: möglicher methodischer Unterbau, deckt den KRITIS-Nachweis nicht automatisch ab (reference only). BSI IT-Grundschutz: alternativer bzw. komplementärer Unterbau, frei referenzierbar.
  • NIS2-Richtlinie (RL (EU) 2022/2555), Anhang I: listet Trinkwasser und Abwasser als Sektoren mit hoher Kritikalität.
  • KRITIS-Dachgesetz: regelt den physischen Resilienzstrang (BBK/Länder), getrennt vom Cyberstrang; Inkrafttreten und Stand prüfen.

Häufige Fragen

Welche Behörde ist für den KRITIS-Cyber-Nachweis im Sektor Wasser zuständig?+

Das BSI für Aufsicht, Nachweis und Meldungen im Cyberstrang, nicht die Bundesnetzagentur. Der physische Resilienzstrang nach dem KRITIS-Dachgesetz liegt bei BBK und Ländern.

Gibt es für Wasser einen einschlägigen B3S?+

Ja, den B3S Wasser/Abwasser Edition 2023 (DVGW und DWA), vom BSI festgestellt und nach der BSI-Übersicht gültig bis August 2027. Seine Nutzung ist freiwillig.

Reicht ein ISO-27001-Zertifikat für den KRITIS-Nachweis?+

Nicht automatisch. Der Scope muss die kritische Anlage und die gesetzlichen Pflichten vollständig erfassen; KRITIS-spezifische Prüfaspekte sind meist zu ergänzen.

Welche Paragraphen des BSIG gelten?+

Nach derzeitigem Stand Paragraf 30 (Risikomanagement), 31 (besondere Pflichten), 39 (Nachweispflicht) und 30 Absatz 8/9 (B3S-Eignungsfeststellung). Die Nummerierung wurde mit NIS2UmsuCG geändert und ist am aktuellen Text zu prüfen; ältere Unterlagen verweisen noch auf Paragraf 8a a. F.

Was passiert, wenn die B3S-Eignungsfeststellung ausläuft?+

Ein abgelaufener B3S entbindet nicht von der Nachweispflicht; der Nachweis ist dann anderweitig zu führen, etwa über ISO/IEC 27001 oder BSI IT-Grundschutz mit ergänzender Prüfung.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Wasser / Abwasser prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: wat-003.