B3S Wasser/Abwasser: Überblick
Kernaussage
Der Branchenspezifische Sicherheitsstandard Wasser/Abwasser (B3S WA) ist die sektorale Ausprägung des generischen B3S-Mechanismus für die Trinkwasserversorgung und die Abwasserentsorgung. Er konkretisiert, wie KRITIS-Betreiber im Wasserbereich die gesetzlichen Sicherheitsanforderungen "nach dem Stand der Technik" erfüllen können. Erarbeitet wurde er gemeinsam von DVGW und DWA; das BSI hat die Edition 2023 nach DVGW-Angaben Ende August 2024 als geeignet festgestellt, veröffentlicht wurde sie am 25.09.2024, und die Eignungsfeststellung gilt bis August 2027.
Wichtig für die Steuerung: Der B3S WA ist kein eigener Rechtsakt und keine Pflicht. Verpflichtend sind Risikomanagement, Sicherheitsmaßnahmen nach Stand der Technik und der wiederkehrende Nachweis gegenüber dem BSI. Der B3S WA ist eine anerkannte, freiwillige Nachweishilfe - der branchentypisch effizienteste, aber nicht der einzige Weg. Der CISO entscheidet nicht über das Ob des Nachweises, sondern über das Wie.
Problem in der Praxis
Wasser- und Abwasserbetriebe sind technisch durch Prozessleittechnik geprägt: Wassergewinnung, Aufbereitung im Wasserwerk, Verteilnetze und Leitzentralen auf der Trinkwasserseite, Kanalisation, Kläranlagen und Leitzentralen auf der Abwasserseite. Diese OT-Welt hat lange Lebenszyklen, hohe Verfügbarkeitsanforderungen und nur begrenzte Wartungsfenster; klassische IT-Sicherheitsroutinen lassen sich nicht eins zu eins übertragen. Genau hier setzt der branchenspezifische Zuschnitt des B3S WA an.
Zwei Verwechslungen kosten am meisten Zeit. Erstens wird "B3S WA anwenden" mit der gesetzlichen Pflicht gleichgesetzt, obwohl der Standard nur ein Werkzeug für den Nachweis ist. Zweitens wird ein vorhandenes ISO/IEC-27001-Zertifikat ungeprüft als ausreichender KRITIS-Nachweis gewertet. Verschärft wird die Lage durch die Novelle: Mit der NIS2-Umsetzung im BSIG wurden die einschlägigen Paragraphen neu nummeriert. Die DVGW/DWA-Unterlagen und der B3S-WA-Text mit Stand 2024 verweisen noch auf das alte BSIG (insbesondere den früheren Paragraphen 8a), während Audits und Behördenkommunikation die neue Struktur erwarten.
CISO-Einordnung
Es lohnt sich, drei Ebenen zu trennen. Auf der Gesetzesebene ist Trägergesetz das BSI-Gesetz in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG, BGBl. 2025 I Nr. 301, in Kraft seit 6.12.2025). Trinkwasser und Abwasser sind in Anhang I der NIS2-Richtlinie als Sektoren mit hoher Kritikalität gelistet; die Umsetzung erfolgt über das BSIG. KRITIS-Betreiber gelten nach neuem BSIG zugleich als besonders wichtige Einrichtungen und unterliegen verschärften Pflichten, darunter Systeme zur Angriffserkennung und die Nachweispflicht. Die genaue Paragraphen- und Absatzzuordnung ist am geltenden Gesetzestext zu verifizieren: Die B3S-Rechtsgrundlage lag vor der Novelle im früheren Paragraphen 8a Abs. 2 BSIG a. F. und findet sich in der neu nummerierten Fassung an anderer Stelle wieder.
Eine sektorspezifische Klarstellung: Cybersicherheitsaufsicht, Nachweisentgegennahme und Meldungen im Sektor Wasser liegen beim BSI, nicht bei der Bundesnetzagentur. Davon getrennt regelt das KRITIS-Dachgesetz den physischen Resilienz- und Schutzstrang mit Aufsicht bei BBK und Ländern. Beide Stränge treffen denselben Betreiber, folgen aber unterschiedlicher Logik, Behörde und Nachweisführung; Stand und Inkrafttreten des KRITIS-Dachgesetzes sind im Einzelfall zu prüfen.
Inhaltlich folgt der B3S WA einem ISMS-Aufbau: Geltungsbereich der kritischen Anlage, Gefährdungs- und Risikoanalyse nach dem All-Hazards-Prinzip, organisatorische und technische Maßnahmen nach Stand der Technik, Notfall- und Kontinuitätsmanagement, Lieferanten- und Dienstleistersicherheit, Angriffserkennung sowie Wirksamkeitsprüfung. Der OT- und Leittechnikbezug ist dabei sektorprägend. Diese Logik ist generisch beschrieben und ersetzt keine konkrete Anforderungsliste.
Umsetzungsperspektive
Am Anfang steht eine Standortbestimmung, kein Standardkauf. Zentral ist der Geltungsbereich: Welche Anlagen sind kritisch, und deckt das vorhandene Sicherheitsmanagement diesen Scope vollständig ab - inklusive der OT-Strecken in Wasserwerk, Netz und Kläranlage? Ob eine Anlage in den KRITIS-Geltungsbereich fällt, richtet sich nach der BSI-KritisV; deren Anlagenkategorien und Schwellenwerte (im Trinkwasser- und Abwasserbereich orientiert an Versorgungsmengen bzw. angeschlossenen Einwohnern) sowie ihre Anpassung an das BSIG 2025 sind vor verbindlichen Aussagen am aktuellen Verordnungsstand zu prüfen.
Der B3S WA besteht in der Edition 2023 aus dem Trägerregelwerk und der begleitenden Web-Anwendung "B3S-WA-Sicherheitskompendium", die bei der Identifikation erforderlicher Maßnahmen entlang der branchenspezifischen Gefährdungen unterstützt. Beide sind kostenpflichtig und nur als Referenz zu nutzen; Maßnahmen- und Anforderungslisten gehören nicht in interne Wissensspeicher. Methodisch setzt der Standard üblicherweise auf etablierte ISMS-Grundlagen wie ISO/IEC 27001 und BSI IT-Grundschutz auf und ergänzt sie um Wasser- und Abwasser-Gefährdungen; die genauen Bezugnahmen sind dem Regelwerk selbst zu entnehmen.
Der Nachweis ist dem BSI durch Sicherheitsaudits, Prüfungen oder Zertifizierungen zu führen; aufgedeckte Mängel sind mitzuteilen. Ein ISO-27001-Zertifikat ist methodisch wertvoll, deckt den KRITIS-Nachweis aber nicht automatisch ab - der Scope muss die kritische Anlage und die gesetzlichen Anforderungen vollständig erfassen, meist sind KRITIS-spezifische Prüfaspekte zu ergänzen. Konkreter Nachweisturnus und Übergangsregeln nach NIS2UmsuCG sind am geltenden BSIG-Text zu prüfen. Praktisch sollte die Nachweisvorbereitung als wiederkehrender Regelbetrieb angelegt werden, nicht als Projekt kurz vor der Frist.
Typische Fehler
- Der B3S WA wird als gesetzliche Pflicht missverstanden statt als freiwillige Nachweishilfe.
- Ein ISO-27001-Zertifikat wird ungeprüft als ausreichender KRITIS-Nachweis gewertet.
- Der Geltungsbereich klammert OT- und Leittechnikstrecken in Wasserwerk, Netz oder Kläranlage aus.
- Alte BSIG-Paragraphenverweise (etwa der frühere 8a) bleiben in Richtlinien, Verträgen und im übernommenen B3S-Text stehen.
- Die Cyberaufsicht wird fälschlich bei der Bundesnetzagentur statt beim BSI verortet, oder Cyber- und physischer Resilienzstrang werden vermengt.
- Verbindliche Schwellenwerte und Fristen werden aus älteren Quellen übernommen, ohne den aktuellen Verordnungs- und Gesetzesstand abzugleichen.
Risiken und Trade-offs
Die Bindung an den B3S WA schafft Klarheit und branchenweite Anerkennung, erzeugt aber Abhängigkeit von dessen Aktualität. Die Eignungsfeststellung ist befristet (hier bis August 2027); läuft sie aus oder wird der Standard nicht verlängert, entbindet das nicht von der Nachweispflicht - der Nachweis ist dann anderweitig zu führen, etwa über ISO/IEC 27001 mit ergänzender Prüfung.
Ein zweiter Trade-off ist die Doppelregulierung: Cyberstrang (BSIG, Aufsicht BSI) und physischer Resilienzstrang (KRITIS-Dachgesetz, Aufsicht BBK/Länder) treffen denselben Betrieb - getrennte Steuerung vermeidet Lücken, integrierte muss die unterschiedlichen Behörden- und Nachweislogiken sauber abbilden. Drittens besteht ein Ressourcenrisiko: qualifizierte prüfende Stellen mit OT- und Wasserkompetenz sind begrenzt verfügbar, und Wartungsfenster in der Prozessleittechnik schränken Test- und Umsetzungszeiträume ein.
Entscheidungspunkte
- Sind alle kritischen Trinkwasser- und Abwasseranlagen samt OT-Strecken im Geltungsbereich des Sicherheitsmanagements erfasst?
- Wird der Nachweis über den B3S WA geführt oder über ISO/IEC 27001 bzw. IT-Grundschutz mit ergänzender KRITIS-Prüfung?
- Welcher Prüfweg (Audit, Prüfung, Zertifizierung) passt zu Reifegrad, Budget und Zyklus?
- Wie werden Cyberstrang (BSIG/BSI) und physischer Resilienzstrang (KRITIS-Dachgesetz/BBK) organisatorisch verzahnt, ohne sie inhaltlich zu vermengen?
- Wie wird die Gültigkeit der B3S-Eignungsfeststellung (bis August 2027) überwacht und der nächste Nachweistermin geplant?
Praktische Empfehlungen
- Trennen Sie gesetzliche Pflicht, B3S WA als Werkzeug und den eigentlichen Nachweis - und kommunizieren Sie diese Trennung intern.
- Prüfen Sie zuerst den Geltungsbereich und beziehen Sie die Prozessleittechnik aktiv ein, nicht nur die Büro-IT.
- Behandeln Sie ein ISO-27001-Zertifikat als Baustein, nicht als fertigen KRITIS-Nachweis, und klären Sie ergänzende Prüfaspekte früh.
- Schlüsseln Sie alte BSIG-Verweise (frühere Fassung) auf den geltenden Gesetzestext um und verifizieren Sie die Zuordnung.
- Verorten Sie die Cyberaufsicht im Sektor Wasser korrekt beim BSI und halten Sie den physischen Resilienzstrang nach KRITIS-Dachgesetz organisatorisch getrennt.
- Gleichen Sie Schwellenwerte, Fristen, Editions- und Eignungsangaben stets mit den aktuellen BSI-Quellen, der BSI-KritisV und den DVGW/DWA-Mitteilungen ab.
Relevante Normreferenzen
- DVGW W 1060 / DWA-M 1060 "IT-Sicherheit - Branchenspezifischer Sicherheitsstandard Wasser/Abwasser" (Edition 2023, Merkblattausgabe 09-2024) samt B3S-WA-Sicherheitskompendium (Web-Anwendung): Trägerregelwerk und Begleitanwendung, kostenpflichtig, nur als Referenz; keine Volltexte oder Maßnahmenlisten. Genaue Editions-/Versionsbezeichnung am Original prüfen.
- BSIG in der Fassung des NIS2UmsuCG (BGBl. 2025 I Nr. 301, in Kraft seit 6.12.2025): Anker für Risikomanagement, Maßnahmen nach Stand der Technik, Angriffserkennung und Nachweispflicht; Paragraphenzuordnung am aktuellen Text verifizieren.
- BSI-KritisV: Anlagenkategorien und Schwellenwerte im Sektor Wasser; Stand und Anpassung an das BSIG 2025 vor verbindlichen Aussagen prüfen.
- NIS2-Richtlinie (RL (EU) 2022/2555), Anhang I: listet Trinkwasser und Abwasser als Sektoren hoher Kritikalität.
- KRITIS-Dachgesetz: physischer Resilienzstrang (Aufsicht BBK/Länder), getrennt vom Cyberstrang; Stand zu prüfen.
- ISO/IEC 27001 und BSI IT-Grundschutz: methodische ISMS-Grundlagen, auf denen der B3S WA aufsetzen kann; ISO nur als Referenz, IT-Grundschutz frei referenzierbar.
Häufige Fragen
Ist der B3S WA Pflicht?+
Nein. Pflicht sind Risikomanagement, Maßnahmen nach Stand der Technik und der Nachweis gegenüber dem BSI. Der B3S WA ist eine freiwillige, vom BSI als geeignet festgestellte Hilfe, um diesen Nachweis branchengerecht zu führen.
Wer hat den B3S WA erstellt und wer stellt die Eignung fest?+
Erstellt haben ihn DVGW und DWA gemeinsam (Trägerregelwerk DVGW W 1060 / DWA-M 1060). Das BSI erstellt den Standard nicht, sondern stellt seine Eignung fest - für die Edition 2023 nach DVGW-Angaben Ende August 2024, gültig bis August 2027.
Welche Behörde ist im Sektor Wasser zuständig?+
Für die Cybersicherheitsaufsicht, Nachweise und Meldungen das BSI, nicht die Bundesnetzagentur. Der physische Resilienzstrang nach KRITIS-Dachgesetz liegt dagegen bei BBK und Ländern.
Reicht ein ISO-27001-Zertifikat als KRITIS-Nachweis im Wasserbereich?+
Nicht automatisch. Der Geltungsbereich muss die kritische Anlage samt OT vollständig erfassen; meist sind KRITIS-spezifische Prüfaspekte zu ergänzen.
Was passiert nach August 2027, wenn die Eignungsfeststellung ausläuft?+
Ein abgelaufener oder nicht verlängerter B3S entbindet nicht von der Nachweispflicht. Der Nachweis ist dann anderweitig zu führen, etwa über ISO/IEC 27001 mit ergänzender Prüfung.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Wasser / Abwasser prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: wat-001.
