IT-Sicherheit – digitaler Schutz im Gas- und Wasserfach

DVGW und DWA haben gemeinsam mit dem BSI eine Handlungsempfehlung für die Nutzung des B3S WA in Verbundunternehmen erarbeitet. Die Handlungsempfehlung legt dar, wie der B3S WA für die Anlagen der Wasserver- bzw. Abwasserentsorgung effektiv und wirtschaftlich genutzt und in ein bestehendes Informationssicherheitsmanagementsystem auf Grundlage der ISO/IEC 27001 integriert werden kann, so dass sowohl den Vorgaben aus dem Energiewirtschaftsgesetz (EnWG) als auch dem BSI-Gesetz nachgekommen wird.

Die Umsetzung der NIS-2-Richtlinie der Europäischen Union bringt einen zentralen Systemwechsel mit sich: Die bisherigen anlagenbezogenen Schwellenwerte werden durch einrichtungsbezogene Schwellenwerte ersetzt, die sich an der EU-Definition für kleine und mittlere Unternehmen orientieren. Künftig unterliegen damit grundsätzlich alle mittleren und großen Unternehmen in den betroffenen Sektoren Cybersicherheitspflichten, während lediglich Kleinst- und kleine Unternehmen gemäß EU-Empfehlung 2003/361/EG mit weniger als 50 Beschäftigten und höchstens 10 Millionen Euro Jahresumsatz oder Jahresbilanz ausgenommen sind. Durch diese Neuausrichtung wird der Kreis der regulierten Unternehmen erheblich ausgeweitet und Cybersicherheit stärker als bisher zu einem integralen Bestandteil der unternehmerischen Governance in Deutschland und Europa.

Auf dieser Grundlage ist am 5. Dezember 2025 das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2 Umsetzungsgesetz) mit seiner Veröffentlichung im Bundesgesetzblatt in Kraft getreten. Es überführt die europäischen Vorgaben in nationales Recht und führt umfassende Risiko-, Melde- und Nachweispflichten für besonders wichtige und wichtige Einrichtungen ein. Darüber hinaus verschärft es die Informationssicherheitsanforderungen in der Bundesverwaltung und etabliert neue Zertifizierungs- sowie IT-Sicherheitskennzeichenverfahren.

Für Betreiber von Energieversorgungsnetzen, Energieanlagen und digitalen Energiediensten sowie der Trinkwasserversorgungsunternehmen ergeben sich daraus deutlich strengere Anforderungen, insbesondere hinsichtlich der Einführung von Systemen zur Angriffserkennung und der Durchführung regelmäßiger Audits. Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 beziehungsweise 72 Stunden gemeldet werden. Zudem werden Geschäftsleitungen stärker in die Verantwortung genommen, haften bei Pflichtverletzungen und sind zu regelmäßigen Schulungen im Bereich Cybersicherheit verpflichtet.

Der Weg zum Gesetz war von einem intensiven Konsultationsprozess begleitet. Ende September 2023 veröffentlichte das Bundesministerium des Innern einen Diskussionsentwurf mit wirtschaftsbezogenen Regelungen zur Umsetzung der NIS 2 Richtlinie, der die Pflichten für wichtige und besonders wichtige Einrichtungen konkretisierte. Der DVGW e. V. nutzte die Möglichkeit zur Stellungnahme, begrüßte die Weiterentwicklung des Rechtsrahmens grundsätzlich, betonte jedoch die Notwendigkeit einer kohärenten Abstimmung mit dem KRITIS-Dachgesetz. Zudem sprach sich der Verein für einen ganzheitlichen All-Gefahren-Ansatz aus, der Risiken aus dem Cyber-, Informations- und physischen Raum gemeinsam betrachtet. Am 26. Oktober 2023 lud das BMI Branchenvertretungen zu einem Werkstattgespräch ein, um die geplanten Regelungen weiter zu diskutieren und praxisnah auszugestalten.

Die zugrunde liegende NIS-2-Richtlinie wurde bereits am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und trat am 16. Januar 2023 in Kraft. Sie verpflichtet die Mitgliedstaaten, innerhalb von 21 Monaten eine nationale Umsetzung vorzunehmen und bildet damit den Ausgangspunkt für die beschriebenen umfassenden Änderungen im Bereich der Cybersicherheitsregulierung.

Das am 29. Januar 2026 vom Deutschen Bundestag verabschiedete Gesetz zur Stärkung Kritischer Anlagen (KRITIS-Dachgesetz) vervollständigt die NIS-2-Richtlinie zur Netzwerk- und Informationssicherheit und setzt diese damit in nationales Recht um.

Am 20. Januar 2026 hat die Europäische Kommission ein neues Maßnahmenpaket zur Stärkung der europäischen Cybersicherheit vorgelegt. Ziel ist es, die bestehenden Vorgaben weiter zu harmonisieren und Unternehmen die Einhaltung zu erleichtern. Vorgesehen sind unter anderem ein neues europäisches Cybersicherheitsgesetz mit unmittelbarer Geltung nach Zustimmung von Parlament und Rat, ein einheitlicher Rahmen für sichere IKT-Lieferketten und Zertifizierungen sowie Klarstellungen zur NIS-2-Richtlinie, etwa hinsichtlich Zuständigkeiten, Datenerhebung und der Aufsicht durch ENISA. Nach der Verabschiedung sollen die Mitgliedstaaten ein Jahr Zeit für die nationale Umsetzung erhalten. Nach der Verabschiedung bleibt den Mitgliedstaaten ein Jahr für die nationale Umsetzung. Insgesamt soll das Paket die Meldewege harmonisieren und die europäische Cybersicherheitsstruktur widerstandsfähiger machen.

Vor dem Hintergrund einer sich weiter zuspitzenden und zunehmend komplexen Cyberbedrohungslage hat die Bundesregierung mit dem IT Sicherheitsgesetz 2.0 (IT-SiG 2.0) den Schutz der informationstechnischen Systeme Kritischer Infrastrukturen deutlich verschärft. Das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das am 27. Mai 2021 verkündet wurde, erweitert den bestehenden Regulierungsrahmen erheblich und stärkt insbesondere die Rolle des Bundesamtes für Sicherheit in der Informationstechnik als zentrale Cybersicherheitsbehörde. Ziel ist es, die Widerstandsfähigkeit Kritischer Infrastrukturen zu erhöhen und zugleich sichere Rahmenbedingungen für die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft zu schaffen.

Ein zentraler Umsetzungsmeilenstein des IT SiG 2.0 besteht darin, dass für KRITIS Betreiber seit dem 1. Mai 2023 die Verpflichtung zur Einführung von Systemen zur Angriffserkennung gilt. Diese Systeme müssen als Bestandteil der technischen und organisatorischen Maßnahmen kontinuierlich Bedrohungen im laufenden Betrieb erkennen. Zusätzlich sind die Betreiber verpflichtet, alle zwei Jahre den Nachweis über die Erfüllung der Sicherheitsanforderungen zu erbringen. Das BSI sammelt diese Nachweise und leitet sie an die jeweils zuständigen Aufsichtsbehörden, insbesondere die Bundesnetzagentur, weiter. Damit wird der Fokus der Regulierung deutlich von rein formalen Sicherheitsmaßnahmen hin zu einer fortlaufenden operativen Überwachung verlagert.

Parallel dazu führt das IT SiG 2.0 neue Regelungen zum Umgang mit sogenannten kritischen Komponenten ein. Der Einsatz solcher Komponenten muss vom KRITIS Betreiber vorab beim Bundesministerium des Innern angezeigt werden und darf erst nach Abschluss einer Sicherheitsprüfung erfolgen, für die eine Frist von bis zu vier Monaten vorgesehen ist. Bislang wurden kritische Komponenten verbindlich nur für den Telekommunikationssektor definiert. Ob und in welchem Umfang weitere Sektoren folgen, bleibt offen; für den Wassersektor hat das BMI erklärt, kurz  und mittelfristig keine entsprechenden Festlegungen vorzunehmen. Diese Regelungen markieren einen wichtigen Schritt hin zu einer stärkeren staatlichen Kontrolle sicherheitsrelevanter Lieferketten.

Darüber hinaus erweitert das IT SiG 2.0 die Aufgaben und Befugnisse des BSI erheblich. Die Behörde erhält zusätzliche Kompetenzen zur Erkennung von Sicherheitslücken und zur Abwehr von Cyberangriffen, einschließlich der Möglichkeit, bei KRITIS Betreibern aktiv technische Untersuchungen wie Port Scans durchzuführen. Zugleich wird der Anwendungsbereich der Regulierung ausgeweitet, indem mit der Siedlungsabfallentsorgung ein weiterer Sektor ausdrücklich als Kritische Infrastruktur aufgenommen wird. Zusätzlich unterliegen nun auch sogenannte Unternehmen im besonderen öffentlichen Interesse, etwa Rüstungshersteller, Produzenten von Gefahrstoffen oder Unternehmen mit herausragender volkswirtschaftlicher Bedeutung, spezifischen IT Sicherheitsanforderungen.

Die Grundlage für diese Weiterentwicklung bildet das erste IT Sicherheitsgesetz, das am 25. Juli 2015 in Kraft trat. Mit diesem Gesetz schuf die Bundesregierung erstmals einen verbindlichen Rechtsrahmen für den Schutz der IT Infrastrukturen von KRITIS Betreibern in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz  und Versicherungswesen. Eingeführt wurden insbesondere Pflichten zur Umsetzung angemessener Sicherheitsmaßnahmen nach dem Stand der Technik sowie Meldepflichten bei erheblichen IT Sicherheitsvorfällen.
 

Im August 2015 hat die Bundesnetzagentur auf ihrer Homepage (gemäß § 11 Abs. 1a S. 2 EnWG) im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Katalog von Sicherheitsanforderungen veröffentlicht. Dieser dient dem Schutz von Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Die Ziele des IT-Sicherheitskatalogs sind:

• die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten
• die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme
• die Gewährleistung der Vertraulichkeit der verarbeiteten Informationen.

Der IT-Sicherheitskatalog verpflichtet alle Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) sowie dessen Zertifizierung. 

Im Dezember 2018 wurde der IT-Sicherheitskatalog für Betreiber von Energieanlagen (§ 11 Abs. 1b S. 2 EnWG) veröffentlicht, die nach der BSI-KritisV als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind. Der Sicherheitskatalog verlangt die Einführung eines Informationssicherheits-Managementsystems (gemäß DIN ISO/IEC 27001 und unter Berücksichtigung der DIN EN ISO/IEC-Normen 27002 und 27019) sowie einer schematisierten Zertifizierung. Zudem muss ein Ansprechpartner für die IT-Sicherheit benannt werden.

Die Unterstützung durch Informations- und Kommunikationstechnik (IKT) mit der wachsenden Abhängigkeit von Selbiger geht mit Chancen und Risiken einher. Um die Vorteile moderner IKT sicher nutzen zu können, wird ein angemessener Schutz gegen Bedrohungen auch im Bereich des Netzbetriebs der Strom- und Gasversorgung auf unterschiedlichen Netzebenen bzw. Druckstufen angestrebt.

Die DVGW-Information Gas Nr. 22 nimmt eine grundlegende Einordnung der bestehenden Normen und Regelwerke vor,  die für den (informationstechnisch) sicheren Netzbetrieb notwendig sind. Darauf aufbauend wurde eine Analyse und ein Ausblick auf den weiteren Handlungsbedarf für die Ausgestaltung einer sicheren Informationstechnik (IT) im Netzbetrieb erarbeitet.