NEU: Bitte auf den Obermenüpunkt klicken!
It-Sicherheit in der Gas- und Wasserwirtschaft

IT-Sicherheit – digitaler Schutz im Gas- und Wasserfach

Längst ist ein Großteil der Arbeitsprozesse im Gas- und Wasserfach digitalisiert. Die fortschreitende Digitalisierung der Branche und größer werdende Datenmengen machen die Kooperationen und Standardisierungen auf dem Gebiet der IT-Sicherheit unverzichtbar.

It-Sicherheit in der Gas- und Wasserwirtschaft; © iStock.com/matejmo

Mehr Sicherheit

IT-Systeme im Gas- und Wasserfach

Mit der Menge an Daten und komplexer werdender Aufgaben wachsen auch die Anforderungen an die Sicherheit in der Informationstechnologie des Gas- und Wasserfaches. Die Gas- und Wasserversorger in Deutschland schützen bereits – wenn auch im abgestuften Umfang – ihre informationstechnischen Prozesse und Anwendungen. Der Gesetzgeber sah sich zum Handeln veranlasst und hat eine Reihe gesetzlicher Verpflichtungen verabschiedet. Sie zielen auf den digitalen Schutz sensibler Bereiche der Infrastruktur und wichtiger Wirtschaftszweige ab. Dazu gehört die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung, BSI-KritisV), die am 3. Mai 2016 in Kraft getreten ist und den betroffenen Unternehmen zwei Jahre Zeit gibt, um Maßnahmen zum Schutz der IT-Infrastruktur zu treffen. Des Weiteren zählen das IT-Sicherheitsgesetz, die INSPIRE-Richtlinie und der IT-Sicherheitskatalog der Bundesnetzagentur dazu. Alle haben einheitliche Kriterien und Standards für IT-Systeme wichtiger Industrien in Deutschland zum Gegenstand. Der DVGW hilft den Betrieben des Gas- und Wasserfaches sich digital für die Zukunft zu wappnen und ihre Informationstechnologien effektiv zu schützen und engagiert sich in der staatlich-privaten Kooperation UP KRITIS und verschiedenen branchenübergreifenden Initiativen für einheitliche Standards in der Informationssicherheit. Im Folgenden finden Sie Informationen zum gesetzlichen und regulatorischen Rahmen.
Mit der Menge an Daten und komplexer werdender Aufgaben wachsen auch die Anforderungen an die Sicherheit in der Informationstechnologie des Gas- und Wasserfaches. Die Gas- und Wasserversorger in Deutschland schützen bereits – wenn auch im abgestuften Umfang – ihre informationstechnischen Prozesse und Anwendungen. Der Gesetzgeber sah sich zum Handeln veranlasst und hat eine Reihe gesetzlicher Verpflichtungen verabschiedet. Sie zielen auf den digitalen Schutz sensibler Bereiche der Infrastruktur und wichtiger Wirtschaftszweige ab. Dazu gehört die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung, BSI-KritisV), die am 3. Mai 2016 in Kraft getreten ist und den betroffenen Unternehmen zwei Jahre Zeit gibt, um Maßnahmen zum Schutz der IT-Infrastruktur zu treffen. Des Weiteren zählen das IT-Sicherheitsgesetz, die INSPIRE-Richtlinie und der IT-Sicherheitskatalog der Bundesnetzagentur dazu. Alle haben einheitliche Kriterien und Standards für IT-Systeme wichtiger Industrien in Deutschland zum Gegenstand. Der DVGW hilft den Betrieben des Gas- und Wasserfaches sich digital für die Zukunft zu wappnen und ihre Informationstechnologien effektiv zu schützen und engagiert sich in der staatlich-privaten Kooperation UP KRITIS und verschiedenen branchenübergreifenden Initiativen für einheitliche Standards in der Informationssicherheit. Im Folgenden finden Sie Informationen zum gesetzlichen und regulatorischen Rahmen.
IT-Sicherheit – Branchenstandard Wasser/Abwasser

Stellen Sie den Schutz Ihrer IT-Systeme sicher!

Vor dem Hintergrund verstärkter Cyberangriffe hat IT-Sicherheit für die Betreiber kritischer Infrastrukturen eine hohe Brisanz. Wir alle benötigen frisches Trinkwasser sowie Abwasserentsorgung und -aufbereitung. Stellen Sie sicher, dass die informationstechnischen Systeme, Komponenten und Prozesse Ihrer Wasserversorgungs- und Abwasserentsorgungsanlagen vor Ausfall und Manipulation geschützt sind.

Der Gesetzgeber schreibt vor, dass Versorgungsunternehmen die die Schwellenwerte der BSI-Kritisverordnung (BSI-KritisV) erreichen oder überschreiten erstmals am 3. Mai 2018 nachweisen müssen, dass ihre IT-Infrastruktur, entsprechend den gesetzlichen Vorgaben im BSI-Gesetz, geschützt ist.

DVGW-Merkblatt W 1060 mit Web-Applikation "IT-Sicherheitsleitfaden" für den Schutz von IT-Systemen im Wasser- und Abwasser-Sektor
DVGW-Merkblatt W 1060 mit Web-Applikation "IT-Sicherheitsleitfaden" für den Schutz von IT-Systemen im Wasser- und Abwasser-Sektor © Istock.com/AlexBrylov

Unter die BSI-KritisV fallen derzeit Unternehmen, deren jährliches Wasseraufkommen bei mindestens 22 Millionen m³/Jahr liegt (bezogen auf die Anlagenkategorien Wasserwerk, Gewinnungsanlage, Aufbereitungsanlage, Wasserverteilungsnetz und Leitzentrale).

Darüber hinaus empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) aber auch Wasserversorgungsunternehmen, die nicht unter die BSI-KritisV fallen, sich dringend mit dem Thema IT-Sicherheit auseinander zu setzen und geeignete Maßnahmen zum Schutz ihrer IT-Infrastruktur zu ergreifen.

DVGW und DWA haben daher den branchenspezifischen IT-Sicherheitsstandard Wasser/Abwasser entwickelt, der sowohl den von der BSI-KritisV betroffenen Unternehmen wie auch kleinen und mittleren Wasserver- und Abwasserentsorgungsunternehmen ein Instrument an die Hand gibt, um ein Schutzniveau zu implementieren, dass dem Stand der Technik entspricht. Das BSI hat die Eignung des IT-Sicherheitsstandards für den Sektor Wasser gemäß § 8a (2) BSI-Gesetz festgestellt.

DVGW-Merkblatt W 1060 & Web-Applikation "IT-Sicherheitsleitfaden"

Optimale Hilfestellung mit dem Branchenstandard "IT-Sicherheit Wasser/Abwasser" für Ihr Unternehmen

Der Branchenstandard "IT-Sicherheit Wasser/Abwasser", bestehend aus dem DVGW-Merkblatt W 1060 und der Web-Applikation "IT-Sicherheitsleitfaden", dient zur branchenspezifischen Identifikation notwendiger Schutzmaßnahmen gegen Bedrohungen der informationstechnischen Systeme, Komponenten oder Prozesse der Anlagen.

Durch die Berücksichtigung des Merkblatts zusammen mit dem "IT-Sicherheitsleitfaden" kann das Risiko einer Beeinträchtigung der Daseinsvorsorge aufgrund einer abstrakten, d. h. einer nach den vorliegenden Erkenntnissen möglichen Gefahr, reduziert werden. Im Falle einer konkreten, d. h. einer in einem einzelnen Fall bestehenden Gefahr, können die ergriffenen Schutzmaßnahmen auf ihre Wirksamkeit hin eingeordnet werden.

Infos zum Erwerb – Branchenstandard "IT-Sicherheit Wasser/Abwasser"

Das DVGW-Merkblatt W 1060 dient zusammen mit dem IT-Sicherheitsleitfaden als branchenspezifischer Sicherheitsstandard zur Identifikation notwendiger Schutzmaßnahmen gegen Bedrohungen der informationstechnischen Systeme, Komponenten oder Prozesse der Anlag

Mit dem "IT-Sicherheitsleitfaden" erstellen Sie einen Katalog von Schutzmaßnahmen, die auf Ihre Unternehmenssituation zugeschnitten sind. Durch die Umsetzung dieser Schutzmaßnahmen erfüllen Sie die Anforderungen des Gesetzgebers gemäß § 8a (1) BSI-Gesetz

Gesetze und Initiativen zur IT-Sicherheit
DVGW-Information Gas Nr. 22

Die Unterstützung durch Informations- und Kommunikationstechnik (IKT) mit der wachsenden Abhängigkeit von Selbiger geht mit Chancen und Risiken einher. Um die Vorteile moderner IKT sicher nutzen zu können, wird ein angemessener Schutz gegen Bedrohungen auch im Bereich des Netzbetriebs der Strom- und Gasversorgung auf unterschiedlichen Netzebenen bzw. Druckstufen angestrebt.

Die DVGW-Information Gas Nr. 22 nimmt eine grundlegende Einordnung der bestehenden Normen und Regelwerke vor,  die für den (informationstechnisch) sicheren Netzbetrieb notwendig sind. Darauf aufbauend wurde eine Analyse und ein Ausblick auf den weiteren Handlungsbedarf für die Ausgestaltung einer sicheren Informationstechnik (IT) im Netzbetrieb erarbeitet.

Stellungnahme des DVGW zum NIS-RL-Umsetzungsgesetz

Der Referentenentwurf des Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-RL-Umsetzungsgesetz) wurde am 9. Dezember 2016 mit der Frist um Stellungnahme bis zum 16. Dezember 2016 veröffentlicht.

Die Richtlinie (EU) 2016/1148 (NIS-RL) ist im August 2016 in Kraft getreten und bis zum 9. Mai 2018 in nationales Recht umzusetzen. Aufgrund der bereits erfolgten Maßnahmen besteht in Deutschland nur geringer Umsetzungsbedarf. Insbesondere sollen der kooperative Ansatz des bereits im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetzes beibehalten und nur durch die NIS-Richtlinie erforderliche Anpassungen vorgenommen werden.

Aus Sicht der Gas- und Wasserversorgung sind lediglich die Änderungen des BSI-Gesetzes (BSIG) für eine fachliche Kommentierung relevant. Hervorzuheben sind die erweiterten Regelungen zum Nachweis des Branchenstandards nach § 8a Abs. 4 BSIG sowie die Meldeschwelle nach § 8b Abs. 4 BSIG. Weitere Hinweise finden Sie in der DVGW-Stellungnahme. 

BSI-Kritisverordnung in Kraft getreten - IT-Sicherheit Kritischer Infrastrukturen

Am 3. Mai 2016 ist die von der Bundesregierung verabschiedete Vorlage zur Bestimmung Kritischer Infrastruktur nach dem BSI-Gesetz (BSI-Kritisverordnung, BSI-KritisV) in Kraft getreten. Im Folgenden finden Sie die für das Gas- und Wasserfach wichtigsten Punkte:  

  • Festlegung der Begriffsbestimmungen für Anlagen, Betreiber, kritische Dienstleistungen und Versorgungsgrad.
  • Angabe der Schwellenwerte für Betreiber von Kritischer Infrastruktur wie den Wasserver- und die Abwasserentsorgungsanlagen oder den Gasversorgungsanlagen, die definieren, welche Anlagen unter das BSI-Gesetz fallen.
  • Bislang sind von den Regelungen Betreiber Kritischer Infrastrukturen aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Ernährung betroffen.
  • Für die Wasserversorgungs- und Abwasserentsorgungsanlagen legen die Schwellenwerte fest, welche Anlagen die Anforderungen an die Sicherheit der IT-Infrastruktur gemäß BSI-Gesetz (BSIG) bis zum 3. Mai 2018 erfüllt müssen und bis zum 2. November 2016 dem BSI eine Kontaktstelle benannt haben mussten.
  • Für die Gasversorgungsanlagen bestimmen die Schwellenwerte in der BSI-KritisV ausschließlich welche Anlagen, den Meldeverpflichtungen aus dem BSIG nachkommen müssen, da die Anforderungen des IT-Sicherheitsniveaus und deren Nachweis in den IT-Sicherheitskatalogen der BNetzA festgelegt werden.
  • Die BSI-KritisV soll in vier Jahren evaluiert werden.

 

Bei der Festlegung der Schwellenwerte der BSI-KritisV wurden die Branchenarbeitskreise (BAK's) und Themenarbeitskreise (TAKS's) der Kooperation UP KRITIS miteinbezogen. Der DVGW engagiert sich im BAK Wasser/Abwasser, BAK Gas, TAK Regulierung sowie TAK Audits & Standards.

BSI-Kritisverordnung: Downloads
Hier finden Sie die DVGW-Stellungnahme und Hinweise des DVGW zu der BSI-Kritisverordnung.
IT-Sicherheitsgesetz - Bundesregierung treibt den Schutz von IT-Systemen wichtiger Infrastrukturen voran

Am 25. Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSiG) in Kraft getreten. Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit einen Mindeststandard an IT-Sicherheit einhalten. Weitere Bestandteile des Gesetzes umfassen folgende Punkte:

  • Erhebliche IT-Sicherheitsvorfälle müssen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.
  • Zur Steigerung der IT-Sicherheit werden die Anforderungen an die Anbieter von Telekommunikations- und Telemediensten erhöht.
  • Kompetenzen des BSI und der Bundesnetzagentur (für den Bereich Energie) sowie die Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich der Computerdelikte werden ausgebaut.

Der DVGW arbeitet bereits seit 2014 im Branchenarbeitskreis (BAK) Wasser/Abwasser und im Branchenarbeitskreis Gas innerhalb des UP KRITIS mit und begleitet die untergesetzlichen Umsetzungsmaßnahmen. 

IT-Sicherheitskatalog der Bundesnetzagentur

Standards für Netzbetreiber in der IT-Sicherheit

Am 12. August 2015 hat die Bundesnetzagentur auf ihrer Homepage (gemäß § 11 Absatz 1a EnWG) im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Katalog von Sicherheitsanforderungen veröffentlicht. Dieser dient dem Schutz von Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Die Ziele des IT-Sicherheitskatalogs sind:

  • die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten.
  • die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme.
  • die Gewährleistung der Vertraulichkeit der verarbeiteten Informationen.

Der IT-Sicherheitskatalog verpflichtet alle Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) sowie dessen Zertifizierung bis zum 31. Januar 2018. 

Mit der Veröffentlichung eines separaten IT-Sicherheitskataloges für Betreiber von Energieanlagen gemäß § 11 Abs. 1b EnWG ist im Sommer 2017 zu rechnen.

Die Betreiber kritischer Infrastrukturen haben ab dem Inkrafttreten der BSI-Kritisverordnung zwei Jahre Zeit, um die im BSI-Gesetz enthaltenen Anforderungen an die Sicherheit der IT-Infrastruktur umzusetzen. Damit wird der 3. Mai 2018 für die betroffenen Wasserversorgungsunternehmen zu einem wichtigen Stichtag.

Um die Mitgliedsunternehmen bei der Bewältigung dieser Herausforderung zu unterstützen, hat der DVGW in Zusammenarbeit mit der Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall e. V. (DWA) den Branchenstandard IT-Sicherheit Wasser/Abwasser entwickelt, durch dessen Implementierung die Unternehmen ihre IT-Infrastruktur im Sinne des § 8a (1) BSI-Gesetz schützen können.

Die Übergabe der Eignungsfeststellung des Bundesamts für Sicherheit in der Informationstechnik an die Vertreter von DVGW und DWA erfolgte am 31.7.2017.

Mehr Informationen finden Sie in den Fachartikeln.

UP Kritis: öffentlich-private Kooperation zum Schutz Kritischer Infrastrukturen
  • Übersicht zu den Sektoren Kritischer Infrastrukturen
  • Informationen über die Entstehung und Aufgabenstellung der UP-Kritis
  • Übersicht zur Zielsetzung der UP-Kritis
  • Übersicht zu den Branchenarbeitskreisen
Zur Website
Ihre Ansprechpartner zum Thema IT-Sicherheit
Sie haben Fragen zum Thema IT-Sicherheit im Gas- und Wasserfach? Sie möchten gerne mehr über die Mindeststandards und die BSI-Kritis-Verordnung erfahren? Dann schreiben Sie uns eine E-Mail oder rufen Sie uns an. Unsere Experten sind für Sie da.
Frank Dietzsch
Hauptgeschäftsstelle / Gastechnologien und Energiesysteme

Telefon+49 228 91 88-914
Kirsten Wagner
Hauptgeschäftsstelle / Wasserversorgung

Telefon+49 228 91 88-868