Bitte auf den Obermenüpunkt klicken!
It-Sicherheit in der Gas- und Wasserwirtschaft

IT-Sicherheit – digitaler Schutz im Gas- und Wasserfach

Längst ist ein Großteil der Arbeitsprozesse im Gas- und Wasserfach digitalisiert. Die fortschreitende Digitalisierung der Branche und größer werdende Datenmengen machen die Kooperationen und Standardisierungen auf dem Gebiet der IT-Sicherheit unverzichtbar.

It-Sicherheit in der Gas- und Wasserwirtschaft; © iStock.com/matejmo

Mehr Sicherheit in der Gas- und Wasserversorgung

Informationssicherheit im Gas- und Wasserfach

Mit der zunehmenden digitalen Durchdringung unseres Lebensraumes und den komplexer werdenden Aufgaben wachsen auch die Anforderungen an die Sicherheit der IT-Infrastruktureinrichtungen des Gas- und Wasserfaches. Die Gas- und Wasserversorger in Deutschland schützen bereits – wenn auch im abgestuften Umfang – ihre informationstechnischen Prozesse und Anwendungen. Der Gesetzgeber sah sich zum Handeln veranlasst und hat eine Reihe gesetzlicher Verpflichtungen verabschiedet. Sie zielen auf den Schutz der sogenannten Kritischen Infrastrukturen und wichtiger Wirtschaftszweige ab. Dazu gehört für die Wasserversorgung das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) und die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-Kritisverordnung, BSI-KritisV). Für die Gasversorgung wurden die gesetzlichen Anforderung im Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz - EnWG) und den IT-Sicherheitskatalogen der BNetzA für die Energieanlagen und Netzbetreiber festgelegt. Bei den neuen gesetzlichen Regelungen geht es um einheitliche Kriterien und Standards für IT-Systeme der Kritischen Infrastrukturen und wichtiger Industrien in Deutschland. Der DVGW hilft den Betrieben des Gas- und Wasserfaches, sich für die Zukunft zu wappnen und ihre IT-Infrastruktur effektiv zu schützen. Der DVGW engagiert sich in den Branchen- und Themenarbeitskreisen der staatlich-privaten Kooperation UP KRITIS und verschiedenen branchenübergreifenden Initiativen für einheitliche Standards in der Informationssicherheit. Im Folgenden finden Sie Informationen zum gesetzlichen und regulatorischen Rahmen.
Mit der zunehmenden digitalen Durchdringung unseres Lebensraumes und den komplexer werdenden Aufgaben wachsen auch die Anforderungen an die Sicherheit der IT-Infrastruktureinrichtungen des Gas- und Wasserfaches. Die Gas- und Wasserversorger in Deutschland schützen bereits – wenn auch im abgestuften Umfang – ihre informationstechnischen Prozesse und Anwendungen. Der Gesetzgeber sah sich zum Handeln veranlasst und hat eine Reihe gesetzlicher Verpflichtungen verabschiedet. Sie zielen auf den Schutz der sogenannten Kritischen Infrastrukturen und wichtiger Wirtschaftszweige ab. Dazu gehört für die Wasserversorgung das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) und die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-Kritisverordnung, BSI-KritisV). Für die Gasversorgung wurden die gesetzlichen Anforderung im Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz - EnWG) und den IT-Sicherheitskatalogen der BNetzA für die Energieanlagen und Netzbetreiber festgelegt. Bei den neuen gesetzlichen Regelungen geht es um einheitliche Kriterien und Standards für IT-Systeme der Kritischen Infrastrukturen und wichtiger Industrien in Deutschland. Der DVGW hilft den Betrieben des Gas- und Wasserfaches, sich für die Zukunft zu wappnen und ihre IT-Infrastruktur effektiv zu schützen. Der DVGW engagiert sich in den Branchen- und Themenarbeitskreisen der staatlich-privaten Kooperation UP KRITIS und verschiedenen branchenübergreifenden Initiativen für einheitliche Standards in der Informationssicherheit. Im Folgenden finden Sie Informationen zum gesetzlichen und regulatorischen Rahmen.

DVGW Online-Schulungen zum IT-SiG 2.0 in Kooperation mit Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ist seit Mai 2021 in Kraft. Unsere Online-Schulungen zum IT-SiG 2.0 vermitteln Gasversorgungsunternehmen notwendiges Hintergrundwissen zur Erfüllung der Mindestanforderungen im Hinblick auf ein belastbares IT-Sicherheitskonzept ihrer Infrastruktur.

In Kooperation mit dem BSI bieten wir Ihnen eine dreiteilige Online-Schulungsreihe an. Die Veranstaltungen bauen inhaltlich aufeinander auf, können aber auch einzeln gebucht werden.

Thema 1: Cyber-Sicherheit in der Energiewirtschaft: Neuerungen zum IT-SiG für Betreiber der Gasbranche
Thema 2: Angriffserkennungssysteme sowie neue Handlungshilfe des BSI 

Die Veranstaltung Nr. 3 ist derzeit noch in fachlicher Abstimmung mit dem BSI und wird noch auf dieser Seite veröffentlicht werden.

Nutzen Sie bitte den Link zur Veranstaltung, um sich über Inhalte und Termin der Veranstaltung zu informieren. 

Thema 1: Cyber-Sicherheit in der Energiewirtschaft (Online) Neuerungen zum IT-SiG für Betreiber der Gasbranche
Thema 2: Cyber-Sicherheit in der Energiewirtschaft - Neuerungen zum IT-SiG für Betreiber der Gasbranche: Angriffserkennungssysteme sowie neue Handlungshilfe des BSI

Aktuelles zur IT-Sicherheit

DVGW-Regelwerk zur IT-Sicherheit

Der Branchenstandard IT-Sicherheit Wasser/Abwasser (B3S WA)

Wasserversorgungsunternehmen, die die in der BSI-KritisV enthaltenen anlagenbezogenen Schwellenwerte überschreiten, müssen alle 2 Jahre nachweisen, dass die im BSI-Gesetz enthaltenen gesetzlichen Anforderungen an die Sicherheit der IT-Infrastrukturen in ihrem Unternehmen implementiert wurden (§ 8a Abs. 1 und 1a BSI-Gesetz). Erstmalig musste dieser Nachweis am 3. Mai 2018 dem Bundesamt für Sicherheit in der Informationstechnik (BSI) von den betroffenen Wasserversorgungsunternehmen vorgelegt werden. 

Um die Mitgliedsunternehmen bei der Bewältigung dieser Herausforderung zu unterstützen, hat der DVGW in Zusammenarbeit mit der Deutschen Vereinigung für Wasserwirtschaft, Abwasser und Abfall e. V. (DWA) den Branchenstandard IT-Sicherheit Wasser/Abwasser (B3S WA) gemäß den Vorgaben im BSI-Gesetz entwickelt. Die Eignungsfeststellung durch das BSI für die erste Version des B3S WA wurde am 31. Juli 2017 erteilt.

Nachdem die Eignungsfeststellung in der Vergangenheit für zwei Jahre vergeben wurde, hat das BSI im Januar 2024 entschieden, die Gültigkeit einer Eignungsfeststellung auf drei Jahre zu erhöhen. Für die Version 2021 3.0 wurde auf Antrag die Gültigkeit der Eignungsfeststellung durch das BSI um ein Jahr bis zum 22. Januar 2025 verlängert. Damit hat das BSI bestätigt, dass die Version 2021 3.0 weiterhin den Anforderungen an den „Stand der Technik“ in Bezug auf die branchenspezifische Gefährdungslage und die Risikobetrachtung entspricht.

Die Version 2021 3.0 des B3S WA kann damit weiterhin als Prüfgrundlage für die Nachweisführung nach § 8a BSIG verwendet werden. Die aktuelle Version enthält auch die technischen und organisatorischen Vorkehrungen zur Angriffserkennung, die die Betreiber kritischer Infrastrukturen seit dem 1. Mai 2023 implementieren müssen, um die gesetzlichen Anforderungen zu erfüllen.  

Der B3S WA besteht aus dem DVGW W 1060 und dem IT-Sicherheitsleitfaden (Webapplikation). Die aktuelle Version des Merkblattes DVGW W 1060 und das dritte Update des IT-Sicherheitsleitfaden wurden im März 2022 veröffentlicht.

IT-Sicherheit – Branchenstandard Wasser/Abwasser

In unseren Hintergrundinformationen erfahren Sie u.a. in zwei Fachartikeln, was sich in der Version 2021 geändert hat und wie kleine Unternehmen den Branchenstandard implementieren können. 

Nutzung des branchenspezifischen Sicherheitsstandards Wasser/Abwasser (B3S WA) bei Verbundunternehmen

DVGW und DWA haben gemeinsam mit dem BSI eine Handlungsempfehlung für die Nutzung des B3S WA in Verbundunternehmen erarbeitet. Die Handlungsempfehlung legt dar, wie der B3S WA für die Anlagen der Wasserver- bzw. Abwasserentsorgung effektiv und wirtschaftlich genutzt und in ein bestehendes Informationssicherheitsmanagementsystem auf Grundlage der ISO/IEC 27001 integriert werden kann, so dass sowohl den Vorgaben aus dem Energiewirtschaftsgesetz (EnWG) als auch dem BSI-Gesetz nachgekommen wird.

Gesetze und Initiativen zur IT-Sicherheit

Das BMI hat Ende September 2023 einen Diskussionsentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) veröffentlicht, mit dem die gesetzlichen Vorgaben für die Kritischen Infrastrukturen in nationales Recht umgesetzt werden sollen. Das Diskussionspapier enthält wirtschaftsbezogene Vorschriften zur Umsetzung der NIS-2-Richtlinie in Deutschland mit Regelungsentwürfen für die sogenannten wichtigen Einrichtungen und besonders wichtigen Einrichtungen. Der DVGW hat von der Möglichkeit Gebrauch gemacht, eine Stellungnahme zum Diskussionspapier beim BMI einzureichen. Am 26. Oktober 2023 hat das BMI die Branchenvertreter eingeladen, die gesetzlichen Vorgaben im Rahmen eines Werkstattgesprächs zu diskutieren. 

Diskussionspapier der wirtschaftsbezogenen Regelung zur Umsetzung der NIS-2-Richtlinie
Der DVGW e. V. begrüßt die Möglichkeit der Stellungnahme zum Diskussionspapier der wirtschaftsbezogenen Regelung zur Umsetzung der NIS-2-Richtlinie vom 27. September 2023.

Vor dem Hintergrund der zunehmenden und immer komplexer werdenden Cyberangriffen ist es dringend notwendig, den rechtlichen Rahmen der IT-Sicherheit für den Schutz der Kritischen Infrastrukturen weiter auszugestalten. Dabei ist es wichtig, dass die neu gefassten Regelungen und Definitionen in Übereinstimmung, mit denen im KRITIS-Dachgesetz formuliert werden, da nur durch einen umfassenden „All-Gefahren-Ansatz“, der die Risiken aus dem Cyberraum, dem Informationsraum und dem physischen Raum ganzheitlich berücksichtigt, die Resilienz der Kritischen Infrastrukturen in Deutschland erhöht werden kann. Der DVGW fasst [in dieser Stellungnahme] seine [zusätzlichen] Kernforderungen [...] zusammen.
Die NIS-2-Richtlinie

Die NIS-2-Richtlinie wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und ist am 16. Januar 2023 in Kraft getreten. Die Mitgliedstaaten haben 21 Monaten Zeit, die Richtlinie nach ihrem Inkrafttreten in nationales Recht umzusetzen. Die Umsetzung in deutsches Recht wird mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG) erfolgen, das zurzeit vom BMI vorbereitet wird.

Mit der Umsetzung der NIS-2-Richtlinie werden sich u.a. die Schwellenwerte für die Sektoren verändern, die auch für die Wasserversorgung festlegen, welche Unternehmen zukünftig gesetzlich verpflichtet sind, Schutzmaßnahmen für die IT-Infrastruktur zu implementieren. Im Unterschied zu den heutigen anlagenbezogenen Schwellenwerten in der BSI-KritisVO beziehen sich die neuen europäischen Schwellenwerten auf die ganze Einrichtung. Die europäischen Schwellenwerte orientieren sich dabei an der Empfehlung der EU-Kommission betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (2003/361/EG). Die NIS-2-Richtlinie legt fest, dass zukünftig alle mittleren und großen Unternehmen gemäß der EU-Empfehlung für KMU Cybersicherheitspflichten auferlegt werden. Nur Kleinst- und kleine Unternehmen im Sinne der KMU-Definition mit weniger als 50 Beschäftigte und nicht mehr als 10 Mio. Euro Jahresumsatz bzw. Jahresbilanz werden aus dem Geltungsbereich ausgenommen. Damit werden zukünftig deutlich mehr Unternehmen reguliert als bisher.

Vor dem Hintergrund einer zunehmend komplexer werdenden Sicherheitslage erhöht die Bundesregierung die Anforderungen an den Schutz der IT-Infrastrukturen der KRITIS-Betreiber.

Nachdem die Bundesregierung mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG), das am 25. Juli 2015 in Kraft trat, erste Anforderungen (u.a. für Mindeststandards und Meldepflichten) für KRITIS-Betreiber aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen erlassen hatte, wurde am 27. Mai 2021 das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0) veröffentlicht, mit dem die Regulierung für die KRITIS-Betreiber deutlich erweitert werden. Die Bundesregierung reagiert damit auf die zunehmende Bedrohungslage durch immer komplexere Hackerangriffe und will außerdem die Weichen stellen für sichere Rahmenbedingungen bei der voranschreitenden Digitalisierung der Gesellschaft. Im Folgenden finden Sie die wesentlichen im IT-SiG 2.0 enthaltenen Änderungen:

  • Systeme zur Angriffserkennung: Ab dem 1. Mai 2023 wird von den KRITIS-Betreibern verlangt, dass sie Systeme zur Angriffserkennung als Teil der zu treffenden technischen und organisatorischen Sicherheitsvorkehrungen installiert haben, die kontinuierlich Bedrohungen im laufenden Betrieb erkennen (§ 8a Abs. 1a BSI-Gesetz).
  • Meldepflicht für „kritische Komponenten“: Zukünftig muss der Einsatz von sogenannten „kritischen Komponenten“ (§ 2 Abs. 13 BSI-Gesetz) vom KRITIS-Betreiber bei dem Bundesministerium des Innern angezeigt werden. Der Gesetzgeber legt dabei fest, was als kritische Komponente eingestuft wird. Der Einsatz einer solchen Komponente darf erst nach Ablauf der Überprüfungsfrist (maximal 4 Monate) erfolgen (§ 9b Abs. 1 und 2 BSI-Gesetz). Bisher ist die Einstufung von „kritischen Komponenten“ nur für den Bereich der Telekommunikation erfolgt. Ob und wann auch für andere Sektoren „kritische Komponenten“ festgelegt werden, ist nicht bekannt. Es ist davon auszugehen, dass nicht zwangsläufig in allen Sektoren kritische Komponenten identifiziert werden. Für den Sektor Wasser gibt das BMI an, hier kurz- und mittelfristig nicht tätig zu werden.
  • Aufgaben und Befugnisse des BSI werden erweitert: Das BSI erhält verstärkte Kompetenzen bei der Detektion von Sicherheitslücken und der Abwehr von Cyber-Angriffen, z.B. können zukünftig Port-Scans bei KRITIS-Betreibern durchführen werden.
  • Ausweitung des Regulierungsbereichs: Der Sektor Siedlungsabfallentsorgung wird als offizieller neuer KRITIS-Sektor im Gesetz aufgenommen (§2 Abs. 10 BSI-Gesetz). Des Weiteren werden auch an Unternehmen im besonderen öffentlichen Interesse (z.B. Rüstungshersteller, Produzenten von Gefahrstoffen oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) gesetzliche Anforderungen in Bezug auf die IT-Sicherheit festgelegt.
BSI-Kritisverordnung in Kraft getreten - IT-Sicherheit Kritischer Infrastrukturen

Am 3. Mai 2016 ist die von der Bundesregierung verabschiedete Vorlage zur Bestimmung Kritischer Infrastruktur nach dem BSI-Gesetz (BSI-Kritisverordnung, BSI-KritisV) in Kraft getreten. Im Folgenden finden Sie die für das Gas- und Wasserfach wichtigsten Punkte:  

  • Festlegung der Begriffsbestimmungen für Anlagen, Betreiber, kritische Dienstleistungen und Versorgungsgrad.
  • Angabe der Schwellenwerte für Betreiber von Kritischer Infrastruktur wie den Wasserver- und die Abwasserentsorgungsanlagen oder den Gasversorgungsanlagen, die definieren, welche Anlagen unter das BSI-Gesetz fallen.
  • Bislang sind von den Regelungen Betreiber Kritischer Infrastrukturen aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Ernährung betroffen.
  • Für die Wasserversorgungs- und Abwasserentsorgungsanlagen legen die Schwellenwerte fest, welche Anlagen die Anforderungen an die Sicherheit der IT-Infrastruktur gemäß BSI-Gesetz (BSIG) bis zum 3. Mai 2018 erfüllt müssen und bis zum 2. November 2016 dem BSI eine Kontaktstelle benannt haben mussten.
  • Für die Gasversorgungsanlagen bestimmen die Schwellenwerte in der BSI-KritisV ausschließlich welche Anlagen, den Meldeverpflichtungen aus dem BSIG nachkommen müssen, da die Anforderungen des IT-Sicherheitsniveaus und deren Nachweis in den IT-Sicherheitskatalogen der BNetzA festgelegt werden.
  • Die BSI-KritisV soll in vier Jahren evaluiert werden.

 

Bei der Festlegung der Schwellenwerte der BSI-KritisV wurden die Branchenarbeitskreise (BAK's) und Themenarbeitskreise (TAKS's) der Kooperation UP KRITIS miteinbezogen. Der DVGW engagiert sich im BAK Wasser/Abwasser, BAK Gas, TAK Regulierung sowie TAK Audits & Standards.

BSI-Kritisverordnung: Downloads
Hier finden Sie die DVGW-Stellungnahme und Hinweise des DVGW zu der BSI-Kritisverordnung.
IT-Sicherheitskatalog der Bundesnetzagentur

Standards für Netzbetreiber in der IT-Sicherheit

Am 12. August 2015 hat die Bundesnetzagentur auf ihrer Homepage (gemäß § 11 Absatz 1a EnWG) im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Katalog von Sicherheitsanforderungen veröffentlicht. Dieser dient dem Schutz von Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Die Ziele des IT-Sicherheitskatalogs sind:

  • die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten.
  • die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme.
  • die Gewährleistung der Vertraulichkeit der verarbeiteten Informationen.

Der IT-Sicherheitskatalog verpflichtet alle Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) sowie dessen Zertifizierung bis zum 31. Januar 2018. 

Standards für Betreiber von Energieanlagen

Im Dezember 2018 wurde der IT-Sicherheitskatalog für Betreiber von Energieanlagen (§ 11 Abs. 1b EnWG) veröffentlicht, die nach der BSI-KritisV als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind. Der Sicherheitskatalog verlangt die Einführung eines Informationssicherheits-Managementsystems (gemäß DIN ISO/IEC 27001 und unter Berücksichtigung der DIN EN ISO/IEC-Normen 27002 und 27019) sowie einer schematisierten Zertifizierung. Zudem muss ein Ansprechpartner für die IT-Sicherheit benannt werden.

Fristen

Dieser Ansprechpartner muss der BNetzA bis zum 28. Februar 2019 bekannt gemacht werden. Die Umsetzung der Zertifizierung des Informationssicherheits-Managementsystems muss bis zum 31. März 2021 erfolgt sein.

Der Katalog kann auf der Webseite der Bundesnetzagentur heruntergeladen werden.

DVGW-Information Gas Nr. 22

Die Unterstützung durch Informations- und Kommunikationstechnik (IKT) mit der wachsenden Abhängigkeit von Selbiger geht mit Chancen und Risiken einher. Um die Vorteile moderner IKT sicher nutzen zu können, wird ein angemessener Schutz gegen Bedrohungen auch im Bereich des Netzbetriebs der Strom- und Gasversorgung auf unterschiedlichen Netzebenen bzw. Druckstufen angestrebt.

Die DVGW-Information Gas Nr. 22 nimmt eine grundlegende Einordnung der bestehenden Normen und Regelwerke vor,  die für den (informationstechnisch) sicheren Netzbetrieb notwendig sind. Darauf aufbauend wurde eine Analyse und ein Ausblick auf den weiteren Handlungsbedarf für die Ausgestaltung einer sicheren Informationstechnik (IT) im Netzbetrieb erarbeitet.

Der DVGW im UP KRITIS

Der DVGW arbeitet bereits seit 2014 im Branchenarbeitskreis (BAK) Wasser/Abwasser und im BAK Gas innerhalb des UP KRITIS mit und hat sich im Laufe der Jahre in verschiedenen sektorübergreifenden Themenarbeitskreisen (TAK) engagiert, u.a. TAK Industrial Control Systems, TAK Audits & Standard, TAK Regulierung.

Der Vertreter des Sektors Wasser im Rat des UP KRITIS wird reihum von den Wasserverbänden benannt. Der Rat bestimmt maßgeblich die strategischen Ziele und Projekte im UP KRITIS mit. Die Wirtschaftsvertreter im Rat bilden außerdem den Wirtschaftsbeirat, der wiederum als politische Stimme des UP KRITIS wirkt und die Interessen der KRITIS-Betreiber gegenüber der Politik vertritt.

UP KRITIS: öffentlich-private Kooperation der KRITIS-Betreiber, Verbände und zuständigen staatlichen Stellen (BSI, BMI, BBK)
  • Übersicht der KRITIS-Sektoren
  • Übersicht der Branchen- und Themenarbeitskreisen
  • Informationen über Entstehung, Aufgabenstellung und Zielsetzung des UP KRITIS
Zur Website
Ihre Ansprechpersonen zum Thema IT-Sicherheit
Sie haben Fragen zum Thema IT-Sicherheit im Gas- und Wasserfach? Sie möchten gerne mehr über die Mindeststandards und die BSI-Kritis-Verordnung erfahren? Dann schreiben Sie uns eine E-Mail oder rufen Sie uns an. Unsere Experten sind für Sie da.
Frank Dietzsch
Hauptgeschäftsstelle / Gastechnologien und Energiesysteme

Telefon+49 228 91 88-914
Kirsten Wagner
Hauptgeschäftsstelle / Wasserversorgung

Telefon+49 228 91 88-868