Als kritische Infrastruktur eingestufte Wasserver- und Abwasserentsorgungsunternehmen müssen höherer Sicherheitsstandards erfüllen.
IT-Sicherheit in der Wasserwirtschaft
– Auswirkungen des neuen IT-Sicherheitsgesetzes
auf den Sektor Abwasser
Erstmals haben DWA und DVWG als Branchenverband einen gemeinsamen Branchenstandard erarbeitet, der vom Bundesamt für Sicherheit in der Infor-
mationstechnik (BSI) als Eignungsbescheid auch auf andere kritische Infrastrukturen im Sinne des § 8a (2) BSI-Gesetz umgesetzt werden könnte. Die Ergebnisse stellte die DWA (Deutsche Vereinigung für Wasser-
wirtschaft, Abwasser und Abfall e. V.) am 07. September in Fulda zur Diskussion.
Das BSI hat erstmals einen Eignungs-
bescheid für den Branchenstandard einer kritischen Infrastruktur im Sinne des § 8a (2) BSI-Gesetz erteilt. Wasserver- und Abwasserentsorgungsunternehmen haben damit die Möglichkeit, die neuen gesetzlichen Verpflichtungen durch die Implementierung des Branchenstandards, genannt B3S, zu erfüllen.
Der Branchenstandard besteht aus dem Merkblatt DVGW W 1060 bzw. DWA- M 1060 „IT-Sicherheit – Branchenstandard Wasser/Abwasser“ und einer Web-Applikation, dem „IT-Sicherheitsleitfaden“. Mit dessen Hilfe können Wasserver- und Abwasserentsorgungs-
unternehmen ermitteln, welche Sicherheitsmaßnahmen einzuführen sind, um ihre IT-Infrastruktur gemäß dem Stand der Technik zu schützen. Dabei wurde der Branchen-
standard so konzipiert, dass er einerseits die Grundlage vorgibt, damit die betroffenen Unternehmen die Anforderungen des BSI-Gesetzes erfüllen können und andererseits kleinen und mittleren Unternehmen eine einfache Möglichkeit bietet, die sicherheits-
technischen Schwachstellen ihrer IT-Infrastruktur zu identifizieren und geeignete Schutzmaßnahmen gegen Hacker-Aktivitäten zu ergreifen.
Das Sicherheitskonzept macht Schule: Die Ernährungsindustrie prüft Sicherheitskonzepte zu übernehmen. Folie: Vortrag von Norbert Engelhardt
Die Meldepflicht nach BSIG gilt seit dem Inkrafttreten der BSI-Kritisverordnung am 3. Mai 2016 für die vier Sektoren Energie, Informationstechnik und Telekommunikation (IKT), Wasser und Ernährung. Norbert Engelhardt, Erftverband, Bergheim verwies in seinem Vortrag auf die Festlegungen nach IT-Sicherheitsgesetz, wonach Betreiber kritischer Infrastrukturen dem BSI unter anderem binnen sechs Monaten eine geeignete Kontaktstelle für die Kommunikationsstrukturen, Erreichbarkeit 24/7, zu benennen hat. Dieser Termin war bereits am 03. November 2016. Weiterhin sind Betreiber zum Stichtag 04.Mai 2018 verpflichtet, die Umsetzung angemessener organisatorischer und technischer Vorkehrungen zu Vermeidung von Störfällen nachzuweisen. Der Nachweis zur B3S Umsetzung ist eine Bringpflicht und kann bei Nichteinhaltung mit einem Bußgeld in Höhe von 100.000€ mehrfach gehandet werden. Auch Betreiber Kritischer Infrastrukturen, die nicht unter die BSI-Kritisverordnung fallen, können freiwillige Meldungen abgeben.