NIS2-Richtlinie: Was Unternehmen in der Wasserwirtschaft wissen müssen
Autor: Hakan Keser
Die EU-weite NIS2-Richtlinie verschärft die Sicherheitsanforderungen für Unternehmen in kritischen Infrastrukturen – darunter auch die Wasserwirtschaft. Höhere Sicherheitsstandards, erweiterte Pflichten und empfindliche Strafen machen eine frühzeitige Prüfung unerlässlich. Erfahren Sie, welche Unternehmen betroffen sind und wie das BSI-Tool Ihnen eine erste Einschätzung liefert.
NIS2-Richtlinie: Was Unternehmen in der Wasserwirtschaft wissen müssen
Autor: Hakan KeserDie NIS2-Richtlinie (Network and Information Security Directive) ist die neue EU-weite Verordnung zur Verbesserung der Cybersicherheit von Unternehmen und Institutionen. Sie löst die bisherige NIS-Richtlinie von 2016 ab und erweitert sowohl den Geltungsbereich als auch die Anforderungen an betroffene Organisationen. Besonders Unternehmen in kritischen Infrastrukturbereichen wie der Wasserwirtschaft sollten jetzt prüfen, ob und in welchem Umfang sie von den neuen Regelungen betroffen sind.
Warum gibt es eine neue Richtlinie?
Die Digitalisierung schreitet rapide voran, und mit ihr nehmen auch Cyberangriffe in Häufigkeit und Komplexität zu. Die EU hat die NIS2-Richtlinie eingeführt, um diesen Bedrohungen besser zu begegnen und die Widerstandsfähigkeit kritischer Infrastrukturen zu erhöhen. Die ursprüngliche NIS-Richtlinie von 2016 war nicht mehr ausreichend, um den gestiegenen Anforderungen gerecht zu werden.
Wichtige Änderungen durch die NIS2-Richtline:
- Strengere Sicherheitsanforderungen: Höhere Standards bei Risikomanagement, Vorfallerkennung und -meldung
- Erweiterter Geltungsbereich: Mehr Sektoren und Unternehmen fallen unter die Regelungen
- Erhöhter Sanktionsrahmen: Bei Nichteinhaltung drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Die Mitgliedstaaten hatten die Aufgabe, die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Wichtig: Die NIS2-Richtlinie gilt bereits auf EU-Ebene, auch wenn die nationale Umsetzung in Deutschland aufgrund der Neuwahlen und der Konstituierung des neuen Bundestages voraussichtlich verzögert erfolgen wird.
Welche Unternehmen in der Wasserwirtschaft sind betroffen?
Die NIS2-Richtlinie betrifft Organisationen, die für die Aufrechterhaltung wesentlicher gesellschaftlicher Funktionen und wirtschaftlicher Aktivitäten entscheidend sind. In der Wasserwirtschaft können das beispielsweise sein:
- Trinkwasserversorger, die eine große Anzahl an Einwohnern bedienen.
- Abwasserentsorgungsbetriebe, die zentrale Abwassernetze betreiben.
- Wasserversorgungsinfrastrukturbetreiber, die kritische Komponenten wie Pumpwerke, Aufbereitungsanlagen oder Speichersysteme verwalten.
Die genaue Einstufung hängt von verschiedenen Faktoren ab, darunter die Unternehmensgröße, die Versorgungsreichweite und die Bedeutung der Infrastruktur für das öffentliche Leben.
Selbstprüfung mit dem Tool des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet auf seiner Webseite ein hilfreiches Tool zur Betroffenheitsprüfung an. Unternehmen können damit erste Anhaltspunkte erhalten, ob sie unter die Regelungen der NIS2-Richtlinie fallen.
Hier geht es zur Prüfung: NIS-2-Betroffenheitsprüfung des BSI
Das Tool stellt gezielte Fragen zur Unternehmensgröße, Branche und kritischen Funktionen. Nach der Beantwortung erhalten Sie eine erste Einschätzung, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen sein könnte.
Screenshot aus dem NIS2-Betroffenheitstool | © Bundesamt für Sicherheit in der Informationstechnik
Wie werden Unternehmen nach NIS2 kategorisiert?
Unternehmen werden nach der NIS2-Richtlinie in zwei Hauptkategorien eingeteilt:
- Wesentliche Einrichtungen (Essential Entities)
- Wichtige Einrichtungen (Important Entities)
Die Einstufung basiert auf bestimmten Kennzahlen wie:
- Anzahl der Beschäftigten: mehr als 250 Mitarbeitenden
- Jahresumsatz: mehr als 50 Millionen Euro
- Bilanzsumme: mehr als 43 Millionen Euro
Auch kleinere Unternehmen können dennoch betroffen sein, wenn sie eine kritische Rolle in der Wasserwirtschaft spielen oder Teil von Lieferketten sind, die für die Aufrechterhaltung der Versorgungssicherheit wichtig sind.
Warum diese Prüfung nur eine erste Einordnung ist
Das Online-Tool des BSI bietet eine erste Orientierung, ersetzt jedoch keine detaillierte rechtliche Beratung oder eine tiefgehende Analyse und Bestandsaufnahme der individuellen Unternehmenssituation. Die NIS2-Richtlinie ist komplex, und die genaue Betroffenheit kann von verschiedenen Faktoren abhängen, die mit dem Prüftool nicht vollständig abgedeckt werden.
Zudem ist das nationale Umsetzungsgesetz in Deutschland noch nicht beschlossen. Das bedeutet, dass Anpassungen in den konkreten Anforderungen und Pflichten möglich sind, sobald das Gesetz in Kraft tritt. Unternehmen im Sektor Wasser sollten daher aufmerksam den aktuellen Gesetzgebungsprozess verfolgen.
Daher können nach der Selbstprüfung weitere Schritte notwendig sein:
- Austausch mit Branchenverbänden und Netzwerken der Wasserwirtschaft.
- Kontaktaufnahme mit dem BSI für spezifische Fragen oder Unklarheiten.
- Konsultation von Fachanwälten für IT-Recht und Cybersicherheit.
Beispiel: Unsicherheit bei der Einstufung eines kleinen Wassertechnik-Dienstleisters
Ein mittelständischer Wassertechnik-Dienstleister mit 45 Mitarbeitenden und einem Jahresumsatz von 12 Millionen Euro liefert spezialisierte Steuerungssoftware für Wasseraufbereitungsanlagen. Auf den ersten Blick könnte das Unternehmen aufgrund seiner Größe und Umsatzzahlen nicht unter die NIS2-Richtlinie fallen.
Allerdings könnte die bereitgestellte Software eine kritische Rolle in den Versorgungsprozessen mehrerer Trinkwasserversorger spielen. Da die NIS2-Richtlinie auch Unternehmen in Lieferketten betrifft, die für die Aufrechterhaltung wesentlicher Dienstleistungen entscheidend sind, könnte der Dienstleister als "wichtige Einrichtung" eingestuft werden.
Zur Klärung könnte das Unternehmen eine detaillierte Risikoanalyse durchführen und sich bei Fachanwälten oder dem BSI beraten lassen, um die eigene Betroffenheit zu bestimmen und könnte frühzeitig geeignete Maßnahmen zu ergreifen.
Wo gibt es weitere Informationen?
Neben dem BSI gibt es verschiedene Anlaufstellen für Unternehmen, die sich über die NIS2-Richtlinie informieren möchten:
- Branchenverbände bieten spezifische Leitfäden und Informationsmaterialien.
- IHKs und Handwerkskammern informieren über rechtliche Rahmenbedingungen und bieten Workshops an.
- Sicherheitsdienstleister und IT-Beratungen bieten spezialisierte Audits und Sicherheitsüberprüfungen an.
Quo Vadis NIS2 – Nationale Umsetzung wird kommen
Die NIS2-Richtlinie bringt erhebliche Änderungen für Unternehmen der Wasserwirtschaft mit sich. Eine erste Selbstprüfung mit dem Tool des BSI ist ein guter Einstieg, jedoch kann eine abschließende Bewertung nur durch weiterführende Analysen und Beratungen erfolgen.
Da das nationale Umsetzungsgesetz in Deutschland noch nicht beschlossen wurde, ist es wichtig, den weiteren Gesetzgebungsprozess zu beobachten. Wer sich rechtzeitig mit NIS2 beschäftigt und vorbereitet ist, kann den kommenden rechtlichen Anforderungen vorbereitet gerecht werden. Unabhängig hiervor, sollte es im Bereich der Daseinsvorsorge ein gelebter Prozess sein, die eigene Cybersicherheit nachhaltig und kontinuierlich zu verbessern.
Noch mehr Infos zu NIS2 in unserem Seminar
Sie möchten wissen, wo Ihr Unternehmen gerade steht und wie Sie sich NIS2-ready machen können? Dann ist unser mehrtägiges Seminar "NIS2 für SubKRITIS - Herausforderungen und Lösungen in der Wasserwirtschaft" im Mai vielleicht etwas für Sie.
Schauen Sie rein!
Hakan Keser
Hakan Keser ist Chief Partner Officer beim Kompetenzzentrum Digitale Wasserwirtschaft gemeinnützige GmbH. Zuvor hat er in unterschiedlich globalen Unternehmen Positionen als Digital Product Manager mit einem besonderen Fokus auf datengetriebene digitale Services. Mit einem weiteren Hintergrund als Kommunikationsexperte für Produktkommunikation und Branding begleitete er in den letzten Jahren globale Markteinführungen für unterschiedlichste digitale Produkte und Services. Hierbei in Schnittstellenfunktionen zwischen Forschung & Entwicklung und Vertrieb.
