Wie DWA und DVGW gemeinsam mitteilten, habe das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass die Version 2021 des B3S WA die gesetzlichen Anforderungen im BSI-Gesetz für Betreiber Kritischer Infrastrukturen (Kritis) erfüllt. Kritis-Betreiber könnten durch die Umsetzung des B3S WA das gesetzlich vorgeschriebene Schutzniveau erreichen und sich so vor Cyberangriffen schützen.
„Bei der Aktualisierung stand im Fokus, den B3S WA um Aspekte zu ergänzen, die im Rahmen der fortschreitenden Digitalisierung besondere Bedeutung gewinnen“, erklärten die Verbände. Dazu zählten zum Beispiel Cloud-Nutzung, Internet of Things oder Angriffserkennung. Wichtig sei auch gewesen, dass die neue Version weiterhin eine Basis-Absicherung der IT-Struktur für kleine und mittlere Betreiber bietet. Durch das DWA-Merkblatt M 1060 und das DVGW-Merkblatt W 1060 „IT-Sicherheit - Branchenstandard Wasser/Abwasser“ wird der B3S WA im Regelwerk der Branchenverbände verankert. Sie sind inklusive des dazugehörigen IT-Tools ab sofort erhältlich.
Der B3S WA 2021 beschreibt die zu erfüllenden Mindestanforderungen für Kritis-Betreiber zur Einhaltung der Vorgaben des BSI-Gesetzes und der BSI-Kritisverordnung. Aber auch für Betreiber, deren Anlagen die Schwellenwerte (22 Millionen Kubikmeter Wasserabgabe pro Jahr bezogen auf Anlagenkategorien, z. B. Wasserwerk oder Leitzentrale, bzw. 500.000 angeschlossene Einwohner an die Kanalisation oder Ausbaugröße der Kläranlage von 500.000 Einwohnerwerten) in der BSI-Kritisverordnung nicht erreichen, empfehlen DWA und DVGW mindestens die Implementierung des Basisschutzniveaus.
Die Verbände machen darauf aufmerksam, dass die derzeit laufenden Überlegungen auf EU-Ebene zur NIS-2-Richtlinie (Europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit) darauf hindeuten, dass auch Anlagen unterhalb der Schwellenwerte der aktuellen BSI-Kritisverordnung in Zukunft als Kritische Infrastrukturen eingestuft werden könnten.
