Das 3. Update des Branchenspezifischen IT-Sicherheitsstandard Wasser/Abwasser (B3S WA) bestehend aus dem IT-Sicherheitsleitfaden und dem DVGW W 1060 (M) „IT-Sicherheit – Branchenstandard Wasser/Abwasser“ wurde soeben veröffentlicht. Der B3S WA dient als Grundlage für die Risikoabschätzung und die Einführung von Maßnahmen zum Schutz der informationstechnischen Systeme, Komponenten, Prozesse und Daten von Wasserversorgungs- und Abwasserentsorgungsanlagen.
Gemäß den Vorgaben im BSI-Gesetz überprüft das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) alle zwei Jahre, ob der B3S WA zur Gewährleistung der Anforderungen für die Kritischen Infrastrukturen des Sektors Wasser (KRITIS-Betreiber) gemäß § 8a Absatz 1 BSIG geeignet ist. Für das 3. Update des B3S WA hat das BSI am 21. Januar 2022 die Eignungsfeststellung erteilt, so dass die gesetzlich regulierten KRITIS-Betreiber der Wasserver- und Abwasserentsorgung durch eine Implementierung die Anforderungen der gesetzlichen Vorgaben des aktuellen, durch das IT-Sicherheitsgesetz 2.0 geänderten BSI-Gesetzes (BSIG) für den Sektor Wasser erfüllen.
Nach wie vor bietet der B3S WA aber nicht nur den KRITIS-Betreibern die Möglichkeit, dass gesetzlich vorgeschriebene Schutzniveau zu erreichen. Der Anwender kann im IT-Sicherheitsleitfaden zwischen den beiden Schutzniveaus K und A auswählen. Die Implementierung des Schutzniveau K ist dabei notwendig, um die gesetzlich vorgeschriebenen Anforderungen für die KRITIS-Betreiber zu erreichen. Kleine und mittlere Wasserversorgungs- und Abwasserentsorgungsunternehmen erhalten dagegen durch das (Basis-)Schutzniveau A einen sinnvollen Einstieg auf dem Weg zu einer besseren Absicherung der IT-Infrastruktur.
Die spezifische Unternehmenssituation kann durch die Auswahl aus inzwischen insgesamt 27 Anwendungsfälle abgebildet werden. In der Version 2021 3.0 sind vier neue Anwendungsfälle dazu gekommen, die vor allem der fortschreitenden Digitalisierung Rechnung tragen:
- AR6 – Datenverbindung über öffentliche Netze
- AR7 – Virtualisierung
- AR8 – IoT-Geräte
- ID1 – Intrusion Detection
Darüber hinaus wurde der Anwendungsfall OM1 um Anforderungen zum Cloud-Computing ergänzt und die Themen „Risikobetrachtung“ und „Restrisikobewertung“ im Technischen Hinweis „IT-Sicherheit – Branchenstandard Wasser/Abwasser“ DVGW-Merkblatt W 1060 bzw. DWA-Merkblatt M 1060 aktualisiert.
Facts
17 Seiten
Ausgabe 4/22
