20.04.2017

IT-Sicherheit Wasser und Abwasser – Bis Mai 2018 müssen sich Anlagenbetreiber zertifizieren

Blog

Background

20.04.2017

IT-Sicherheit Wasser und Abwasser – Bis Mai 2018 müssen sich Anlagenbetreiber zertifizieren

Die Digitalisierung hat längst auch die Wasserwirtschaft erreicht. Damit ist auch das Bedürfnis zur Absicherung dieser empfindlichen Infrastruktur vor digitalen Störungen und – schlimmstenfalls – vor Cyber-Angriffen gestiegen. Vor diesem Hintergrund hat der Gesetzgeber mit dem IT-Sicherheitsgesetz (BGBl. 2015 I Nr. 31 v. 24.07.2015) eine Grundlage für IT-Sicherheitsanforderungen an Betreiber sogenannter kritischer Infrastrukturen geschaffen. Wie für die Sektoren Gesundheit, Ernährung und Energie gelten auch auf Betreiber von Anlagen der Wasserver- und Abwasserentsorgung neue Pflichten bei der Ausgestaltung ihrer IT-Struktur.

Branchenspezifische Standards („B3S“) noch nicht veröffentlicht

Das IT-Sicherheitsgesetz ist zwar schon seit 2015 in Kraft, wie die konkreten Anforderungen an die einzelnen Branchen aussehen, steht allerdings noch nicht fest: Aktuell arbeitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit den Branchenverbänden daran, branchenspezifische Standards („B3S“) zu erstellen. Das Gesetz gibt nur vor, dass die Betreiber den „Stand der Technik“ einhalten müssen. Was genau darunter zu verstehen ist, lässt sich schwer allgemeingültig formulieren. Vieles spricht dafür, dass über die konkreten Pflichten, die die Betreiber kritischer Infrastrukturen mit Blick auf ihre IT in Zukunft erfüllen müssen, noch intensiv diskutiert werden wird. Zu vielseitig dürften die zu definierenden Anwendungsfälle, Gefährdungs-Szenarien und möglichen Maßnahmen sein. Das ist sicherlich einer der Gründe, weshalb die Standards noch nicht veröffentlicht worden sind.

Für das Erscheinen der branchenspezifischen Standards wird es jedoch höchste Zeit, denn bereits im Mai 2018 müssen die Anlagenbetreiber erstmals die Einhaltung dieser Standards nachweisen. Das wird in der Regel mittels Zertifizierungsagenturen geschehen, die vom BSI noch benannt werden müssen. Diese Zusammenarbeit ist hoch sensibel: Die Unternehmen müssen den Zertifizierungsagenturen weitreichende Einblicke in die IT-gestützten Abläufe und Prozesse im Unternehmen gewähren. Dabei kann es nicht ausbleiben, dass auch andere betriebliche Informationen offenbart werden. Hier wird von Seiten der Anlagenbetreiber auf eine sensible Vertragsgestaltung zu achten sein.

Auch Betreiber kleinerer Wasseranlagen sollten sich vorbereiten

Die verschärften IT-Sicherheitspflichten gelten zunächst nur für Anlagen, die einen größeren Versorgungsbereich abdecken. Dabei orientiert sich die maßgebliche Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) für Anlagen der Abwasserentsorgung an einer Ausbaugröße von 500.000 Einwohnern und für Anlagen der Trinkwasserversorgung an einer Wassermenge von 22 Millionen Kubikmetern im Jahr. Aber auch Betreiber kleinerer Einrichtungen sollten sich schon jetzt mit dem Thema auseinandersetzen. Noch offen ist nämlich, inwieweit die neuen Regeln außerhalb der unmittelbar erfassten Anlagen beispielsweise einen auch für kleinere und mittlere Anlagen maßgeblichen neuen Stand der Technik im Sinne von § 3 Nr. 11 WHG normieren.

Dr. Sabrina Desens, Anwältin im Team „Umwelt, Planung, Regulierung“ bei Luther, meint: „Es ist zu erwarten, dass der digitale Wandel mittelfristig die gesamte Branche erfassen wird. Auch die Betreiber kleiner und mittlerer Abwasseranlagen dürften gut beraten sein, die technischen Entwicklungen in diesem Bereich im Blick zu behalten und im Bereich der IT-Sicherheit Vorsorge zu betreiben.“

Sanktionen drohen in Form von Bußgeldern und öffentlichen Verweisen

Bei einem Verstoß gegen die Anforderungen des BSI-Gesetzes drohen zudem durchaus empfindliche Sanktionen. Neben der Möglichkeit Bußgelder von bis zu 100.000 Euro zu verhängen, sieht das Gesetz vor allem umfangreiche Informationsrechte vor, die bis tief in die organisatorischen Abläufe des Unternehmens reichen können. Ein durchaus scharfes Schwert des BSI dürfte auch dessen Recht sein, öffentliche Hinweise und Warnungen bei Verstößen aussprechen zu dürfen.

Gerade Angriffe von außen vermitteln dabei eine latente Gefährdungslage, die auch in der Öffentlichkeit wahrgenommen wird. Eine Lücke in der eigenen IT-Sicherheit birgt daher nicht nur erhebliche unmittelbare wirtschaftliche Risiken, sondern ist besonders relevant für den Ruf eines Unternehmens.

Christian Kuß, Anwalt für IT-Recht bei Luther, sagt: „Unserer Erfahrung nach ist das Thema IT-Sicherheit ein Dauerthema. Neue Bedrohungen aus dem Cyberspace, aber auch neue gesetzliche Pflichten für Hersteller und Betreiber zwingen Unternehmen dazu, sich umfassend mit dem Thema auseinanderzusetzen und Maßnahmen zum Schutz ihrer Systeme und Produkte zu ergreifen.“

Fazit: Unternehmen sollten Zertifizierung baldmöglichst beantragen

Mit dem Erscheinen der branchenspezifischen Standards zum IT-Sicherheitsgesetz ist in Kürze zu rechnen. Dann wird es darum gehen, den eigenen Stand der Technik mit diesen abzugleichen und zertifizieren zu lassen. Das liegt zwar auch im eigenen Interesse der Betreiber kritischer Anlagen, ist nach dem BSI-G aber auch eine rechtliche Pflicht, deren Vernachlässigung erhebliche Compliance-Risiken mit sich bringt.

 

Dr. Sabrina Desens
Luther Rechtsanwaltsgesellschaft mbH
Leipzig
Telefon +49 341 5299 24850
sabrina.desens@luther-lawfirm.com
 

 

Christian Kuß, LL.M.
Luther Rechtsanwaltsgesellschaft mbH
Köln
Telefon +49 221 9937 25711
christian.kuss@luther-lawfirm.com