Branche · Wasser- und Abwasserversorgung
DecisionOS für Wasser- und Abwasserversorger
Wasser- und Abwasserversorger fallen unter KRITIS (BSIG §8a ab bestimmten Schwellenwerten) und mit der NIS2-Umsetzung erweitert sich der betroffene Kreis deutlich. Gleichzeitig ist die IT/OT-Kopplung eng und die Betriebssicherheit nicht verhandelbar. DecisionOS liefert das Decision-Memo-Format, das diese Entscheidungen strukturiert und vor BSI- und Aufsichtsprüfungen bestand hat.
TL;DR
Wasserversorger unter KRITIS + NIS2 + B3S Wasser. Entscheidungen müssen IT und OT sauber trennen und vor BSI bestehen.
Regulatorik im Überblick
Regulatorischer Kontext
Wasserversorger ab 500.000 versorgten Personen (Trinkwasser) bzw. Abwasserentsorger ab 500.000 angeschlossenen Einwohnerwerten fallen unter KRITIS nach BSIG §8a. Mit NIS2 sinken die Schwellenwerte und der Kreis erweitert sich auf wesentliche und wichtige Entitäten.
Der B3S Wasser/Abwasser ist der gelebte Prüfstandard für KRITIS-Nachweise. Entscheidungen über Leitsysteme, Fernwirktechnik, IT-Sicherheit und Auslagerungen müssen gegen die B3S-Kapitel mappbar sein.
Die Trinkwasserverordnung überlagert das Ganze mit konkreten Anforderungen an die Betriebssicherheit und Risikobeurteilung. Materielle IT-Entscheidungen sind damit implizit auch Gesundheitsschutz-Entscheidungen.
Typische Entscheidungen
Dealbreaker (nicht verhandelbar)
Harte IT/OT-Trennung
Vermischung gefährdet die Versorgungssicherheit und ist unter B3S Wasser nicht tragfähig. Dealbreaker für jede Auslagerung.
Nachweisbare Verfügbarkeit unter Störfallbedingungen
Trinkwasser ist nicht ausschaltbar. RTO/RPO sind binär, nicht gewichtet.
BSI-Nachweisfähigkeit nach §8a BSIG
Zwei-Jahres-Prüfzyklus. Undokumentierte Entscheidungen gelten als nicht getroffen.
Regionale Hoheit über Betriebs- und Leitsystemdaten
SCADA-Telemetrie und Leitsystemdaten dürfen die kommunale/regionale Hoheit nicht verlassen.
Wie DecisionOS hilft
Die Dealbreaker-Logik erzwingt die IT/OT-Trennung sauber. Kein gewichtetes Kriterium kann eine Entscheidung retten, die die Trennung unterläuft.
Die Stakeholder-Logik bindet Technischen Betrieb, IT-Sicherheit, Geschäftsführung und Datenschutz als gleichberechtigte Instanzen ein.
Das Memo ist explizit B3S-mappbar und lässt sich als Evidenz in KRITIS-Prüfungen, interne Revision und Gemeinderats-Beschlüsse gleichzeitig verwenden.
Typische Entscheidungen
Modernisierung von Leitsystemen (Prozessleittechnik) mit Sicherheits-Overlay.
Einführung einer Angriffserkennung (SzA-artig) über die administrative IT mit klarem Scope gegenüber der OT.
Cloud-Auslagerung administrativer Fachverfahren (Verbrauchsabrechnung, GIS) unter Sovereignty-Dealbreakern.
Auswahl eines MDR-Partners mit Verständnis für kommunale Versorgungsstrukturen.
Hosting und Datenhoheit
DecisionOS läuft ausschließlich in Deutschland (Hetzner, Nürnberg). Für kommunale Versorger und KRITIS-Betreiber ist das der Default. Ein dediziertes Deployment mit noch engerer operationaler Kontrolle ist auf Anfrage verfügbar.
FAQ
Ist DecisionOS für kleinere Stadtwerke sinnvoll?
Ja, sobald KRITIS-Schwellenwerte überschritten sind oder NIS2-Einstufung greift. Für sehr kleine Versorger unterhalb der Schwellen ist der Nutzen geringer, aber nicht null — die Dokumentationspflichten wachsen auch ohne formale Einstufung.
Verarbeitet DecisionOS OT-Daten?
Nein. DecisionOS ist ein Entscheidungs- und Beschaffungswerkzeug, kein OT- oder Leitsystem. Keine Prozessdaten, keine Telemetrie. Das Memo enthält ausschließlich die Entscheidungsgrundlage.
Wie verhält sich DecisionOS zu kommunalen Vergabeprozessen?
Das Memo liefert die nachvollziehbare Auswahlbegründung, die in die Vergabeakte fließt. Die formale Vergabe selbst läuft über die etablierten Systeme und Vergabestellen.