Trinkwasserversorgung und Abwasserentsorgung stehen in NIS2 Anhang I Nr. 6 und 7. Anders als in der alten KritisV liegen die Schwellen niedriger, sodass nicht nur Großversorger, sondern auch viele mittelgroße Stadtwerke und Zweckverbände in den Anwendungsbereich rutschen. Genau diese Gruppe ist personell und budgetär am wenigsten darauf vorbereitet. Hier eine pragmatische Pflichten-Liste für 2026, abgestimmt auf die Realität kommunaler Versorger.

Anwendbarkeit: deutlich mehr Versorger als bisher

Anhang I Nr. 6 NIS2: Lieferanten und Verteiler von Trinkwasser. Anhang I Nr. 7: Unternehmen für die Sammlung, Entsorgung oder Behandlung von kommunalem Abwasser und Industrieabwasser, sofern dies eine wesentliche Tätigkeit darstellt.

Größenklassen wie überall: ab 250 Mitarbeitenden oder 50 Mio Euro Umsatz wesentliche Einrichtung, ab 50 Mitarbeitenden oder 10 Mio Euro Umsatz wichtige Einrichtung.

Praktisch heißt das: nahezu jedes Stadtwerk mit Wasserbetrieb, jeder Zweckverband mit überregionalem Versorgungsauftrag, kommunale Wasser- und Abwasserzweckverbände fallen in mindestens eine der NIS2-Kategorien.

Die alte KritisV-Schwelle von 500.000 versorgten Einwohnern wirkt nicht mehr filternd. Wer eine mittlere Kreisstadt versorgt, ist ab 2026 NIS2-pflichtig.

Warum kleine Versorger besonders unter Druck stehen

Personal: viele kommunale Wasserwerke haben unter 50 Beschäftigte und keinen dedizierten ISB. NIS2 verlangt aber eine formale Verantwortlichkeit für Informationssicherheit auf Geschäftsleitungsebene.

Budget: Wasserpreise sind in Deutschland kostenbasiert reguliert. Cybersecurity-Investitionen müssen über Gebührenkalkulationen refinanziert werden, was Mehrjahres-Vorlauf erfordert.

OT-Realität: SPS-Steuerungen, Pumpwerks-Fernwirktechnik und Prozessleitsysteme sind oft 15-25 Jahre alt, basieren auf nicht mehr unterstützten Betriebssystemen und sind durch Wartungs-VPN remote erreichbar. Genau die Konstellation, die Ransomware-Gruppen 2024 und 2025 mehrfach in US-Wasserwerken ausgenutzt haben.

Die zehn konkreten Pflichten

1. Verantwortlichkeit definieren: Geschäftsleitungs-Beschluss zur Cyber-Risiko-Strategie, benannter ISB (intern oder als Mandat extern).

2. Risikoanalyse für OT (Prozessleittechnik, SPS, Fernwirk) und Office-IT separat.

3. Netzsegmentierung: physische oder logische Trennung von Leitwarte/SCADA und Office-IT. Fernwartung nur über bastion host mit MFA und Session-Logging.

4. Backup und Wiederherstellung: Leitsystem-Konfigurationen, Steuerungs-Logiken und Historien-Datenbanken müssen offline-fähig und unveränderbar gesichert sein.

5. Schwachstellenmanagement OT: Hersteller-Patches, wenn möglich. Bei Unmöglichkeit dokumentierte Kompensation (Segmentierung, IDS, Application Whitelisting).

6. Kryptografie: TLS für jede Fernwartungs-Verbindung, Verschlüsselung von Konfigurations-Backups.

7. Zugangskontrolle: MFA für alle administrativen Zugänge auf Leitsysteme und Fernwartungs-Schnittstellen. Privileged Access Management wo Budget reicht.

8. Vorfallbehandlung mit Meldekaskade an BSI (24h/72h/Monat).

9. Lieferkette: Wartungsverträge mit SPS-Herstellern, Leitsystem-Integratoren und Cloud-Anbietern brauchen NIS2-Klauseln (Vorfallsmeldung, Schwachstellen-Disclosure, Auditrecht).

10. Schulung und Awareness für Personal, jährlich für Geschäftsleitung.

Pragmatische Umsetzungsmuster für kleine Versorger

ISB im Mandat: ein externer ISB für mehrere Stadtwerke ist deutlich günstiger als eine eigene Stelle. Branchenverbände (BDEW, VKU) vermitteln entsprechende Dienstleister.

SOC-as-a-Service: für kleine Versorger ist ein eigenes SOC unrealistisch. MDR-Anbieter mit OT-Expertise (BSI-zertifiziert) sind eine valide Option.

Branchen-Kooperationen: BDEW B3S Wasser-Abwasser und VKU-Arbeitskreise bieten gemeinsame Audits und Schulungen.

KHZG-Analog gibt es im Wasserbereich nicht. Die Refinanzierung läuft über die ordentliche Gebührenkalkulation und im Einzelfall über Förderprogramme der Länder.

Geschäftsleitungs-Verantwortung und Bußgelder

Geschäftsführer eines kommunalen Versorgers, technische und kaufmännische Werkleitung, Vorstände von Zweckverbänden sind je nach Rechtsform Geschäftsleitung im Sinne von Art. 20.

Bei wesentlichen Einrichtungen Bußgelder bis 10 Mio Euro oder 2 Prozent des weltweiten Konzernumsatzes. Bei wichtigen Einrichtungen bis 7 Mio Euro oder 1,4 Prozent.

Sonderaspekt kommunal: Bußgelder treffen die Eigenbetriebe oder Eigengesellschaften. Die persönliche Haftung der Werkleitung und Geschäftsführung greift nach allgemeinen Grundsätzen (BGB, GmbHG, einschlägiges Kommunalrecht).

Was DecisionOS dabei tut

Für kleine kommunale Versorger ist NIS2-Konformität ein Dauerlauf, kein Sprint. DecisionOS macht jede investitionsrelevante Entscheidung (SCADA-Modernisierung, MDR-Anbieter, IAM-Einführung, Backup-Lösung) audittpflichtig dokumentierbar: Decision Memo mit Art. 21 Mapping, Stakeholder-Sign-off (Werkleitung, Geschäftsleitung, ISB, ggf. Aufsichtsrat) und Readiness-Score. Das gleiche Dossier bedient BSI-Audit und kommunalpolitische Rechtfertigung der Gebührenwirkung.

NIS2-Pflichten für Wasserversorger 2026