Ab wann gilt ein Wasserversorger als NIS2-pflichtig?

Trinkwasserversorger fallen unter NIS2 Anhang I Nr. 6 (Trinkwasserversorgung) als Wesentliche Einrichtungen, sofern sie Trinkwasser an mindestens 50.000 Personen oder 3.000 Kubikmeter täglich liefern. Diese Schwellen ergeben sich aus der NIS2-Umsetzung in Verbindung mit der Trinkwasserversorgungsstruktur-Definition des BSIG-neu. Kleinere kommunale Versorger können je nach nationaler Auslegung ebenfalls erfasst sein. KRITIS-Pflichten nach BSI-KritisV § 3 Anhang 2 greifen ab 22 Mio. m³ Jahresfördermenge.

Was ist der Unterschied zwischen NIS2 und KRITIS für Wasserversorger?

NIS2 (Anhang I Nr. 6) gilt für Wasserversorger ab der Versorgungsschwelle von 50.000 Personen oder 3.000 m3/Tag. KRITIS nach BSI-KritisV § 3 Anhang 2 greift ab einer Jahresfördermenge von 22 Mio. m³ (Trinkwasser) bzw. ab 500.000 Einwohnerwerten für Abwasser. Beide Regime können also gleichzeitig gelten; KRITIS ergänzt NIS2 um strengere Anforderungen wie 24/7-Erreichbarkeit und BSI-Zertifizierung alle zwei Jahre.

Welche Schutzpflichten gelten für Leitsysteme bei Wasserversorgern nach NIS2?

SCADA- und ICS-Systeme in Wasserwerken und Pumpstationen sind OT-Infrastruktur nach § 30 BSIG-neu. Pflichtmaßnahmen umfassen: Netzwerksegmentierung OT/IT, Zugangskontrolle mit MFA für Steuerungsrechner, Patch-Management für Feldgeräte sowie Backup- und Notfallwiederherstellungskonzepte. Technische Schutzanforderungen für Wasserinfrastruktur finden sich auch in DVGW-W 1060 (Sicherheit in der Wasserversorgung).

Welche Bußgelder drohen Wasserversorgern bei NIS2-Verstößen?

Als Wesentliche Einrichtungen nach Anhang I riskieren Wasserversorger nach § 65 BSIG-neu Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Die Geschäftsleitung haftet persönlich nach § 38 BSIG-neu. KRITIS-Verstöße können zusätzliche behördliche Anordnungen und Zwangsgelder nach sich ziehen.

Was bedeuten NIS2-Lieferkettenpflichten für Wasserversorger konkret?

§ 30 Abs. 2 Nr. 4 BSIG-neu verlangt Cybersicherheitsanforderungen an Zulieferer. Für Wasserversorger betrifft das Anbieter von SCADA-Systemen, Fernwirk- und Telemetrieplattformen, Wasserqualitätsüberwachungssoftware und Wartungsdienstleister. Die DVGW-Arbeitsblätter W 1060 und W 1065 geben ergänzende technische Anforderungen für Dienstleisterverträge vor.

Wann müssen Wasserversorger beim BSI registrieren?

Nach § 33 BSIG-neu ist die Registrierung innerhalb von drei Monaten nach Feststellung der NIS2-Betroffenheit verpflichtend. Für Unternehmen, die bereits bei Inkrafttreten des BSIG-neu die Kriterien erfüllen, gilt eine dreimonatige Übergangsfrist. KRITIS-Betreiber müssen sich zusätzlich nach § 8a BSIG beim BSI als kritische Infrastruktur melden.

Gilt NIS2 auch für kommunale Zweckverbände in der Wasserversorgung?

Ja. Kommunale Zweckverbände, die Trinkwasser bereitstellen, sind Betreiber wesentlicher Dienste nach NIS2, sofern die Versorgungsschwelle überschritten ist. Rechtsform (Verband, GmbH, Eigenbetrieb) ist irrelevant; entscheidend ist die operative Funktion. Verbände sollten prüfen, ob ihre IT-Systeme und Steuerungsanlagen gemeinsam oder bei einem externen Dienstleister betrieben werden, da dies die Einrichtungseigenschaft beeinflussen kann.

Branchengenauer Self-Check

Ist mein Wasserversorger von NIS2 betroffen?

Stadtwerke, Zweckverbände, private Versorger: NIS2 greift früh, KRITIS ab 22 Mio. m³ pro Jahr.

Schritt 1 / 2

Versorgungsstruktur und Betriebsart

NIS2 Anhang I Nr. 6 erfasst Betreiber der Trinkwasserversorgung. Kreuze an, was auf deinen Betrieb zutrifft.

Öffentliche Trinkwasserversorgung an EndkundenHaushalte, Gewerbe, Industrie - gegen Entgelt oder kommunale TrägerschaftZentrale Aufbereitung und VerteilnetzWasserwerke, Hochbehälter, Pumpwerke, Leitungsnetz mit FernwirktechnikProzessautomatisierung / SCADA-System im EinsatzFernüberwachung, automatische Steuerung von Pumpen/Schiebern/AufbereitungJahres-Fördermenge über 5 Mio. m³Indikator für überörtliche Bedeutung - bei 22 Mio. m³ greift KRITIS

Schritt 2 / 2

Unternehmensgröße

Wasserversorger: Der vollständige NIS2-Leitfaden

Wasserversorger und Abwasserbetriebe sind nach NIS2-Anhang I Nr. 8 (Trinkwasser) und Anhang I Nr. 9 (Abwasser) als Wesentliche Einrichtung eingestuft - ohne Umsatzschwelle. Bereits ein kommunaler Wasserversorger, der mehr als 50.000 Menschen versorgt, ist KRITIS und damit der höchsten NIS2-Pflichtklasse zugeordnet. Dieser Leitfaden richtet sich an technische Leiter, Geschäftsführer und IT-Verantwortliche bei Wasserversorgern.

Wer ist betroffen?

Trinkwasserversorger fallen unter NIS2-Anhang I Nr. 8, Abwasserbetriebe unter NIS2-Anhang I Nr. 9. Die Schwelle: Versorger mit mehr als 50.000 versorgten Personen sind KRITIS (BSI-KritisV § 2 Nr. 24). Diese Betriebe sind Wesentliche Einrichtung nach § 28 Abs. 1 BSIG-neu.

Kleinere Versorger zwischen 50 und 50.000 versorgten Personen fallen unter NIS2-Anhang II - sofern sie mindestens 50 Mitarbeitende oder 10 Mio. EUR Umsatz haben. Sie sind dann Wichtige Einrichtung.

Ein kommunaler Wasserversorger mit 80.000 Einwohnern im Versorgungsgebiet ist Wesentliche Einrichtung nach NIS2-Anhang I. Für ihn gelten die strengsten Pflichten und höchsten Bußgelder.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu listet sieben Pflichtkategorien, die für Wasserversorger durch den 24/7-Betrieb und die direkten Auswirkungen auf die öffentliche Gesundheit besonders relevant sind:

Risikoanalyse und -management: Prozessleitsysteme (SCADA/DCS), Pumpsteuerungen, Chlorierungsanlagen, Fernwirktechnik und Laborinformationssysteme müssen bewertet werden.
Incident Handling: Ein Cyberangriff auf die Chlorierungssteuerung ist ein unmittelbarer Gesundheitsschutzvorfall. Der Incident-Response-Prozess muss regulatorische Eskalation (BSI, Gesundheitsamt, Behörden) einschließen.
Business Continuity: 24/7-Wasserversorgung muss auch bei IT-Ausfall gewährleistet sein. Manuelle Steuerungsverfahren und redundante Kommunikationswege müssen dokumentiert sein.
Supply-Chain-Sicherheit: Systemintegratoren, Fernwirktechnik-Anbieter und Laborsoftware-Hersteller müssen auf Sicherheitsstandards geprüft werden. Vertragsklauseln nach § 30 Abs. 2 Nr. 4 BSIG-neu sind Pflicht.
Zugangskontrolle und MFA: Zugang zu Prozessleitsystemen und Fernwirktechnik muss durch MFA gesichert sein. Insbesondere: kein ungesicherter Remote-Zugriff auf Pumpensteuerungen.
Verschlüsselung: Steuerungsdaten, Betriebsprotokolle und Kundendaten müssen verschlüsselt übertragen und gespeichert werden.
Schulung und Awareness: Betriebstechniker, Disponenten und Verwaltung müssen regelmäßig zu Cybersicherheit geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu binnen drei Monaten. Für Sicherheitsvorfälle nach § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Für Wesentliche Einrichtungen in der Trinkwasserversorgung gilt: Jeder Cyberangriff auf Chlorierungs- oder Aufbereitungssteuerungen ist ein kritischer Vorfall mit Meldepflicht binnen 24 Stunden. Parallel ist das zuständige Gesundheitsamt zu informieren.

Bußgelder und persönliche Haftung

Wesentliche Einrichtung (Anhang I): bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Für kommunale Betriebe ohne internationalen Umsatz: 2 % des Gesamtumsatzes.

§ 38 BSIG-neu: Persönliche Haftung der Geschäftsführung für schuldhaft versäumte NIS2-Pflichten. In Kombination mit wasserrechtlicher Haftung (WHG, TrinkwV) und der Haftung gegenüber der Allgemeinheit bei Versorgungsunterbrechungen ist das persönliche Risiko erheblich.

DVGW-W1060 und NIS2: die Überlappung verstehen

Der DVGW-Arbeitsblatt W1060 "Informationssicherheit für die Wasser- und Abwasserwirtschaft" ist seit 2021 der Branchenstandard für IT-Sicherheit in der Wasserversorgung. Er beschreibt Anforderungen an Informationssicherheits-Management-Systeme (ISMS) speziell für Wasserversorger.

Die Überlappung mit NIS2 ist erheblich: Beide Regelwerke fordern Risikoanalyse, Notfallplanung, Supply-Chain-Bewertung und Incident Handling. Wer W1060-konform ist, erfüllt damit bereits wesentliche Teile der NIS2-Anforderungen nach § 30 BSIG-neu.

Wichtige Unterschiede: NIS2 fügt Meldepflichten an das BSI hinzu, die im W1060 so nicht vorgesehen sind. Außerdem bringt NIS2 die persönliche Geschäftsführerhaftung (§ 38 BSIG-neu), die im W1060 nicht adressiert wird. Für Wasserversorger, die bereits W1060 umsetzen, empfiehlt sich eine Gap-Analyse zwischen W1060-Konformität und NIS2-Anforderungen.

Erste Schritte

Bestimme deine Einordnung: Wesentliche Einrichtung (Anhang I, >50.000 Versorgungseinheiten) oder Wichtige Einrichtung (Anhang II, KMU-Schwellen)?
Kartiere alle vernetzten Steuerungssysteme: SCADA, Fernwirktechnik, Chlorierungssteuerung, Pumpstationen-Remote-Zugänge.
Führe eine W1060/NIS2-Gap-Analyse durch, wenn W1060-Implementierung bereits begonnen hat.
Überprüfe alle Remote-Zugänge auf Netzwerksteuerungssysteme.
Erstelle einen Incident-Response-Plan, der BSI-Meldung, Gesundheitsamt-Eskalation und Medien-Kommunikation umfasst.
Prüfe Lieferantenverträge auf Sicherheitsanforderungen.
Registriere dich beim BSI.

Typische Fehler vermeiden

OT-Systeme als nicht-IT behandelt: Pumpensteuerungen und SCADA-Systeme sind IT im NIS2-Sinne. Wer sie aus der Risikoanalyse ausnimmt, hat eine gefährliche Lücke.

Fernwirktechnik ohne VPN und MFA: Viele ältere Fernwirksysteme verwenden proprietäre Protokolle ohne starke Authentifizierung. Das ist unter NIS2 nicht mehr akzeptabel.

W1060 als ausreichend bewertet: W1060-Konformität erfüllt viele, aber nicht alle NIS2-Anforderungen. Die Meldepflichten und Geschäftsführerhaftung kommen zusätzlich.

BSI-Registrierung als Formalität unterschätzt: Die Registrierung löst den Pflichtenzyklus aus. Wer sich zu spät registriert, setzt sich dem Vorwurf aus, Pflichten bewusst verzögert zu haben.

Nutze den branchengenauen NIS2-Rechner für Wasserversorger, um deine Einordnung zu überprüfen.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist mein Wasserversorger von NIS2 betroffen?

Wasserversorger: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

DVGW-W1060 und NIS2: die Überlappung verstehen

Erste Schritte

Typische Fehler vermeiden

Häufig gestellte Fragen

01Ab wann gilt ein Wasserversorger als NIS2-pflichtig?

02Was ist der Unterschied zwischen NIS2 und KRITIS für Wasserversorger?

03Welche Schutzpflichten gelten für Leitsysteme bei Wasserversorgern nach NIS2?

04Welche Bußgelder drohen Wasserversorgern bei NIS2-Verstößen?

05Was bedeuten NIS2-Lieferkettenpflichten für Wasserversorger konkret?

06Wann müssen Wasserversorger beim BSI registrieren?

07Gilt NIS2 auch für kommunale Zweckverbände in der Wasserversorgung?