Sind wir Abwasserentsorger im NIS 2 Anwendungsbereich?
Anhang I Sektor 7 NIS 2 erfasst Unternehmen, die kommunales, häusliches oder industrielles Abwasser sammeln, ableiten oder behandeln. Der Größen-Test aus Artikel 2(1) ist die zweite Hürde. KRITIS ist ein strengeres Regime, das für die größten Anlagen darauf aufsetzt, aber NIS 2 nicht torsperrt.
Die Kurzfassung
Wer kommunales, häusliches oder industrielles Abwasser als Kerntätigkeit sammelt, ableitet oder behandelt, ist in Sektor 7 von Anhang I NIS 2. Die Richtlinie definiert die drei Abwasserarten über die Kommunalabwasserrichtlinie 91/271/EWG. Ein Satz aus Anhang I entscheidet die Sektorfrage.
Artikel 2(1) NIS 2 setzt zusätzlich den Größen-Test: mittleres Unternehmen oder größer, also mindestens 50 Beschäftigte, oder mehr als 10 Mio. Euro Umsatz und mehr als 10 Mio. Euro Bilanzsumme. Die meisten kommunalen Betreiber, die eine Anlage von praktischer Relevanz fahren, überschreiten diese Hürde, sobald Betrieb, Instandhaltung und Verwaltung zusammen gezählt werden.
Die KRITIS-Verordnung setzt eine separate, strengere Schwelle für das deutsche KRITIS-Regime: ein Einwohnerwert von 500.000 für die Abwasserbehandlung. Eine Anlage unter diesem Wert ist nicht KRITIS, aber sehr wohl NIS 2 Einrichtung nach §28 BSIG. Das KRITIS-Regime kommt oben drauf. Es ersetzt NIS 2 nicht und sperrt es nicht.
NIS 2 Richtlinie (EU) 2022/2555, Anhang I Sektor 7 Abwasser
Undertakings collecting, disposing of or treating urban waste water, domestic waste water or industrial waste water as defined in point (1), (2) and (3) of Article 2 of Council Directive 91/271/EEC, excluding undertakings for which collecting, disposing of or treating urban waste water, domestic waste water or industrial waste water is a non-essential part of their general activity.
Drei Punkte genau lesen. Erstens kommen die Definitionen der Abwasserarten aus der Kommunalabwasserrichtlinie 91/271/EWG, nicht aus NIS 2 selbst. Zweitens zählen alle drei Arten: kommunal, häuslich, industriell. Drittens greift die einzige Ausnahme nur, wenn Abwasser eine nicht wesentliche Nebentätigkeit ist. Wer Abwasserbehandlung oder -ableitung zur Kernaufgabe hat, ist in Sektor 7.
Artikel 2(1) NIS 2 plus Empfehlung 2003/361/EG
Diese Richtlinie gilt für öffentliche oder private Einrichtungen einer in Anhang I oder Anhang II genannten Art, die als mittlere Unternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG gelten oder die in Absatz 1 jenes Artikels vorgesehenen Schwellenwerte für mittlere Unternehmen überschreiten.
Mittleres Unternehmen heißt mindestens 50 Beschäftigte, oder mehr als 10 Mio. Euro Umsatz und mehr als 10 Mio. Euro Bilanzsumme. Der Test gilt für die juristische Person, die die Abwassertätigkeit führt. Ein Zweckverband, eine Stadtwerk-Tochter, ein Eigenbetrieb oder ein privater Betreiber werden hier gleich behandelt, sobald sie den Größen-Test bestehen.
§28 BSIG (Deutschland) plus KRITIS-Verordnung
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
§28 BSIG ist die deutsche Eingangstür in NIS 2. Anlage 1 listet die besonders wichtigen Einrichtungsarten, Anlage 2 die wichtigen. Abwasser steht in dieser Liste. Eine Anlage, die zugleich die KRITIS-Schwelle von 500.000 Einwohnerwerten aus der KRITIS-Verordnung überschreitet, ist Betreiber einer Kritischen Anlage und landet zusätzlich in der besonders wichtigen Kategorie.
Sammeln, leiten oder behandeln Sie Abwasser als Kerntätigkeit?
Die drei Kategorien aus Richtlinie 91/271/EWG durchgehen. Kommunales Abwasser ist die Mischung aus häuslichem Abwasser mit industriellem Abwasser oder Niederschlagswasser. Häusliches Abwasser kommt aus Wohngebäuden. Industrielles Abwasser kommt aus der Produktion. Fließt eines davon durch Ihre Kanalisation, Ihre Pumpwerke oder Ihre Kläranlage als Kerntätigkeit, sind Sie in Sektor 7.
Sind Sie mindestens ein mittleres Unternehmen?
Mindestens 50 Beschäftigte, oder mehr als 10 Mio. Euro Umsatz und mehr als 10 Mio. Euro Bilanzsumme. Die ganze juristische Person zählt, nicht die Anlage isoliert. Ein Zweckverband mit 65 Beschäftigten über Betrieb, Labor und Verwaltung besteht den Test, auch wenn die Anlage selbst mit kleiner Nachtschicht läuft. Unterhalb der Hürde holt Artikel 2(2) einen schmalen Kreis trotzdem in den Anwendungsbereich, aber die Regel für Sektor 7 ist der Größen-Test.
Überschreiten Sie die KRITIS-Schwelle von 500.000 Einwohnerwerten?
Die KRITIS-Verordnung setzt die deutsche Schwelle für Abwasser auf einen Einwohnerwert von 500.000. Wer das überschreitet, ist zusätzlich Betreiber einer Kritischen Anlage, mit dem dreijährigen Nachweiszyklus nach §65 BSIG und der strengeren Einstufung. Die meisten kommunalen Anlagen in Deutschland liegen deutlich unter 500.000 EW. Sie sind nicht KRITIS, aber sie sind NIS 2 Einrichtungen nach §28 BSIG.
Abwasser als Nebenprodukt fällt nicht in Sektor 7
Die Ausnahme in Anhang I ist eindeutig. Wenn Abwasserbehandlung eine nicht wesentliche Nebentätigkeit ist (eine betriebliche Vorbehandlung im Werk, ein Ölabscheider in der Tiefgarage, eine kleine Kleinkläranlage an einem entlegenen Standort), ist der Betreiber nicht über Sektor 7 erfasst. Der Werksbetrieb selbst kann über einen anderen Sektor in Anhang I oder II in NIS 2 fallen. Die Abwassertätigkeit ist es, die hier außen vor bleibt, nicht die juristische Person.
Im Stadtwerk ist Abwasser einer von mehreren Sektoren
Ein Stadtwerk führt oft Strom, Trinkwasser und Abwasser unter einer juristischen Person. NIS 2 behandelt das trotzdem als eine Einrichtung mit einer Registrierung. Die Abwassertätigkeit bekommt keine eigene Akte. Risikoregister, Asset-Modul und Vorfallmeldung decken alle Sektoren zusammen ab. Für die vollständige Mehrsektoren-Sicht siehe den Stadtwerk-Artikel.
BSI nach §28, §32 und §33 BSIG
Das BSI ist die Cyber-Aufsicht für Abwasser nach §28 BSIG. Es betreibt das Registrierungsportal nach §33 BSIG, nimmt erhebliche Vorfälle nach §32 BSIG entgegen und nimmt für KRITIS-Betreiber über 500.000 EW alle drei Jahre die Nachweise nach §65 BSIG entgegen. Für Betreiber unter der KRITIS-Schwelle gibt es keine Nachweispflicht, aber Registrierung und Meldungen gelten weiter.
Umweltbundesamt und B3S Wasser/Abwasser
Das Umweltbundesamt und die Branchenverbände (DWA, BDEW) pflegen den branchenspezifischen Sicherheitsstandard für Wasser und Abwasser (B3S Wasser/Abwasser). Das BSI erkennt den B3S nach §31 BSIG als geeigneten Standard für KRITIS-Betreiber an. Nicht-KRITIS NIS 2 Betreiber sind nicht verpflichtet, ihm zu folgen, nutzen ihn in der Praxis aber als Arbeitsdrehbuch.
Bundesländer (Wasserbehörden)
Die Umweltseite des Abwassers (Einleitgenehmigungen, Behandlungsqualität, Klärschlamm) liegt bei den Landesbehörden für Wasserwirtschaft nach Landeswasserrecht. NIS 2 ändert daran nichts. Die Landeswasserbehörde ist ein anderes Gespräch als das BSI. Ein Cybervorfall mit Umweltauswirkung kann Meldungen in beide Linien auslösen.
ENISA Technical Implementation Guidance
Die TIG der ENISA deckt Sektor 7 ausdrücklich ab und mappt den Maßnahmenkatalog aus Artikel 21 auf ISO 27001 und NIST CSF 2.0. Betreiber mit bestehendem Umweltmanagementsystem haben einen Teilvorsprung. Die TIG ist nicht bindend, aber sie ist die EU-weite Referenz dafür, was geeignet und verhältnismäßig nach Artikel 21(1) bedeutet.
Wir behandeln unser eigenes Werksabwasser vor Ort, also sind wir Sektor 7 Betreiber.
Anhang I Sektor 7 nimmt Betreiber aus, bei denen die Abwassertätigkeit ein nicht wesentlicher Teil der allgemeinen Tätigkeit ist. Eine betriebliche Vorbehandlung im Chemiewerk macht das Chemiewerk nicht zum Sektor 7 Betreiber. Das Werk kann über einen anderen Sektor in Anhang I oder II in NIS 2 fallen (Chemie, Produktion, Lebensmittel), aber nicht über die Abwasserlinie.
Unsere Anlage liegt unter 500.000 EW, also gilt NIS 2 nicht.
Die Zahl 500.000 Einwohnerwerte ist die KRITIS-Schwelle aus der KRITIS-Verordnung. Sie torsperrt das KRITIS-Regime, nicht NIS 2. Eine Anlage mit 80.000 EW liegt unter KRITIS, ist aber ein typischer mittelständischer Abwasserentsorger über dem Größen-Test aus Artikel 2(1). Sie ist NIS 2 Einrichtung nach §28 BSIG mit dem vollen Maßnahmenkatalog aus Artikel 21, Registrierung und Meldepflichten.
Wir sind Eigenbetrieb der Kommune, also gilt NIS 2 nicht.
Anhang I erfasst öffentliche und private Einrichtungen. Die Rechtsform (Eigenbetrieb, Zweckverband, Anstalt des öffentlichen Rechts, GmbH) ändert den Sektor-Test nicht. Die einzige enge Ausnahme in NIS 2 betrifft Funktionen der nationalen Sicherheit und Verteidigung. Ein kommunaler Abwasserbetrieb gehört nicht dazu.
Ein typischer Abwasserentsorger, mit dem wir reden, fährt eine Kläranlage zwischen 80.000 und 200.000 Einwohnerwerten, ein Kanalnetz, ein paar Pumpwerke und ein kleines Labor. Die Belegschaft liegt zwischen 30 und 90. Die Rechtsform ist entweder Zweckverband, Eigenbetrieb oder GmbH der Kommune. KRITIS greift nicht. NIS 2 schon, über Anhang I Sektor 7 plus Größen-Test, plus §28 BSIG.
Das Risikoregister nach §30 BSIG muss SCADA der Kläranlage, Telemetrie der Pumpwerke, SIM-Karten in den Pegelsondern, Labor-IT und Büro-IT abdecken. Die Meldung nach §32 BSIG geht ans BSI. Die Registrierung nach §33 BSIG ist eine Einreichung für die juristische Person. Der B3S Wasser/Abwasser ist auch dort das Arbeitsdrehbuch, wo die Nachweispflicht nicht greift, weil er das Dokument ist, das das BSI kennt.
Der Anwendbarkeits-Check läuft die Definition aus Sektor 7 genau so durch, wie Anhang I sie schreibt: kommunal, häuslich, industriell, mit der Nebentätigkeits-Ausnahme als eigene Frage. Der Größen-Test aus Artikel 2(1) ist der zweite Schritt. Die KRITIS-Schwelle von 500.000 EW aus der KRITIS-Verordnung ist der dritte und wird als oben drauf dargestellt, nicht als Tor.
Das Asset-Modul erfasst SCADA, Telemetrie, Pumpwerke und Labor-IT in einer Inventur. Die B3S Wasser/Abwasser Maßnahmen passen in den Katalog aus Artikel 21(2) ohne parallele Liste. Wer die KRITIS-Schwelle überschreitet, bekommt den dreijährigen Nachweiszyklus nach §65 BSIG als separaten Workflow oben drauf, auf derselben Evidenzbasis.
- Richtlinie (EU) 2022/2555 (NIS 2), Anhang I Sektor 7 Abwasser — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 2(1) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Richtlinie 91/271/EWG des Rates über die Behandlung von kommunalem Abwasser, Artikel 2 Nummern (1), (2), (3)
- Empfehlung 2003/361/EG der Kommission zur Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen
- BSIG, §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (Nachweise) in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
- BSI-Kritisverordnung (KRITIS-Verordnung), Anhang 1 Teil 2 Wasser — Einwohnerwert 500.000 für die Abwasserbehandlung
- Branchenspezifischer Sicherheitsstandard Wasser/Abwasser (B3S), DWA und BDEW