Sind wir Trinkwasserversorger im Sinne von NIS 2?
Anhang I Sektor 6 NIS 2 erfasst Lieferanten und Verteiler von Wasser für den menschlichen Gebrauch. Die Größenschwelle ist mittleres Unternehmen oder größer. Die KRITIS Schwelle von 22 Millionen Kubikmeter pro Jahr ist ein separates, strengeres Regime, das obendrauf kommt.
Die Kurzfassung
NIS 2 nennt Trinkwasser in Anhang I Sektor 6. Was Trinkwasser ist, definiert die Richtlinie (EU) 2020/2184 (Neufassung Trinkwasserrichtlinie): Wasser für den menschlichen Gebrauch, geliefert über ein Verteilungsnetz oder per Tankwagen, sowie Wasser, das zur Lebensmittelproduktion verwendet wird. Wer dieses Wasser liefert oder verteilt, ist im Sektor.
Artikel 2(1) NIS 2 ergänzt den Größentest: mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz und Jahresbilanz, gemessen nach Empfehlung 2003/361/EG. Ein städtischer Wasserversorger, ein Zweckverband oder die Wassersparte eines Stadtwerks liegt fast immer deutlich darüber. Das KRITIS Regime greift erst ab 22 Millionen Kubikmetern pro Jahr und damit weit oberhalb der NIS 2 Schwelle.
Deutschland setzt das über §28 BSIG um. Die KRITIS Verordnung regelt die 22 Millionen Kubikmeter Schwelle für das deutsche KRITIS Regime separat. Die meisten deutschen Trinkwasserversorger sind NIS 2 Einrichtungen, aber keine KRITIS Betreiber. Beide Ebenen sind unabhängig. Unter der KRITIS Schwelle zu liegen entfernt NIS 2 nicht.
NIS 2 Richtlinie (2022/2555), Anhang I Sektor 6 Trinkwasser
Lieferanten und Verteiler von Wasser für den menschlichen Gebrauch im Sinne von Artikel 2 Nummer 1 der Richtlinie (EU) 2020/2184 des Europäischen Parlaments und des Rates, mit Ausnahme von Verteilern, für die die Verteilung von Wasser für den menschlichen Gebrauch nur ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit des Vertriebs anderer Erzeugnisse und Waren ist.
Der Sektortest ist binär. Wer Trinkwasser als Kerntätigkeit liefert oder verteilt, ist im Sektor 6. Die Ausnahme ist eng gefasst und betrifft Händler und Logistiker, die nebenher Trinkwasser weiterreichen. Wasserversorger, Wasserverbände, Zweckverbände oder Wassersparten von Stadtwerken fallen nicht unter diese Ausnahme.
Artikel 2(1) NIS 2 plus Empfehlung 2003/361/EG plus KRITIS Verordnung
Diese Richtlinie gilt für öffentliche oder private Einrichtungen, die einer der in Anhang I oder II genannten Arten von Einrichtungen angehören und die als mittlere Unternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG einzustufen sind oder die in Absatz 1 jenes Artikels vorgesehenen Obergrenzen für mittlere Unternehmen überschreiten.
Der Größentest ist mittleres Unternehmen oder größer: mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz und Jahresbilanz. KRITIS hat einen eigenen sektorspezifischen Schwellenwert für Trinkwasser: mehr als 22 Millionen Kubikmeter pro Jahr, festgelegt in der KRITIS Verordnung. KRITIS Schwellen entscheiden nicht über NIS 2.
§28 BSIG (Deutschland)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
§28 BSIG ist der deutsche Einstieg in NIS 2. Trinkwasser steht in Anlage 1 (besonders wichtige Sektoren). Wer die Schwelle der KRITIS Verordnung von 22 Millionen Kubikmetern pro Jahr überschreitet, wird zusätzlich Betreiber einer kritischen Anlage mit dreijährigem Auditzyklus nach §65 BSIG. Unterhalb dieser Schwelle ist ein Trinkwasserversorger trotzdem besonders wichtige Einrichtung im Sinne von NIS 2.
Liefert oder verteilt Ihr Trinkwasser?
Trinkwasser ist Wasser für den menschlichen Gebrauch nach Artikel 2(1) Richtlinie (EU) 2020/2184. Das umfasst Wasser aus dem öffentlichen Verteilungsnetz, Wasser aus Tankwagen und Wasser zur Lebensmittelproduktion. Wer dieses Wasser gewinnt, aufbereitet, liefert oder verteilt, ist im Sektor 6. Hersteller von abgefülltem Mineralwasser sind keine Trinkwasserversorger im Sinne von Sektor 6.
Seid Ihr mindestens mittleres Unternehmen?
Mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz und Jahresbilanz. Die Schwellen kommen aus Empfehlung 2003/361/EG. Öffentliche Trägerschaft ändert den Test nicht. Ein Zweckverband oder kommunaler Versorger zählt Beschäftigte und Umsatz genauso wie eine private GmbH.
Überschreitet Ihr 22 Millionen Kubikmeter pro Jahr?
Die KRITIS Verordnung kennt für Trinkwasser einen einzigen Schwellenwert: mehr als 22 Millionen Kubikmeter Wasserabgabe pro Jahr. Wer darüber liegt, fällt zusätzlich unter KRITIS: dreijähriger unabhängiger Audit nach §65 BSIG, erweiterte Meldepflichten, Eintragung als Betreiber einer kritischen Anlage. Unterhalb dieser Schwelle gilt allein NIS 2. Rund 80 Prozent der deutschen Trinkwasserversorger liegen unter der KRITIS Schwelle, aber innerhalb von NIS 2.
Die Nebentätigkeitsausnahme ist eng
Anhang I Sektor 6 nimmt Verteiler aus, für die Trinkwasser nur ein nicht wesentlicher Teil ihres allgemeinen Vertriebs anderer Erzeugnisse ist. Diese Klausel ist für Händler und Logistiker gedacht, die abgefülltes Wasser neben anderen Waren weitergeben. Sie befreit weder einen Wasserversorger noch eine Wassersparte eines Stadtwerks. Sobald Trinkwasser eine eigene Geschäftstätigkeit ist, greift die Ausnahme nicht.
Trinkwasser plus Abwasser plus Strom ist eine NIS 2 Einrichtung
Ein kommunaler Versorger, der Trinkwasser liefert, Abwasser behandelt und ein Stromnetz betreibt, berührt drei Anhang I Sektoren auf einmal. Innerhalb einer juristischen Person bleibt das eine NIS 2 Pflicht. Eine Registrierung beim BSI. Eine Freigabe durch die Geschäftsleitung. Ein Risikoregister, das OT und IT aller drei Sparten umfasst. Eine Aufteilung pro Sparte erzeugt doppelte Arbeit und Lücken an den Schnittstellen.
BSI / §28 BSIG und KRITIS Verordnung
Das BSI ist die Cyberbehörde für Trinkwasser. Es betreibt das Registrierungsportal nach §33 BSIG, nimmt Meldungen erheblicher Sicherheitsvorfälle nach §32 BSIG entgegen und veröffentlicht den branchenspezifischen Sicherheitsstandard Wasser. Bei KRITIS Pflicht ist das BSI auch Adressat des dreijährigen Auditnachweises nach §65 BSIG.
Umweltbundesamt und Gesundheitsämter
Die Wasserqualität liegt nicht beim BSI, sondern beim Umweltbundesamt und den Gesundheitsämtern auf Basis der Trinkwasserverordnung, die die Richtlinie (EU) 2020/2184 umsetzt. NIS 2 ändert daran nichts. Die Cyberpflichten nach §28 BSIG laufen parallel zu den Qualitätspflichten nach der Trinkwasserverordnung.
ENISA Technical Implementation Guidance
Die TIG der ENISA behandelt Anhang I Sektor 6 ausdrücklich. Sie erläutert, wie der Katalog aus Artikel 21 auf Trinkwasserversorger anzuwenden ist, und stellt die Verbindung zu bestehenden ISO 27001 oder NIST CSF 2.0 Arbeiten über die offizielle TIG Mappingtabelle her. Wer bereits ein ISMS betreibt, hat einen dokumentierten Übergang zu NIS 2 Evidenzen.
Trinkwasserversorger in anderen Ländern
Andere Mitgliedstaaten übernehmen den Sektor identisch (Anhang I ist EU Recht). Österreich setzt das über NISG um, die Niederlande über das Cyberbeveiligingswet, Belgien über das NIS2 Wet. Was sich unterscheidet, ist die zuständige Behörde und der zeitliche Rhythmus eines sektorbezogenen Audits. Die 22 Millionen Kubikmeter Schwelle ist eine deutsche KRITIS Regel, keine EU NIS 2 Regel.
Wir liegen weit unter 22 Millionen Kubikmetern pro Jahr, also gilt NIS 2 für uns nicht.
Die Schwelle von 22 Millionen Kubikmetern entscheidet über KRITIS, nicht über NIS 2. Ein Wasserverband mit 4 Millionen Kubikmetern pro Jahr liegt unterhalb KRITIS, ist aber NIS 2 Einrichtung nach Anhang I Sektor 6 und §28 BSIG, mit dem vollen Katalog aus Artikel 21, Registrierungspflicht nach §33 BSIG und Meldepflichten nach §32 BSIG. NIS 2 beginnt bei 50 Beschäftigten oder 10 Millionen Euro, nicht bei einem Volumenwert.
Wir füllen Mineralwasser für den Einzelhandel ab, also sind wir Trinkwasserversorger nach NIS 2.
Anhang I Sektor 6 erfasst Lieferanten und Verteiler von Wasser für den menschlichen Gebrauch im Sinne der Richtlinie (EU) 2020/2184. Diese Richtlinie regelt die öffentliche Wasserversorgung, nicht abgefülltes Mineralwasser. Abfüller sind Lebensmittelhersteller, keine Trinkwasserversorger nach Sektor 6. NIS 2 kann über einen anderen Sektor greifen (Lebensmittelproduktion in Anhang II), aber nicht über Sektor 6.
Wir sind ein kleines Wasserwerk in kommunaler Hand, damit ist die Richtlinie nicht gemeint.
Anhang I gilt für öffentliche oder private Einrichtungen. Kommunale Trägerschaft befreit ein Wasserwerk nicht. Die einzige Ausnahme der NIS 2 betrifft Funktionen der nationalen Sicherheit und Verteidigung. Ein Wasserwerk mit 60 Beschäftigten in einem Zweckverband ist nach §28 BSIG besonders wichtige Einrichtung wie ein privater Versorger auch.
Ein typischer kleiner deutscher Wasserversorger mit 80 Beschäftigten und 6 Millionen Kubikmetern Trinkwasserabgabe pro Jahr für rund 40.000 Haushalte liegt eindeutig im NIS 2 Anwendungsbereich nach Anhang I Sektor 6. Der Größentest ist deutlich erfüllt. KRITIS greift nicht, der dreijährige Audit nach §65 BSIG entfällt. §28, §30, §32 und §33 BSIG gelten dagegen vollständig: Registrierung beim BSI, Maßnahmenkatalog aus Artikel 21, Freigabe durch die Geschäftsleitung, Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 und 72 Stunden.
Das Risikoregister muss OT und SCADA in Wasserwerk, Aufbereitungsanlagen, Netztelemetrie, Kundenabrechnung und Cloud Monitoring zusammen abbilden. Die Lieferkettenmaßnahmen nach Artikel 21(2)(d) müssen den Chemikalienlieferanten und den SCADA Hersteller einschließen. Nichts davon hängt an den 22 Millionen Kubikmetern. Die KRITIS Schwelle ist eine separate, strengere Ebene, die fast kein deutsches Wasserwerk erreicht.
Der Anwendungsbereichscheck fragt Schritt für Schritt: liefert oder verteilt Ihr Trinkwasser im Sinne der Richtlinie (EU) 2020/2184, wie viele Beschäftigte, welcher Umsatz, welches Jahresvolumen in Kubikmetern. Er liefert ein sauberes Ergebnis für §28 BSIG und ein separates Ergebnis für die KRITIS Verordnung. Die zwei Ebenen werden nicht vermischt.
Das Assetmodul bildet das OT Inventar über Wasserwerk, Netz und Telemetrie an einer Stelle ab. Das Risikoregister sitzt auf diesem Inventar, sodass SCADA in der Aufbereitungsanlage und die Abrechnungs IT in einem Compliance Bild liegen. Falls der Versorger später die KRITIS Schwelle überschreitet, übernimmt der dreijährige Auditzyklus dieselben Nachweise ohne Parallelsystem.
- Richtlinie (EU) 2022/2555 (NIS 2), Anhang I Sektor 6 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 2(1) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Richtlinie (EU) 2020/2184 (Neufassung Trinkwasserrichtlinie), Artikel 2(1) — eur-lex.europa.eu/eli/dir/2020/2184/oj
- Empfehlung 2003/361/EG der Kommission betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen
- BSI Gesetz (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) und §33 (Registrierung) in der Fassung des NIS2 Umsetzungs und Cybersicherheitsstärkungsgesetzes
- KRITIS Verordnung (BSI Kritisverordnung), Anlage 1 — Schwellenwert 22 Millionen Kubikmeter pro Jahr für den Sektor Trinkwasser
- BSI branchenspezifischer Sicherheitsstandard Wasser/Abwasser
- Trinkwasserverordnung (deutsche Umsetzung der Richtlinie (EU) 2020/2184)