W 1060 Merkblatt 09/2024
IT-Sicherheit - Branchenstandard Wasser/Abwasser
- Herausgeber/Verlag: DVGW
- Format: 19 Seiten
- Ausgabe: 3. Auflage 2024
- Verkaufseinheit: 1
- Mindestabnahme: 1
- Artikel-Nr.: 512563
61,25 €*
Das DVGW-Merkblatt W 1060 stellt in Verbindung mit dem "B3S WA-Sicherheitskompendium" den branchenspezifischen Sicherheitsstandard für den Sektor Wasser mit den Branchen Trinkwasserversorgung und Abwasserbeseitigung dar.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) die Eignung dieses branchenspezifischen Sicherheitsstandards für den Sektor Wasser gemäß § 8 a (2) BSIG festgestellt.
Vor dem Hintergrund verstärkter Cyberangriffe hat die Thematik IT-Sicherheit für die Betreiber kritischer Infrastrukturen eine hohe Brisanz. Stellen Sie sicher, dass die IT-Infrastruktur Ihrer Wasserversorgungs- und Abwasserentsorgungsanlagen vor Ausfall und Manipulation geschützt ist.
Dieses Merkblatt W 1060 wurde in Zusammenarbeit mit der DWA erarbeitet.
Der branchenspezifische Sicherheitsstandard für den Sektor Wasser dient als Grundlage für die Risikoabschätzung und die Durchführung von Maßnahmen zum Schutz der informationstechnischen Systeme, Komponenten, Prozesse und Daten von Wasserversorgungs- und Abwasserentsorgungsanlagen, unabhängig davon, ob eine Anlage gemäß BSI-Kritisverordnung (BSI-KritisV) als kritische Infrastruktur eingestuft ist oder nicht.
Gegenüber DVGW-Merkblatt W 1060 Ausgabe 04/2022 wurden folgende Änderungen vorgenommen:
- Anpassung an Struktur und Inhalt des B3S WA-Sicherheitskompendium
- redaktionelle Überarbeitung
Wasserversorgungs- und Abwasserentsorgungsanlagen sind grundsätzlich kritische Infrastrukturen. Betreiber von Wasserversorgungs- und Abwasserentsorgungsanlagen müssen über leistungsfähige Einrichtungen, qualifiziertes Personal (siehe DVGW-Arbeitsblatt W 1000) und gut funktionierende Qualitätssicherungsmaßnahmen verfügen und/oder Leistungen sachgerecht beauftragen und deren Ausführung überwachen. Sie müssen auch über eine Organisation verfügen, die einen sicheren, zuverlässigen, umweltbezogenen und wirtschaftlichen Betrieb gewährleistet.
Zur Realisierung dieser Anforderungen ist ein auf die einzelnen Prozessschritte in der Trinkwasserversorgung und Abwasserbeseitigung, wie sie im DVGW- und DWA-Regelwerk niedergelegt sind, gerichtetes risikobasiertes und prozessorientiertes Management zielführend, siehe DIN EN 15975-2 in Verbindung mit DVGW-Merkblatt W 1001 und DVGW-Arbeitsblatt W 1003.
Ein wesentlicher Teil des Risikomanagements für Wasserversorgungs- und Abwasserentsorgungsanlagen ist der Schutz der informationstechnischen Systeme, Komponenten und Prozesse vor Ausfall bzw. Manipulation. Dieser zielgerichtete Schutz dient der Risikoreduzierung und damit auch der Risikobeherrschung für eine sichere Daseinsvorsorge.
DVGW-Merkblatt W 1060 dient zusammen mit dem "B3S WA-Sicherheitskompendium" als branchenspezifischer Sicherheitsstandard der Identifikation notwendiger Schutzmaßnahmen gegen Bedrohungen der informationstechnischen Systeme, Komponenten oder Prozesse der Anlagen. Dadurch kann das Risiko einer Beeinträchtigung der Daseinsvorsorge aufgrund einer abstrakten, d. h. einer nach den vorliegenden Erkenntnissen möglichen Gefahr, reduziert werden. Im Falle einer konkreten, d. h. einer in einem einzelnen Fall bestehenden Gefahr, können die ergriffenen Schutzmaßnahmen auf ihre Wirksamkeit hin eingeordnet werden. Darüber hinaus sind noch sehr selten eintretende, schwerlich vorhersehbare und daher auch nicht planbare Situationen denkbar, die vom Betreiber nicht mit der normalen Organisationsstruktur beherrscht werden können. Das Auftreten solcher Krisensituationen ist auch nach der Durchführung von Maßnahmen zur IT-Sicherheit möglich. Unter Würdigung aller betriebsrelevanten Randbedingungen müssen dann sachgerechte Entscheidungen getroffen werden. Hinweise dazu sind in DIN EN 15975-1 in Verbindung mit DVGW-Merkblatt W 1001 enthalten.
W 1060 gilt für die Ermittlung von Maßnahmen zum Schutz der informationstechnischen Systeme, Komponenten oder Prozesse, der für die Erbringung der kritischen Dienstleistungen Trinkwasserversorgung und Abwasserbeseitigung notwendigen Anlagen, im Rahmen des Risikomanagements unter Berücksichtigung der Anforderungen aus dem BSIG und der BSI-KritisV, unabhängig davon, ob die Systeme vom Unternehmen selber betrieben oder in Teilen oder vollständig an Dienstleister vergeben sind. Hierbei wird ein All-Gefahrenansatz zugrunde gelegt.
Dieses Merkblatt umfasst keine Aspekte des Datenschutzes. Weitergehende Aspekte des Objektschutzes sind DVGW-Merkblatt W 1050 zu entnehmen. Ergänzende Hinweise zum Objektschutz sind in der DVGW-Information Wasser Nr. 80 enthalten. Nicht Gegenstand dieses Merkblattes sind die Meldepflichten gemäß § 8b (4) BSIG.