NIS2 Trinkwasser: Welche Pflichten Wasserversorger 2026 erfüllen müssen.

Die Trinkwasserversorgung zählt zu den von der NIS2-Richtlinie regulierten Sektoren und unterliegt seit 2025 erweiterten Cybersicherheitspflichten. Für betroffene Betreiber heißt das konkret: Der unionsrechtliche Sanktionsrahmen reicht bis 10 Mio. EUR oder 2 Prozent Jahresumsatz, erhebliche Sicherheitsvorfälle lösen eine Frühwarnung binnen 24 Stunden aus, in Deutschland gelten Registrierungs- und Meldepflichten seit dem 6. Dezember 2025, und insgesamt betrifft NIS2 in Deutschland nach aktuellen Schätzungen rund 29.500 Unternehmen über alle Sektoren hinweg.

Für das Keyword NIS2 Trinkwasser ist die wichtigste Einordnung deshalb nicht abstrakt, sondern betrieblich. Die öffentliche Wasserversorgung wird in Deutschland von 5.599 Unternehmen getragen, mehr als 99 Prozent der Bevölkerung sind an das Verteilungssystem angeschlossen, und 2022 wurden in den großen berichtspflichtigen Wasserversorgungsgebieten 74,1 Millionen Menschen versorgt. Gerade weil Trinkwasser ein hochverfügbares Grundversorgungsgut ist, treffen NIS2-Pflichten hier auf SCADA-Systeme, Wasserwerke, Fernwirktechnik, Laborprozesse, physische Infrastruktur und erhebliche Anforderungen an Krisenkommunikation.

Wenn Sie zuerst den Rechtsrahmen sortieren möchten, sollten Sie die Überblicksseite zur NIS2-Richtlinie in Deutschland, den Beitrag zu den NIS2-Anforderungen nach Artikel 21, die Begriffe NIS2-Richtlinie und KRITIS sowie unsere NIS2-Schulung gemeinsam betrachten. Für Wasserversorger ist genau diese Verzahnung aus Recht, Betrieb, OT-Sicherheit und Schulung entscheidend.

NIS2 in der Trinkwasser-Branche: Überblick

NIS2 erfasst die Trinkwasserversorgung ausdrücklich. Anhang I der Richtlinie (EU) 2022/2555 nennt die Trinkwasserversorgung und -verteilung als wesentlichen Sektor, und die deutsche Umsetzung konkretisiert das in Anlage 1 BSIG: Erfasst sind Betreiber von Wasserversorgungsanlagen im Sinne von § 2 Nr. 3 TrinkwV. Das ist für die Branche wichtig, weil die Betroffenheit nicht bloß aus einer allgemeinen KRITIS-Nähe hergeleitet wird, sondern unmittelbar gesetzlich beschrieben ist.

Die eigentliche Herausforderung liegt aber in der Mehr-Ebenen-Regulierung. Trinkwasserversorger müssen nicht nur die allgemeinen NIS2-Pflichten aus § 30 BSIG aufbauen, sondern parallel die Trinkwasserverordnung, gegebenenfalls die BSI-KritisV und bei großen Anlagen zusätzliche KRITIS-Nachweise mitdenken. NIS2 ist in dieser Branche deshalb kein isoliertes IT-Projekt. Es ist ein Governance- und Betriebsprojekt für Leitung, Werkbetrieb, Leitwarte, Instandhaltung, Einkauf und Krisenkommunikation.

Ein zweiter Grund für die besondere Relevanz ist die technische Struktur der Branche. Wasserversorgung besteht nicht nur aus Büro-IT, sondern aus Gewinnung, Aufbereitung, Verteilung sowie Steuerung und Überwachung von Trinkwasser. Genau diese Bereiche nennt auch § 3 BSI-KritisV für den Sektor Wasser. Wer über NIS2 im Trinkwasser spricht, spricht deshalb immer auch über OT-Sicherheit, Fernwartung, Leittechnik, Mess- und Dosiersysteme, Netzsegmente, Pumpwerke, Behälter, Sensorik und die Frage, wie digitale Angriffe die physische Versorgung beeinträchtigen können.

Hinzu kommt die Erwartung an Verfügbarkeit und Vertrauen. Ein Ausfall im Trinkwassersektor betrifft nicht nur interne Prozesse, sondern die öffentliche Versorgung, Gesundheitsbehörden, kommunale Krisenstäbe und im Zweifel weite Teile einer Region. Diese Branchensituation verändert die Prioritäten unter NIS2: Meldewege, Krisenkommunikation, redundante Betriebsführung, sichere Fernzugriffe und belastbare Entscheidungsrechte der Geschäftsleitung sind hier wichtiger als ein rein formales Compliance-Handbuch.

Welche Trinkwasser-Unternehmen sind betroffen?

Betroffen sind nicht pauschal alle Unternehmen mit irgendeinem Wasserbezug. Die deutsche NIS2-Umsetzung zielt auf Betreiber von Wasserversorgungsanlagen im Sinne der Trinkwasserverordnung. Maßgeblich ist also nicht, ob ein Unternehmen Wasser „irgendwie nutzt“, sondern ob es eine Anlage betreibt, mit der Wasser für den menschlichen Gebrauch gewonnen, aufbereitet oder verteilt wird. Genau diese Abgrenzung ist in Stadtwerken, Beteiligungsstrukturen und Betriebsführungsmodellen oft der erste praktische Prüfpunkt.

Für die Betroffenheit reicht die Sektorzugehörigkeit allein noch nicht immer aus. Zusätzlich sind regelmäßig die Größenkriterien nach § 28 BSIG relevant. In der Praxis bedeutet das: Größere kommunale und privatwirtschaftliche Wasserversorger, regionale Wasserverbände, Stadtwerke mit eigenständiger Wassersparte und Betreiber größerer Verbundsysteme sind deutlich naheliegendere NIS2-Fälle als sehr kleine lokale Strukturen. Parallel dazu müssen Unternehmen prüfen, ob sie zusätzlich die KRITIS-Schwellen der BSI-KritisV erreichen.

Gerade im Trinkwasser ist außerdem die organisatorische Form entscheidend. Viele Versorger arbeiten in Verbundunternehmen, in denen Netzbetrieb, Wasserwerk, Leitstelle, Einkauf und IT nicht immer derselben juristischen Person zugeordnet sind. Andere lassen Teilbereiche durch Betriebsführer oder technische Dienstleister unterstützen. NIS2 fragt aber am Ende nach der verantwortlichen Einrichtung und nach klaren Zuständigkeiten. Wer diese Zuordnung nicht sauber dokumentiert, hat bereits vor dem eigentlichen Sicherheitskonzept ein Governance-Problem.

Für die Praxis ist diese Einteilung hilfreich:

Wenn Sie unsicher sind, ob Ihr Unternehmen als regulierter Trinkwasserversorger, als KRITIS-Betreiber oder nur als technischer Dienstleister einzuordnen ist, sollten Sie parallel die Begriffe NIS2-Richtlinie und KRITIS prüfen. Gerade in Ausschreibungen und internen Projekten wird die Grenze zwischen allgemeiner Daseinsvorsorge, NIS2-Betroffenheit und KRITIS-Pflichten häufig zu grob gezogen.

Spezifische NIS2-Anforderungen für Trinkwasser

Trinkwasserversorger müssen die allgemeinen NIS2-Risikomaßnahmen aus § 30 BSIG in eine versorgungsfeste Betriebslogik übersetzen. Dazu gehören Risikoanalyse, Sicherheitsvorfallbehandlung, Aufrechterhaltung des Betriebs, Backup-Management, Krisenmanagement, Lieferkettensicherheit, sichere Beschaffung und Entwicklung, Wirksamkeitsprüfung, grundlegende Cyberhygiene, Kryptografie, personelle Sicherheit, Zugriffskonzepte, Asset Management und der Einsatz von Multi-Faktor-Authentifizierung oder gesicherter Kommunikation, wo angemessen. Für Wasserversorger wird daraus keine abstrakte Liste, sondern eine konkrete Betriebsanforderung an Wasserwerke, Leitstellen und Netze.

Besonders wichtig ist die Verzahnung mit OT und Prozesssteuerung. In der Trinkwasserversorgung betreffen Sicherheitsmaßnahmen nicht nur Server und Endgeräte, sondern auch Fernwirkstationen, Leitsysteme, Mess- und Dosiertechnik, Pumpensteuerungen, Labor- und Qualitätsdaten, Funk- oder Mobilfunkanbindungen sowie die Fernwartung durch Hersteller und Integratoren. Genau deshalb lässt sich NIS2 im Trinkwasser nicht mit einer reinen Office-IT-Perspektive umsetzen. Das Risikomanagement muss den realen Betrieb von Gewinnung, Aufbereitung und Verteilung abbilden.

Ein zweiter Schwerpunkt ist die Meldepflicht. § 32 BSIG verlangt bei erheblichen Sicherheitsvorfällen eine frühe Erstmeldung innerhalb von 24 Stunden, eine Meldung binnen 72 Stunden und grundsätzlich eine Abschlussmeldung innerhalb eines Monats. Für Trinkwasserversorger kommt hinzu, dass parallel regelmäßig Gesundheitsbehörden, interne Krisenstäbe, technische Dienstleister, Laborpartner und kommunale Entscheidungsträger koordiniert werden müssen. Die eigentliche Schwierigkeit liegt daher nicht nur im Erkennen des Vorfalls, sondern in der schnellen Einordnung der Erheblichkeit und im geordneten Zusammenführen aller Fachrollen.

Ein dritter Schwerpunkt ist die Leitungspflicht. § 38 BSIG macht deutlich, dass die Verantwortung nicht beim IT-Leiter enden darf. Geschäftsleitungen müssen Maßnahmen billigen, überwachen und regelmäßig an Schulungen teilnehmen. In der Trinkwasserbranche ist diese Pflicht besonders relevant, weil Entscheidungen zu Abschaltungen, Ersatzbetrieb, öffentlicher Kommunikation, Notversorgung oder Beauftragung externer Hilfe typischerweise auf Leitungsebene eskalieren. Genau deshalb reicht eine generische Awareness-Schulung für diese Branche nicht aus.

Für die operative Priorisierung hilft diese Gegenüberstellung:

Wenn Sie diese Pflichten nicht nur auf Papier, sondern betrieblich belastbar aufsetzen wollen, ist eine spezialisierte NIS2-Schulung für Wasserversorger sinnvoller als eine allgemeine Security-Einführung. Für diese Branche müssen Recht, OT, Meldewege und Führungsverantwortung zusammen trainiert werden.

Branchenspezifische Herausforderungen

Die größte Herausforderung der Trinkwasserbranche ist die Untrennbarkeit von Cyber- und Versorgungssicherheit. Anders als in rein digitalen Branchen führt ein Sicherheitsvorfall hier nicht nur zu IT-Ausfall oder Datenverlust, sondern potenziell zu Störungen in Gewinnung, Aufbereitung oder Verteilung. Sicherheitsmaßnahmen dürfen den Betrieb nicht unkontrolliert beeinträchtigen, und gleichzeitig dürfen betriebliche Rücksichten nicht dazu führen, dass unsichere Altzugänge oder unsegmentierte Netze dauerhaft bestehen bleiben. Genau diese Spannung macht die Branche unter NIS2 anspruchsvoll.

Ein zweites branchentypisches Problem ist die Alterung der Techniklandschaft. Viele Wasserversorger betreiben über Jahre gewachsene Infrastrukturen mit langen Lebenszyklen, proprietären Steuerungen und begrenzten Updatefenstern. In der internen Research-Basis wird dieses Muster für versorgungsnahe OT-Sektoren ausdrücklich hervorgehoben: Sicherheitsreife scheitert oft nicht an fehlendem Problembewusstsein, sondern an Altanlagen, Herstellerabhängigkeiten und dem Umstand, dass Patchen und Segmentieren im laufenden Betrieb wesentlich schwieriger sind als in klassischer Büro-IT.

Ein dritter Schwachpunkt ist die Lieferkette. Wasserversorger sind auf Chemikaliensteuerung, Mess- und Laborgeräte, Fernwartungsdienstleister, Integratoren, Leitwarten-Software, Pumpentechnik und spezialisierte OT-Komponenten angewiesen. NIS2 nennt die Sicherheit der Lieferkette nicht zufällig ausdrücklich. In der Trinkwasserbranche liegen erhebliche Risiken gerade in selten genutzten Wartungszugängen, gemeinsam genutzten Dienstleisterkonten, langen Serviceverträgen ohne aktuelle Sicherheitsanforderungen und unklaren Verantwortlichkeiten bei Störungen.

Ein vierter Punkt ist der Personalfaktor. Viele Versorger arbeiten mit kleinen Teams, hoher technischer Spezialisierung und engem Wissenszuschnitt zwischen Werk, Netz, Leitwarte und IT. Fällt in einem Vorfall eine Schlüsselperson aus oder ist unklar, wer überhaupt entscheiden darf, wird aus einem begrenzten Sicherheitsvorfall schnell eine Versorgungskrise. NIS2 reagiert darauf mit der Pflicht zu dokumentierten Verantwortlichkeiten und Schulungen. Gerade im Trinkwasser ist diese organisatorische Reife oft wichtiger als eine zusätzliche Einzeltechnologie.

Praxisbeispiel: Wasserwerk mit externer Fernwartung und kompromittierter Leittechnik

Ein besonders praxisnahes Beispiel aus der internen Research-Basis ist der mittelgroße Wasserversorger mit klassischer OT-Struktur: Wassergewinnung, Aufbereitungsanlage, Wasserverteilungssystem und Leitzentrale sind digital verbunden, einzelne Komponenten werden durch Hersteller ferngewartet, und die Betriebs-IT ist historisch nur teilweise von der Prozess-IT getrennt. Genau diese Kombination aus Versorgungsdruck, OT-Abhängigkeit und Lieferkettenzugängen beschreibt die Research-Basis für regulierte Versorgungsbranchen als typisches Risikomuster.

Stellen Sie sich einen regionalen Wasserversorger vor, der mehrere Brunnen, ein Wasserwerk und eine zentrale Leittechnik betreibt. Ein Dienstleisterzugang für Wartungsarbeiten an der Steuerung wird kompromittiert. Zunächst wirkt der Vorfall wie ein IT-Thema, weil verdächtige Logins und Konfigurationsänderungen auffallen. Innerhalb kurzer Zeit stellt sich aber heraus, dass auch Alarmierungen, Messwerte und Schaltzustände in der Prozesssicht betroffen sein könnten. Genau an diesem Punkt wird aus einem technischen Incident ein NIS2-relevanter Managementfall.

Eine NIS2-reife Organisation hätte in diesem Szenario mindestens fünf Dinge vorbereitet. Erstens ein Inventar, das zeigt, welche Anlagen, Fernzugänge und Dienstleister tatsächlich betroffen sein können. Zweitens segmentierte Zugänge und Notfalloptionen für den Weiterbetrieb. Drittens einen abgestimmten Meldeprozess für die 24-Stunden-Frist. Viertens definierte Entscheidungsrechte zwischen Werkleitung, IT, Informationssicherheit und Geschäftsführung. Fünftens eine Kommunikationsroutine für Behörden, Dienstleister und interne Krisenstäbe. Ohne diese Vorarbeit droht wertvoller Zeitverlust in genau der Phase, in der Lagebild und Maßnahmen am unsichersten sind.

Das Beispiel zeigt auch den Schulungsbedarf der Branche. Leitwarte, Werkbetrieb, IT, Geschäftsleitung, Kommunikation und Einkauf sehen denselben Vorfall aus unterschiedlichen Blickwinkeln. NIS2 verlangt aber, dass diese Perspektiven in einem belastbaren Entscheidungsprozess zusammenlaufen. Genau darin liegt der praktische Nutzen einer branchenspezifischen NIS2-Schulung: Sie trainiert nicht nur Rechtstexte, sondern die Zusammenarbeit der Rollen vor dem Ernstfall.

Zusätzliche branchenspezifische Regulierungen

NIS2 ist für Trinkwasserversorger nur eine Schicht des regulatorischen Rahmens. Die Trinkwasserverordnung verpflichtet Betreiber von Wasserversorgungsanlagen zusätzlich zu einem Risikomanagement. Besonders relevant sind hier §§ 34 bis 38 TrinkwV, die Risikomanagement, die Bewertung von Wasserversorgungsanlagen und die Anpassung von Untersuchungsplänen regeln. Diese Vorschriften sind nicht deckungsgleich mit NIS2, aber sie verstärken die Erwartung, Risiken systematisch zu identifizieren, zu bewerten und in betriebliche Maßnahmen zu übersetzen.

Für größere Anlagen kommt zusätzlich das KRITIS-Regime hinzu. § 3 BSI-KritisV definiert den Sektor Wasser und nennt als kritische Dienstleistungen die Trinkwasserversorgung und die Abwasserbeseitigung. Für Wassergewinnung, Aufbereitungsanlage, Wasserverteilungssystem und Leitzentrale sieht der Anhang jeweils Schwellenwerte vor; für die zentralen Trinkwasseranlagen liegt der Richtwert bei 22 Millionen Kubikmetern pro Jahr. Wird diese Schwelle erreicht, sind zusätzliche Nachweise zum Stand der Technik und regelmäßige Prüfungen gegenüber dem BSI relevant.

Ebenfalls wichtig ist der branchenspezifische Sicherheitsstandard. Das BSI führt für den Sektor Wasser den B3S Wasser/Abwasser, dessen Eignungsfeststellung aktuell bis August 2027 gilt. Die Nutzung eines B3S ist nicht in jedem Fall zwingend, sie schafft aber in der Praxis Orientierung dazu, was im Sektor als branchengerechter Stand der Technik angesehen wird. Für Wasserversorger ist das besonders wertvoll, weil dort Standard-IT-Sicherheitskataloge die Besonderheiten von Wasserwerk, Netzbetrieb und Leitwarte oft nur unzureichend abbilden.

Die richtige Schlussfolgerung lautet deshalb: Trinkwasserversorger brauchen keine isolierte NIS2-Sicht, sondern eine gestapelte Compliance-Sicht. Prüfen Sie zuerst die Einordnung nach BSIG. Prüfen Sie danach KRITIS-Schwellen und sektorspezifische Vorgaben aus TrinkwV und BSI-KritisV. Und bauen Sie anschließend ein gemeinsames Sicherheits- und Schulungsmodell, das Leitung, Technik und Betrieb auf derselben Faktengrundlage zusammenführt.

Checkliste für Trinkwasser-Unternehmen

Trinkwasserversorger sollten NIS2 nicht mit Einzelmaßnahmen beantworten, sondern mit einer klaren Umsetzungsroutine. Diese sieben Schritte sind in der Praxis die sinnvollste Reihenfolge:

1. Prüfen Sie die Einordnung nach Anlage 1 BSIG, § 28 BSIG und der Betreiberstellung nach TrinkwV.
2. Prüfen Sie zusätzlich, ob Wasserwerk, Verteilungssystem oder Leitzentrale die KRITIS-Schwelle von 22 Mio. m³ pro Jahr erreichen.
3. Erstellen Sie eine gemeinsame Systemlandkarte für Office-IT, OT, Fernwirktechnik, Sensorik, Labor, Dienstleisterzugänge und Leitstelle.
4. Definieren Sie kritische Dienste und Mindestbetriebsmodi für Gewinnung, Aufbereitung, Verteilung und Krisenkommunikation.
5. Dokumentieren Sie Lieferanten, Fernwartungszugänge, Ersatzverfahren und Eskalationswege für erhebliche Sicherheitsvorfälle.
6. Schulen Sie Geschäftsleitung, Werkleitung, Leitwarte, IT, Instandhaltung und Krisenstab rollenbezogen statt mit einer Einheitsschulung.
7. Halten Sie Risikoanalysen, Übungen, Schulungsnachweise, Entscheidungen und Meldeprozesse so fest, dass sie in Prüfungen belastbar sind.

Wenn Sie diese Punkte noch nicht belastbar nachweisen können, ist das im Trinkwassersektor kein Ausnahmefall, sondern der typische Ausgangszustand vieler Versorger. Genau deshalb lohnt sich eine fokussierte NIS2-Schulung, die nicht nur abstrakte Cyberhygiene vermittelt, sondern Meldewege, OT-Risiken, Leitungspflichten und typische Umsetzungsfehler der Wasserversorgung gemeinsam behandelt.

FAQ

Ist mein Trinkwasser-Unternehmen von NIS2 betroffen?

Betroffen sind in Deutschland Betreiber von Wasserversorgungsanlagen im Sinne der Trinkwasserverordnung, wenn die Größenkriterien nach § 28 BSIG erfüllt sind oder besondere Einordnungsregeln greifen. Besonders naheliegend ist die Betroffenheit bei größeren kommunalen und regionalen Wasserversorgern, Stadtwerken mit eigener Wassersparte und Verbundunternehmen mit eigener Betreiberverantwortung.

Welche NIS2-Maßnahmen gelten für die Trinkwasserversorgung?

Für betroffene Trinkwasserversorger gelten insbesondere Risikomanagement, Incident Handling, Business Continuity, Backup- und Krisenmanagement, Lieferkettensicherheit, sichere Beschaffung und Wartung, Wirksamkeitskontrollen, Kryptografie, Zugriffskontrollen sowie grundlegende Schulungen und Sensibilisierung nach § 30 BSIG.

Wie hoch sind NIS2-Strafen in der Trinkwasserbranche?

Für besonders wichtige Einrichtungen verlangt der unionsrechtliche Rahmen Bußgelder bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt der Rahmen niedriger. Für Trinkwasserversorger ist deshalb die korrekte Einordnung wirtschaftlich und organisatorisch wesentlich.

Welche Schulungspflichten hat die Trinkwasserbranche unter NIS2?

Geschäftsleitungen müssen nach § 38 Abs. 3 BSIG regelmäßig an Schulungen teilnehmen. Zusätzlich verlangt § 30 Abs. 2 Nr. 7 BSIG grundlegende Schulungen und Sensibilisierung in der Einrichtung. Im Trinkwasser sollten diese Schulungen OT, Fernwartung, Vorfallmeldung, Krisenkommunikation und Ersatzbetrieb ausdrücklich einbeziehen.

Bis wann musste die Trinkwasserbranche NIS2 umsetzen?

Die unionsrechtliche Umsetzungsfrist endete am 17. Oktober 2024. In Deutschland gilt der neue BSIG-Rahmen seit dem 6. Dezember 2025. Die Registrierung musste grundsätzlich binnen drei Monaten erfolgen, für bereits betroffene Einrichtungen also Anfang März 2026.

Gilt für Trinkwasserversorger zusätzlich KRITIS-Recht?

Ja, bei größeren Anlagen zusätzlich. Die BSI-KritisV nennt im Sektor Wasser für Wassergewinnung, Wasserwerk und Wasserverteilungssystem jeweils 22 Millionen Kubikmeter pro Jahr als Schwellenwert. Oberhalb dieser Schwelle kommen zusätzliche Nachweis- und Prüfpflichten hinzu.

Fazit für Trinkwasserversorger

NIS2 ist für die Trinkwasserbranche kein abstraktes EU-Projekt, sondern eine operative Pflicht für Betreiber, Leitung und technische Schlüsselrollen. Die Branche ist ausdrücklich reguliert, arbeitet mit hochkritischer OT-Infrastruktur und muss Sicherheitsvorfälle so beherrschen, dass Versorgung, Meldefristen und Führungspflichten gleichzeitig erfüllt werden.

Die pragmatische Reihenfolge lautet deshalb: Betroffenheit prüfen, Wasserwerk und Leittechnik in die Risikoanalyse einbeziehen, Meldewege und Verantwortlichkeiten festlegen und die entscheidenden Rollen auf einen gemeinsamen Mindeststandard bringen. Wenn Sie das für Geschäftsleitung, Werkbetrieb, IT und Leitwarte belastbar aufsetzen wollen, ist unsere NIS2-Schulung der passende nächste Schritt.