NIS2-Compliance für den Trinkwassersektor

Ein umfassender Leitfaden zu den NIS2-Pflichten für Trinkwasserversorger in der gesamten EU.

Dieses Dokument gibt Informationen mit Stand Februar 2026 wieder. Obwohl alle angemessenen Schritte unternommen wurden, um die Richtigkeit der Inhalte zu überprüfen, werden die Informationen ohne Gewähr für Vollständigkeit oder Richtigkeit bereitgestellt und können sich ändern. Auch wenn wir beabsichtigen, diese Inhalte in regelmäßigen Abständen zu aktualisieren, wird den Lesenden empfohlen, kritische Informationen eigenständig zu überprüfen.

1. Was ist NIS2 und warum gilt es für den Trinkwassersektor

Sichere und zuverlässige Trinkwasserversorgung ist in der gesamten Europäischen Union eine grundlegende öffentliche Dienstleistung. Wasseraufbereitungsanlagen, Verteilnetze und Qualitätsüberwachungssysteme stützen sich zunehmend auf digitale Steuerungssysteme und Fernüberwachungstechnologien. Je stärker diese Systeme miteinander vernetzt sind, desto stärker sind sie auch Cyberrisiken ausgesetzt.

Die NIS2-Richtlinie legt EU-weite Cybersicherheitsanforderungen für wesentliche und wichtige Einrichtungen fest und erweitert den Geltungsbereich des ursprünglichen NIS-Rahmens erheblich. Die Einhaltung von NIS2 im Trinkwassersektor trägt der entscheidenden Bedeutung Rechnung, die Infrastruktur der Wasserversorgung gegen Störungen, Verunreinigungen oder Betriebsausfälle zu schützen.

Die Richtlinie gilt für mittlere und große Organisationen, die in festgelegten Sektoren tätig sind, einschließlich des Trinkwassersektors. Viele öffentliche und private Wasserversorger können je nach Größe und Umfang ihrer Tätigkeiten in den Anwendungsbereich fallen.

Wenn Ihre Organisation im Trinkwassersektor tätig ist, kann sie unter NIS2 entweder als wesentliche oder wichtige Einrichtung eingestuft werden.

2. Ist der Sektor Trinkwasserversorgung nach NIS2 als wesentlich oder wichtig eingestuft?

Der Sektor Trinkwasserversorgung ist eingestuft als:

Relevanter Anhang: Anhang I (Wesentliche Einrichtungen)

Wesentliche Einrichtung nach Anhang I

Lieferanten und Verteiler von Wasser, das für den menschlichen Gebrauch bestimmt ist, ausgenommen Verteiler, für die die Verteilung von Wasser keinen wesentlichen Teil ihrer allgemeinen Tätigkeit der Verteilung anderer Waren und Güter darstellt

Abdeckung des Untersektors (Anhang I – Trinkwasser):

3. Welche Organisationen der Trinkwasserversorgung sind im Anwendungsbereich?

Die NIS2-Compliance für den Trinkwassersektor gilt für:

Dazu zählen kommunale Wasserbetriebe, regionale Wasserbehörden und private Betreiber, die für Aufbereitungs- und Verteilungssysteme verantwortlich sind, die die EU-Größenschwellenwerte erfüllen.

Auch KMU können in den Anwendungsbereich fallen, wenn sie die NIS2-Größenschwellen erfüllen oder von nationalen Behörden als kritische Anbieter benannt werden. Die NIS2-Anwendbarkeit auf KMU ist daher für regionale und interkommunale Betreiber relevant, die wesentliche Wasserinfrastruktur betreiben.

Mittlere Unternehmen (≥ 50 Beschäftigte und/oder 10 Mio. € Jahresumsatz oder Bilanzsumme)
Großunternehmen, die diese Schwellenwerte überschreiten
Nach nationalem Recht als kritische Wasserversorger eingestufte Einheiten, sofern zutreffend

4. Zentrale NIS2-Cybersicherheitsanforderungen für den Trinkwassersektor

Gemäß Artikel 21 der NIS2-Richtlinie müssen Einrichtungen der Trinkwasserversorgung geeignete und verhältnismäßige technische und organisatorische Maßnahmen zum Management von Cybersicherheitsrisiken umsetzen.

Verpflichtende Maßnahmen umfassen:

Für den Trinkwassersektor müssen diese NIS2-Sicherheitsmaßnahmen industrielle Steuerungssysteme (ICS), SCADA-Systeme (Supervisory Control and Data Acquisition), dezentrale Pumpstationen und Technologien zur Überwachung der Wasserqualität abdecken.

Die Einhaltung der NIS2-Richtlinie im Trinkwassersektor erfordert eine robuste Segmentierung zwischen IT- und OT-Umgebungen. Einrichtungen müssen Resilienz gegenüber Cybervorfällen sicherstellen, die die Versorgungskontinuität stören oder Wasseraufbereitungsprozesse beeinträchtigen könnten.

Risikomanagementrahmen
Verfahren zum Umgang mit Sicherheitsvorfällen
Geschäftskontinuität und Notfallwiederherstellung
Lieferkettensicherheit
Sichere Entwicklung und Wartung
Richtlinien zu Verschlüsselung und Kryptografie
Zugriffskontrolle und Mehrfaktor-Authentifizierung (MFA)
Schwachstellenmanagement und Patch-Management
Schulungen zur Cyberhygiene
Einsatz sicherer Kommunikationsmittel

5. Meldepflichten für Sicherheitsvorfälle im Trinkwassersektor

Einrichtungen des Trinkwassersektors müssen die NIS2-Fristen für die Meldung signifikanter Sicherheitsvorfälle einhalten.

Zu den Meldepflichten gehören:

Meldungen sind an das zuständige nationale CSIRT oder die zuständige Behörde zu übermitteln.

Die 24-Stunden-Meldepflicht nach NIS2 ist besonders relevant, wenn Vorfälle Aufbereitungsanlagen, Pumpeninfrastruktur oder Verteilnetze betreffen. Jeder Cybervorfall, der die Versorgungskontinuität stört oder die Wasserqualität gefährdet, kann als signifikant eingestuft werden.

Die Nichteinhaltung der vorgeschriebenen Meldefristen kann zu aufsichtsrechtlichen Maßnahmen und finanziellen Sanktionen führen.

Meldung	Frist
Frühwarnung	Innerhalb von 24 Stunden nach Kenntniserlangung eines signifikanten Vorfalls
Vorfallmeldung	Innerhalb von 72 Stunden
Abschlussbericht	Innerhalb eines Monats

6. Governance und Haftung des Leitungsorgans

Die NIS2-Compliance im Trinkwassersektor begründet eine unmittelbare Verantwortlichkeit des Leitungsorgans.

Wesentliche Governance-Anforderungen umfassen:

Artikel 21 der NIS2-Richtlinie hebt Cybersicherheit von einer technischen Fragestellung auf die Verantwortungsebene des Leitungsorgans. Die oberste Leitung von Wasserversorgungsunternehmen muss sicherstellen, dass angemessene Kontrollen und Kontinuitätsmaßnahmen dokumentiert, umgesetzt und regelmäßig überprüft werden.

Angesichts der Auswirkungen von Unterbrechungen der Wasserversorgung auf die öffentliche Gesundheit können Governance-Versäumnisse schwerwiegende betriebliche und rechtliche Folgen haben.

Genehmigung der Cybersicherheits-Risikomanagementmaßnahmen durch das Leitungsorgan
Laufende Überwachung der Umsetzung
Verpflichtende Schulungen zur Cybersicherheit für das Leitungsorgan
Mögliche persönliche Haftung nach nationalem Recht

7. Aufsicht und Sanktionen

Als Einrichtungen gemäß Anhang I unterliegen Trinkwasserversorger, die als wesentliche Einrichtungen eingestuft sind, einer proaktiven Aufsicht. Zuständige Behörden können Audits, Inspektionen und Bewertungen der Cybersicherheit durchführen, unabhängig davon, ob ein Sicherheitsvorfall eingetreten ist.

Verwaltungsrechtliche Geldbußen bei Nichteinhaltung:

Nationale Umsetzungsgesetze können Aufsichtsverfahren präzisieren, doch die Richtlinie legt harmonisierte Mindestschwellen für Geldbußen in den Mitgliedstaaten fest.

Aufgrund der wesentlichen Bedeutung der Trinkwasserversorgung wird die Durchsetzung voraussichtlich den Schwerpunkt auf Resilienz, Risikominderung und Betriebskontinuität legen.

Wesentliche Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Gesamtjahresumsatzes (je nachdem, welcher Betrag höher ist)

8. Praktische Compliance-Schritte für KMU der Trinkwasserversorgung

KMU der Trinkwasserversorgung sollten strukturierte Schritte zur Einhaltung der NIS2-Richtlinie ergreifen:

Frühzeitige Vorbereitung senkt das Risiko behördlicher Durchsetzungsmaßnahmen und schützt die Versorgungskontinuität.

Führen Sie eine NIS2-Lückenanalyse durch
Kartieren Sie die kritische Infrastruktur für Aufbereitung und Verteilung
Formalisieren Sie ein dokumentiertes Rahmenwerk für das Cybersecurity-Risikomanagement
Aktualisieren und testen Sie Vorfallsreaktions- und Kontinuitätspläne
Überprüfen Sie Verträge mit Lieferanten und SCADA-Anbietern
Schulen Sie Geschäftsleitung und operative Führungskräfte
Etablieren Sie einen 24h/72h/1-Monat-Meldeprozess

9. Zentrale Risiken für den Trinkwassersektor unter NIS2

Einrichtungen der Trinkwasserversorgung sind unter NIS2 sektorspezifischen Risiken ausgesetzt:

Die NIS2-Compliance für den Trinkwassersektor ist daher eine zentrale Resilienzanforderung zum Schutz der öffentlichen Gesundheit.

Versorgungsunterbrechung: Cybervorfälle können die Wasseraufbereitung oder -verteilung unterbrechen.
Gefährdung der öffentlichen Gesundheit: Kompromittierte Systeme könnten die Wasserqualitätskontrollen beeinträchtigen.
Kompromittierung der Lieferkette: Technologieanbieter können Schwachstellen einführen.
Behördliche Geldbußen: Nichteinhaltung kann zu erheblichen finanziellen Sanktionen führen.
Reputationsschaden: Das öffentliche Vertrauen in die Wassersicherheit ist äußerst sensibel gegenüber Versorgungsstörungen.

10. Häufig gestellte Fragen

Gilt NIS2 für kleine Wasserversorger?

Ja, wenn sie den EU-Schwellenwert für mittlere Unternehmen erreichen (≥50 Beschäftigte und/oder 10 Mio. € Umsatz oder Bilanzsumme), fallen sie in den Anwendungsbereich. Kleinere Versorger können nach nationalem Recht auch als kritische Anbieter benannt werden.

Worin besteht der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?

Wesentliche Einrichtungen, wie Trinkwasserversorger nach Anhang I, unterliegen proaktiver Aufsicht und höheren Höchstgeldbußen. Wichtige Einrichtungen werden reaktiv beaufsichtigt und unterliegen niedrigeren Höchststrafen.

Wodurch unterscheidet sich NIS2 von der DSGVO?

Die DSGVO regelt den Schutz personenbezogener Daten, während NIS2 den Schwerpunkt auf Cybersicherheits-Risikomanagement und operative Resilienz legt. Wasserversorger müssen beide Rahmenwerke einhalten, wenn personenbezogene Daten verarbeitet werden.

Fallen Nicht-EU-Wasserbetreiber, die in der EU tätig sind, unter NIS2?

Ja, wenn sie innerhalb der EU Dienstleistungen erbringen und die Kriterien für den Anwendungsbereich erfüllen, können sie verpflichtet sein, die NIS2-Pflichten nach nationalen Umsetzungsgesetzen zu erfüllen.

Sind private Betreiber der Wasseraufbereitung erfasst?

Ja. Private Lieferanten und Verteiler von Wasser für den menschlichen Gebrauch werden gemäß Anhang I als wesentliche Einrichtungen eingestuft, sofern die Größenschwellen erreicht sind.