So gelingt die Umsetzung in Ihrer Wasserversorgungsanlage
Immer öfter werden Versorgungsbetriebe des täglichen Lebens Opfer von Cyberangriffen. Die Schlagzeilen füllen sich mit derartigen Berichten.
Die Angriffe reichen von generellen Betrugsmaschen über E-Mails und SMS-Nachrichten bis hin zur Lahmlegung ganzer Versorgungsanlagen und Betreibern wesentlicher Dienste.
Unter die Betreiber wesentlicher Dienste fallen Versorger, die es zur Aufrechterhaltung des täglichen Lebens und der Gesundheit für die Gesellschaft braucht.
Somit sind davon auch die Infrastrukturen der Siedlungswasserwirtschaft –Trinkwasserversorgung und der Abwasserentsorgung – betroffen.
Um das Sicherheitsniveau für die allgemeine Versorgung zu heben und zu vereinheitlichen, ist mit 2023 die NIS2-Richtlinie in Kraft getreten. Dabei handelt es sich um eine EU-weite Gesetzgebung, die zur Steigerung des allgemeinen Cybersicherheitsniveaus führen soll.
Was diese Richtlinie nun genau besagt und was das für Sie als Serviceleister in der Siedlungswasserwirtschaft bedeutet, haben wir hier in diesem Beitrag übersichtlich zusammengefasst.
Am Ende des Artikels finden Sie außerdem unsere Empfehlungen zur Verbesserung der Cybersicherheit in Ihrer Wasserver- und Abwasserentsorgungsanlage.
Klicken Sie hier, wenn Sie gleich zu den Maßnahmen springen möchten: Cybersicherheit für Ihre Wasserversorgungsanlage
Was genau ist die NIS2-Richtlinie?
Die NIS2-Richtline gilt als EU-weite Gesetzgebung zur Cybersicherheit. Sie ist eine neue EU-Richtlinie, die 2023 in Kraft getreten ist und als Aktualisierung der EU-Vorschriften zur Cybersicherheit von 2016 gilt.
Die Ziele dieser Richtlinie sind:
- Die Verbesserung der Sicherheit von Netz- und Informationssystemen (kurz: NIS) in der Europäischen Union.
- Gewährleistung von NIS in allen EU-Mitgliedstaaten auf Basis eines gemeinsamen Sicherheitsrahmens.
- Entwicklung nationaler Strategien und Koordinierungspläne zur Gewährleistung der Cybersicherheit.
- Erfüllung von Mindestanforderungen an die Sicherheit von Netz- und Informationssystemen.
- Einrichtung von Computer-Sicherheits-Inzidentenreaktions-Teams (kurz: CSIRTs) in jedem Mitgliedstaat.
- Informationsaustausch zwischen den Mitgliedsstaaten.
Für wen gilt die NIS2-Richtlinie?
- Betreiber wesentlicher Dienste (inkl. Trinkwasserversorgung und Abwasserentsorgung)
- Betreiber digitaler Dienste (inkl. Cloud-Computing und Online-Marktplätze)
Was bringt die neue EU-Richtlinie?
- Minimierung der Auswirkungen von Cyberangriffen
- Höheres Sicherheitsniveau EU-weit
- Widerstandsfähigkeit der Gesellschaft und der Wirtschaft stärken
So gelingt die Umsetzung der neuen EU-Richtlinie
Gerade die Erfüllung von Mindeststandards ist ein wichtiger Punkt bei der praxisnahen Umsetzung der NIS2-Richtlinie.
Wir durften in diesem Zusammenhang den Arbeitsbehelf des Österreichischen Wasser- und Abfallwirtschaftsverbandes (kurz: ÖWAV) an einem Praxisbeispiel anwenden. In dem Arbeitsbehelf 67 wird beschrieben, wie Sie als Betreiber einer Abwasserentsorgungsanlage sich bestmöglich auf den Ernstfall vorbereiten können.
Hier finden Sie eine genaue Beschreibung zum Arbeitsbehelf inkl. Link zur Publikation: Arbeiten mit Mindeststandard: Getestet und umgesetzt mit einem Anlagenbetreiber
Laut NIS2-Richtlinie ist es auch Ihre Aufgabe, gewisse Mindeststandards umzusetzen. Hier finden Sie mehr Infos zu den gesetzlichen Anforderungen an die Sicherheitsbestimmungen für Ihre Wasserver- oder Abwasserentsorgungsanlage:
Grundlegende Schritte für mehr Cybersicherheit in Ihrer Wasserversorgungsanlage
Abgesehen von den rechtlichen Vorgaben der NIS2-Richtlinie gibt es zahlreiche Möglichkeiten, um die Cybersicherheit in Ihrer Anlage zu verbessern.
Wir haben hier einige grundlegende Schritte für Sie zusammengefasst, die Sie leicht in die Realität umsetzen können:
- Sichere Passwörter verwenden: Verwenden Sie starke Passwörter mit mindestens 16 Zeichen und ändern Sie diese regelmäßig. Verwenden Sie keine Passwörter, die leicht zu erraten sind oder persönliche Informationen enthalten. Schulen Sie auch Ihre Mitarbeiter dahingehend.
- Software und Betriebssysteme aktualisieren: Aktualisieren Sie regelmäßig Ihre Betriebssysteme und Anwendungen. So können Sie Sicherheitslücken vorbeugen.
- Anti-Virus- und Anti-Malware-Software verwenden: Installieren Sie eine gute Anti-Virus- und Anti-Malware-Software. Diese sollten Sie auch immer auf dem aktuellsten Stand halten.
- Daten adäquat sichern: Erstellen Sie regelmäßig Backups Ihrer Daten und speichern Sie sie an einem sicheren Ort.
- Zwei-Faktor-Authentifizierung verwenden: Aktivieren Sie die Zwei-Faktor-Authentifizierung, wenn dies verfügbar ist. So sorgen Sie für zusätzliche Sicherheit.
- Vorsicht beim Öffnen von E-Mails und Anhängen: Öffnen Sie keine E-Mails oder Anhänge von unbekannten Absendern. Seien Sie vorsichtig bei verdächtigen E-Mails, auch wenn sie von vermeintlich bekannten Absendern kommen. Sensibilisieren Sie auch Ihre Mitarbeiter auf dieses Thema.
- VPN verwenden: Verwenden Sie ein Virtual Private Network (kurz: VPN), wenn Sie sich über öffentliche WLAN-Netzwerke oder unsichere Netzwerke mit dem Internet verbinden.
- Sensibilisierung und Schulung: Bilden Sie sich regelmäßig über aktuelle Bedrohungen und Risiken in der Cybersicherheit weiter. Schulen Sie dann auch Ihre Mitarbeiter, um das Bewusstsein für Cybersicherheit zu erhöhen.
- Need-to-know-Prinzip: Schränken Sie die Handlungs- und Kenntnisbereiche auf das Nötigste ein. Das bedeutet, schränken Sie am besten die Benutzerrechte so ein, dass Mitarbeiter nur die für die Arbeit erforderlichen Systeme und Anwendungen benutzen können.
- Verschlüsselung verwenden: Sie sollten sensible Daten stets verschlüsseln. So stellen Sie sicher, dass diese nicht unautorisiert eingesehen werden können.
Analysieren. Bewerten. Absichern.
Im Betrieb der Abwasser- und Trinkwasserinfrastruktur sollten Sie Ihr Augenmerk speziell auf die Informations- und Kommunikationssysteme legen.
Das bedeutet: Analysieren, bewerten und sichern Sie alle Systeme, die für den technischen Betrieb der Anlage und die Steuer-Mess- und Regeltechnik inkl. Schnittstellen relevant sind.
Als Anlagenbetreiber sollten Sie Ihre Infrastruktur für die Wasserversorgung regelmäßig durchleuchten und bewerten. So können Sie Schwachstellen rechtzeitig erkennen und beheben.
Dank der Definition von branchenüblichen Minimalstandards können Sie potenzielle Lücken in Ihrer IKT-Sicherheit rechtzeitig erkennen und schließen.
Sie möchten wissen, wie es um Ihre IKT-Sicherheit steht und ob diese einem Cyberangriff standhalten könnte?
Zögern Sie nicht, damit auf uns zuzukommen.
Wir decken Schwachstellen in Ihrer IKT auf und helfen so Ihr Risiko zu minimieren. Gemeinsam mit unseren IT-Partnerunternehmen helfen wir Ihre IKT auf die geltenden Vorgaben, Empfehlungen und Richtlinien anzupassen.
Für Rückfragen steht Ihnen Herr DI Markus Günther gerne jederzeit zur Verfügung.