Wasserversorgung und Abwasserentsorgung gehören zu den sensibelsten kritischen Infrastrukturen in Deutschland: Ein Ausfall der Trinkwasserversorgung gefährdet unmittelbar die öffentliche Gesundheit. Gleichzeitig sind Wasserwerke, Kläranlagen und Pumpstationen zunehmend digital vernetzt — SCADA-Anlagen, speicherprogrammierbare Steuerungen (SPS) und Fernwirktechnik, die über Jahrzehnte gewachsen sind und selten für Cyberangriffe ausgelegt wurden.
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG), in Kraft seit dem 6. Dezember 2025, erfasst beide Sektoren als Anhang-I-Sektoren mit den höchsten Sicherheitspflichten. Die besondere Lage im Wassersektor: Die meisten größeren Versorgungsunternehmen sind gleichzeitig KRITIS-Betreiber nach dem BSI-Gesetz — sie müssen beide Compliance-Regime parallel erfüllen. Hinzu kommt die überwiegend kommunale Trägerschaft durch Stadtwerke, Zweckverbände und Regieeinrichtungen, die mit begrenzten IT-Budgets vor denselben gesetzlichen Anforderungen stehen wie große privatwirtschaftliche Unternehmen.
Dieser Leitfaden erklärt, wer konkret betroffen ist, was die KRITIS-Doppelpflichten bedeuten, wie OT/SCADA-Sicherheit in Wasserwerken umzusetzen ist — und welche Fristen und Bußgeldrisiken gelten. Einen Überblick über alle technischen und organisatorischen Basismaßnahmen bietet der Leitfaden zu den NIS2-Sicherheitsanforderungen nach §30 NIS2UmsuCG.
Wasserversorgung und Abwasser als Anhang-I-Sektoren: Wer ist betroffen?
Die NIS2-Richtlinie (EU) 2022/2555 listet in Anhang I unter Nummer 7 die Trinkwasserversorgung (Wassergewinnung, -aufbereitung und -verteilung, NACE E36) und unter Nummer 8 die Abwasserentsorgung (Sammlung, Behandlung und Einleitung, NACE E37). Das NIS2UmsuCG transponiert diese Vorgaben in Anlage 1 Abschnitt 4 des deutschen Gesetzes und stuft diese Sektoren als besonders schutzbedürftig ein.
Für Unternehmen in diesen Sektoren gelten gestaffelte Größenschwellen:
| Einrichtungstyp | Schwellenwert | Aufsichtsregime |
|---|---|---|
| Besonders wichtige Einrichtung (bwE) | ≥ 250 Mitarbeiter (VZÄ) oder Jahresumsatz > 50 Mio. Euro und Jahresbilanzsumme > 43 Mio. Euro | Ex-ante-Aufsicht (§62–64 NIS2UmsuCG); BSI-Prüfkompetenz aktiv |
| Wichtige Einrichtung (wE) | ≥ 50 Mitarbeiter (VZÄ) oder Jahresumsatz > 10 Mio. Euro und Jahresbilanzsumme > 10 Mio. Euro | Ex-post-Aufsicht (§60–61 NIS2UmsuCG); anlassbasierte Prüfung |
| Unterhalb der Schwellenwerte | < 50 Mitarbeiter, Umsatz ≤ 10 Mio. Euro | Keine NIS2-Pflichten; freiwillige Meldung beim BSI möglich |
Praktisch bedeutet das: Ein regionaler Wasserversorger mit 120 Mitarbeitern ist Wichtige Einrichtung nach NIS2UmsuCG und unterliegt damit allen zehn Sicherheitsmaßnahmen des §30 Abs. 2. Ein Stadtwerke-Verbund mit über 250 Vollzeitäquivalenten oder mehr als 50 Mio. Euro Jahresumsatz wird als Besonders wichtige Einrichtung eingestuft — mit strengerer BSI-Aufsicht und kürzeren Reaktionsfristen bei Vorfällen.
Für die Einstufung als KRITIS-Betreiber nach dem BSI-Gesetz galt bisher ein anderer Schwellenwert: Trinkwasserversorger, die mehr als 500.000 Personen versorgen. Diese Unternehmen werden durch §28 Abs. 2 NIS2UmsuCG automatisch als Besonders wichtige Einrichtungen eingestuft — unabhängig von der Mitarbeiterzahl. Das Zusammenspiel beider Regime ist das prägende Merkmal der NIS2-Compliance im Wassersektor.
KRITIS und NIS2 — Doppelpflichten für Wasserversorger
Rund 700 Wasserversorgungsunternehmen und Abwasserbetriebe in Deutschland galten bereits vor NIS2 als KRITIS-Betreiber gemäß §8a BSIG (IT-Sicherheitsgesetz 2.0, bis Dezember 2025 in Kraft). Der Schwellenwert für den KRITIS-Sektor Wasser war die Versorgung von mehr als 500.000 Personen mit Trinkwasser. Diese Betreiber unterlagen dem 2-Jahres-Audit-Zyklus des BSI und mussten Sicherheitsmaßnahmen nach §8a Abs. 1 BSIG sowie dem Branchenspezifischen Sicherheitsstandard Wasser (B3S-Wasser, erarbeitet von DVGW und DWA) nachweisen.
Mit dem NIS2UmsuCG hat sich die Rechtslage strukturell verändert:
- Bisherige KRITIS-Betreiber im Wassersektor sind nun automatisch Besonders wichtige Einrichtungen (§28 Abs. 2 NIS2UmsuCG) — mit ex-ante-Aufsicht und den höchsten Sicherheitspflichten.
- Der B3S-Wasser wird vom BSI als anerkannter Nachweis nach §30 Abs. 5 NIS2UmsuCG akzeptiert — er ersetzt die NIS2-Anforderungen aber nicht vollständig.
- Der bisherige 2-Jahres-Auditzyklus nach §8a Abs. 3 BSIG-alt ist durch die neue BSI-Prüfkompetenz nach §39 NIS2UmsuCG ersetzt; die regelmäßige Auditpflicht bleibt strukturell bestehen.
Für Wasserversorger, die bereits nach KRITIS-Standard auditiert wurden, ergeben sich durch NIS2 drei zusätzliche Anforderungsbereiche, die der B3S-Wasser bisher nicht vollständig abdeckt:
| Anforderungsbereich | B3S-Wasser (bisherig) | NIS2UmsuCG §30 (zusätzlich) |
|---|---|---|
| Lieferkettensicherheit | Teilweise (Dienstleister-Auswahl) | Vollständig neu: Art. 21(2)(d) / §30 Nr. 4 — vertragliche Sicherheitsklauseln für alle relevanten Zulieferer und Dienstleister |
| Multi-Faktor-Authentifizierung | Empfehlung in BSI-Grundschutz | Pflicht: Art. 21(2)(j) / §30 Nr. 10 — für alle Fernzugriffe auf SCADA und für privilegierte Konten |
| Meldepflichten | §8b BSIG-alt: 72-Stunden-Meldung an BSI | Dreistufig: 24h / 72h / 1 Monat nach §32 NIS2UmsuCG (Frühwarnung, Meldung, Abschlussbericht) |
| Kryptografievorgaben | Allgemeine BSI-Kryptografieempfehlungen | CIR 2024/2690 Anhang 8 — konkrete Anforderungen an Verschlüsselung auch für OT-Umgebungen |
Eine detaillierte Gegenüberstellung der Anforderungen, Prüfzyklen und Sanktionsmechanismen beider Regime bietet der Leitfaden NIS2 vs. KRITIS — Pflichten im Vergleich.
OT/SCADA-Sicherheit in Wasserwerken: Risiken und Schutzkonzepte
Wasserwerke sind hochgradig OT-abhängig: Chlorierungsanlagen, pH-Dosierungsstationen, Filtrationsprozesse und Druckhaltesysteme werden von speicherprogrammierbaren Steuerungen (SPS) gesteuert. Dutzende oder Hunderte dezentraler Pumpstationen übermitteln Messwerte und empfangen Steuerbefehle über SCADA-Systeme — oft über öffentliche Mobilfunknetze oder VPN-Verbindungen, da eine eigene Glasfaserinfrastruktur für viele Versorgungsgebiete zu kostspielig ist.
Das Gefährdungspotenzial ist konkret dokumentiert. Im Februar 2021 verschaffte sich ein unbekannter Angreifer über TeamViewer Zugang zum SCADA-System des Wasserwerks in Oldsmar, Florida, und erhöhte die Natriumhydroxid-Konzentration (NaOH) um das 111-Fache über den Normalwert — eine Manipulation, die zu schweren Vergiftungen geführt hätte, wäre ein Bediener der Veränderung nicht sofort bemerkt und hätte sie nicht rückgängig gemacht. Dieser Vorfall ist kein Einzelfall: Das US-amerikanische CISA und das BSI dokumentieren regelmäßig gezielte Cyberoperationen gegen Wasserinfrastrukturen.
Für deutsche Wasserwerke identifiziert das BSI drei strukturelle OT-Risiken, die durch NIS2UmsuCG §30 adressiert werden müssen:
1. Veraltete Fernwirktechnik ohne native Authentifizierung. Fernwirkprotokolle wie IEC 60870-5-101/104, DNP3 und Modbus wurden ohne Sicherheitsfunktionen entwickelt. Wer diese Protokolle ohne zusätzliche Schutzschichten betreibt, hat faktisch keine Authentifizierung auf dem Feldbus. §30 Nr. 5 NIS2UmsuCG fordert Netzwerksicherheit — in der Praxis bedeutet das entweder Protokoll-Wrapper mit Authentifizierungsschicht oder physische Entkopplung durch Data Diodes an der OT-IT-Grenze.
2. Dezentrale Pumpstationen als verteilte Angriffsvektoren. Ein Versorgungsnetz mit 80 Pumpstationen hat potenziell 80 Einfallstore, wenn keine einheitliche Zugangskontrolle vorhanden ist. Wartungsfirmen, die mit geteilten Credentials oder ohne MFA auf Pumpsteuerungen zugreifen, sind das verbreitetste Einfallstor für Angreifer im Wassersektor. §30 Nr. 10 (MFA-Pflicht) adressiert dieses Risiko direkt.
3. Legacy-Systeme mit Betriebszyklen über 20 Jahre. SPS und RTUs (Remote Terminal Units) aus den 1990ern und 2000ern erhalten keine Sicherheits-Updates mehr. Ihre Hersteller haben den Support eingestellt. Die Lösung ist nicht sofortiger Austausch — der würde den Versorgungsauftrag und Investitionsbudgets sprengen. Stattdessen fordert NIS2UmsuCG eine dokumentierte Risikoakzeptanz mit Kompensationsmaßnahmen: Netzwerksegmentierung, Anomalie-Monitoring und schriftliche Genehmigung der Geschäftsleitung gemäß §38 NIS2UmsuCG.
Als anerkannter OT-Sicherheitsrahmen für industrielle Steuerungssysteme gilt IEC 62443-3-2 (Risikobeurteilung für industrielle Automatisierungs- und Steuerungssysteme). Für die Netzwerktopologie empfiehlt das Purdue-Modell eine klare Zonentrennung:
- OT-Zone (Feld- und Leitebene): SPS, RTUs, Dosierungspumpen, SCADA-Server — strikt vom Büronetz isoliert. Kein direkter Internet-Zugang.
- DMZ (Demilitarisierte Zone): Historian-Server, Patch-Server, Jump-Server — einziger gesicherter Übergang zwischen OT und IT-Netz. Alle Fernzugriffe laufen über die DMZ.
- IT-Zone (Büronetz): ERP, E-Mail, Geschäftsprozesse — niemals mit direktem Zugang zur OT-Zone. Auch Wartungslaptops dürfen erst nach Desinfektion in die DMZ.
Anomalie-Monitoring für Prozessabweichungen hat im Wassersektor besonderen Wert: Unerwartete Änderungen in Chlorkonzentration, pH-Wert oder Druckniveau können sowohl technische Störungen als auch Cyberangriffe signalisieren. ICS-CERT und DVGW empfehlen für größere Wasserwerke den Einsatz von OT-SIEM-Systemen mit prozessspezifischen Grenzwert-Alarmen. Für die Absicherung der Lieferkette — inklusive OT-Dienstleister, Fernwartungsanbieter und Messtechniklieferanten — bietet der Leitfaden NIS2-Lieferkettensicherheit eine strukturierte Umsetzungshilfe.
§30 NIS2UmsuCG in der Wasserversorgung: Die zehn Maßnahmen im Sektorkontext
§30 Abs. 2 NIS2UmsuCG transponiert Art. 21 Abs. 2 lit. a–j der NIS2-Richtlinie ins deutsche Recht. Für Wasserversorgungsunternehmen bedeutet jede Maßnahme eine wassersektor-spezifische Umsetzungsanforderung:
| Maßnahme | Rechtsgrundlage | Wassersektor-Kontext |
|---|---|---|
| Risikoanalyse und Informationssicherheitspolitik | lit. a / Nr. 1 | OT-Asset-Inventar aller SPS, RTUs, SCADA-Server und Dosierungsanlagen — mit Betriebsalter, Patch-Stand und Netzwerktopologie |
| Vorfallreaktion und Meldung | lit. b / Nr. 2 | IRP mit Eskalationsplan für Versorgungsunterbrechung; 24h-Frühwarnung, 72h-BSI-Meldung, 1-Monat-Abschlussbericht; bei Qualitätsgefährdung zusätzlich Gesundheitsamt |
| Backup, Wiederherstellung, Krisenmanagement | lit. c / Nr. 3 | Redundante SCADA-Konfiguration; Notbetriebsmodus ohne IT-Anbindung; RTO/RPO am Versorgungsauftrag ausgerichtet |
| Lieferkettensicherheit | lit. d / Nr. 4 | Vertragliche Sicherheitsklauseln für Wartungsfirmen, SCADA-Hersteller (Siemens, AVEVA, Wonderware), Messgerätezulieferer und Fernwartungsanbieter |
| Netzwerk- und Informationssystemsicherheit | lit. e / Nr. 5 | OT/IT-Zonentrennung, DMZ-Konfiguration, gesicherte Protokolle für Fernwirkverbindungen zu Pumpstationen |
| Wirksamkeit der Maßnahmen | lit. f / Nr. 6 | OT-Penetrationstests; Anomalie-Monitoring für Prozessabweichungen; regelmäßige Überprüfung der DMZ-Konfiguration |
| Cyber-Hygiene und Schulungen | lit. g / Nr. 7 | Schulungen für Schichtpersonal: USB-Risiken an SCADA-Terminals, sichere Handhabung von Fernwartungszugängen, Phishing-Erkennung |
| Kryptografie | lit. h / Nr. 8 | Verschlüsselung für VPN-Fernwartungszugänge; Kryptografiestrategie für Legacy-Protokolle (Modbus, DNP3) nach CIR 2024/2690 Anhang 8 |
| Personalzuverlässigkeit und Zugangssteuerung | lit. i / Nr. 9 | Physische Zugangskontrolle zu Pumpstationen und Schaltwarten; vollständiges OT-Asset-Management; Need-to-Know-Prinzip für privilegierte Accounts |
| Multi-Faktor-Authentifizierung | lit. j / Nr. 10 | MFA für alle Fernzugriffe auf SCADA; Ausnahmeregelung für Echtzeit-Sicherheitsfunktionen dokumentieren und von der Geschäftsleitung genehmigen lassen |
Drei Maßnahmen sind für Wasserversorger besonders kritisch:
§30 Nr. 3 — Notbetrieb ohne IT-Anbindung. Wasserversorgung ist ein Versorgungsauftrag mit unmittelbarem öffentlichem Gesundheitsbezug. Ein Ransomware-Angriff, der die SCADA-Anbindung unterbricht, darf nicht dazu führen, dass die Trinkwasserversorgung zusammenbricht. Wasserwerke müssen einen Notbetriebsmodus dokumentieren und regelmäßig testen, in dem Grundfunktionen — Aufbereitung, Verteilung, Notfallpumpen — ohne externe IT-Anbindung aufrechterhalten werden können. RTO und RPO müssen sich an der maximal vertretbaren Versorgungsunterbrechung orientieren, nicht an allgemeinen IT-Wiederherstellungsstandards.
§30 Nr. 2 — Meldepflicht bei Versorgungsunterbrechung. Ein Cybervorfall mit Auswirkung auf die Trinkwasserversorgung ist meldepflichtig beim BSI: 24-Stunden-Frühwarnung, 72-Stunden-Meldung und 1-Monat-Abschlussbericht nach §32 NIS2UmsuCG. Bei Qualitätsgefährdung — z. B. manipulierte Dosierungsanlage — muss möglicherweise auch das Gesundheitsamt informiert werden: ein paralleler Meldepfad, der im Vorfallreaktionsplan explizit abgebildet sein muss.
§30 Nr. 10 — MFA für SCADA-Fernzugriffe. Wartungsfirmen, die SCADA-Systeme oder SPS aus der Ferne konfigurieren, sind ein weit verbreiteter Angriffsvektor. Jeder Fernwartungszugang muss mit MFA gesichert sein. Dokumentierte Ausnahmen für Safety-Critical-Systeme, bei denen MFA die Reaktionszeit im Echtzeitbetrieb gefährden würde, sind zulässig — aber schriftlich zu begründen und von der Geschäftsleitung (§38 NIS2UmsuCG) zu genehmigen.
Kommunale Versorger — Stadtwerke, Zweckverbände und Regieeinrichtungen
Mehr als 90 % der deutschen Trinkwasserversorgung liegt in der Hand kommunaler Einrichtungen: Stadtwerke GmbH, Zweckverbände, Abwasser-Zweckverbände (AZV), Regieeinrichtungen und kommunale Eigengesellschaften. Diese Trägerstruktur beeinflusst die NIS2-Compliance in mehrfacher Hinsicht.
Stadtwerke als Multi-Utility-Betreiber versorgen Gemeinden oft gleichzeitig mit Strom, Gas, Fernwärme und Wasser. Das führt dazu, dass der gleiche Betrieb als NIS2-Einrichtung in mehreren Sektoren erfasst sein kann: Wasserversorgung (Anlage 1 Abschnitt 4) und Energie (Anlage 1 Abschnitt 1). Die Größenschwellen werden für das Gesamtunternehmen berechnet — nicht spartenweise. Ein Stadtwerk, das isoliert als Wasserversorger unter die Wichtige-Einrichtung-Schwelle fällt, kann als Energieversorger die Besonders-wichtige-Einrichtung-Schwelle überschreiten und wird dann für alle Sparten mit dem höheren Aufsichtsregime eingestuft.
Zweckverbände und AZV sind oft kleiner und verfügen über weniger eigene IT-Kapazitäten. Das NIS2UmsuCG erlaubt nach §30 Abs. 8 die gemeinsame Nutzung eines Informationssicherheitsbeauftragten (ISB) durch mehrere Einrichtungen, wenn dies vertraglich geregelt ist. Für Zweckverbände, die zu klein für einen eigenen CISO sind, ist ein übergreifender ISB-Vertrag mit einer kreisangehörigen Einrichtung oder einem kommunalen IT-Dienstleister die pragmatischste Lösung.
Das BSI bietet für kommunale Wasserversorger spezifische Unterstützung: Der BSI-KRITIS-Navigator hilft bei der Selbsteinstufung und Registrierungspflicht. Der DVGW stellt mit dem Arbeitsblatt W 1060 — Cyber Security für Wasserversorgungsunternehmen eine praxisnahe Umsetzungshilfe bereit, die mit dem B3S-Wasser abgestimmt und auf kommunale Versorger zugeschnitten ist.
Fristen, Registrierung und Bußgelder
| Datum | Pflicht | Rechtsgrundlage |
|---|---|---|
| 6. Dezember 2025 | NIS2UmsuCG in Kraft; alle §30-Sicherheitspflichten sofort wirksam | §1 NIS2UmsuCG (BGBl. I 2025) |
| 6. März 2026 | BSI-Registrierungsfrist für alle bwE und wE — Wasserversorgung eingeschlossen | §33 NIS2UmsuCG |
| Laufend ab 2026 | Erhebliche Cybervorfälle: 24h-Frühwarnung, 72h-Meldung, 1-Monat-Abschlussbericht an BSI | §32 NIS2UmsuCG |
| Ab 2027/2028 | BSI-Ex-ante-Prüfkompetenz für besonders wichtige Einrichtungen im Wassersektor vollständig aktiv | §39 NIS2UmsuCG |
Bußgelder nach §65 NIS2UmsuCG können nach behördlichem Ermessen verhängt werden und können voraussichtlich bis zu folgende Beträge erreichen:
- Besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist
- Wichtige Einrichtungen: bis zu 7 Millionen Euro oder bis zu 1,4 % des weltweiten Jahresumsatzes
- Versäumte Registrierung nach §33: gesonderter Bußgeldrahmen je nach Sachverhalt
§38 NIS2UmsuCG — Persönliche Haftung der Geschäftsleitung: Geschäftsführer und Vorstandsmitglieder von Wasserversorgungsunternehmen können persönlich für nachweisliche Pflichtverletzungen bei der Umsetzung von §30-Maßnahmen haftbar gemacht werden. Die Cybersicherheitspflicht ist nicht an die IT-Abteilung allein delegierbar. Die Geschäftsleitung muss sich nachweislich schulen lassen und die Umsetzung der Maßnahmen aktiv begleiten und dokumentieren.
Häufige Fragen zur NIS2-Pflicht für Wasserversorger
- Muss ein Wasserversorger mit 40 Mitarbeitern NIS2 einhalten?
- Nein. Unterhalb der Schwellenwerte (weniger als 50 Mitarbeiter und Jahresumsatz unter 10 Mio. Euro) besteht keine NIS2-Pflicht. Kleinere Versorger können sich freiwillig beim BSI registrieren und erhalten dann Zugang zu BSI-Unterstützungsangeboten, ohne den vollen Pflichtenkatalog erfüllen zu müssen.
- Gilt NIS2 auch für Zweckverbände ohne eigene Wassergewinnung?
- Ja, wenn der Zweckverband die Größenschwellen erreicht. Maßgeblich ist die Gesamtgröße des Zweckverbands als Rechtsperson — nicht die der einzelnen Mitgliedsgemeinden. Auch reine Abwasser-Zweckverbände fallen unter Anlage 1 Abschnitt 4 (Abwasserentsorgung), wenn sie die Schwellenwerte überschreiten.
- Was ist der Unterschied zwischen KRITIS-Audit und NIS2-Konformität?
- KRITIS-Audits (ehemals §8a BSIG-alt) prüften alle zwei Jahre auf Basis des B3S-Wasser — mit Fokus auf IT-Sicherheit im Versorgungsbetrieb. NIS2UmsuCG §30 erweitert den Umfang um Lieferkettensicherheit, verbindliche MFA-Pflicht und konkretisierte Kryptografievorgaben (CIR 2024/2690). Bisherige KRITIS-Audits können als Nachweis-Grundlage herangezogen werden (§30 Abs. 5 NIS2UmsuCG), ersetzen eine vollständige NIS2-Konformitätsprüfung jedoch nicht.
- Reicht der B3S-Wasser als Nachweis für §30 NIS2UmsuCG?
- Nicht vollständig. Der B3S-Wasser wird als anerkannter Nachweis nach §30 Abs. 5 akzeptiert, deckt aber nicht alle NIS2-Anforderungen ab — insbesondere Lieferkettensicherheit (lit. d) und die verbindliche MFA-Pflicht (lit. j) müssen ergänzend dokumentiert werden. Empfehlung: B3S-Wasser als Ausgangsbasis verwenden und mit einer NIS2-Lückenanalyse ergänzen.
- Welche OT-Maßnahme ist für Wasserwerke am dringlichsten?
- MFA für alle Fernzugriffe auf SCADA und SPS — der Oldsmar-Vorfall (2021) belegt, dass ungesicherte Fernwartungszugänge das direkteste Einfallstor für OT-Angriffe im Wassersektor sind. Als Grundlage für alle weiteren Maßnahmen sollte zudem ein vollständiges OT-Asset-Inventar erstellt werden, da ohne präzise Kenntnis aller Steuerungskomponenten keine wirksame Risikoanalyse möglich ist.
Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechts- oder Compliance-Beratung dar. Die NIS2-Umsetzungspflichten können je nach Unternehmensstruktur, Sektor, Größe und nationaler Regulierung variieren. Wenden Sie sich für eine unternehmensspezifische Beratung an einen qualifizierten Rechtsanwalt oder NIS2-Compliance-Spezialisten.
Quellen
- Richtlinie (EU) 2022/2555 (NIS2), Anhang I Nr. 7 und 8 — EUR-Lex, Europäisches Parlament und Rat
- BSI: Kritische Infrastrukturen — Sektor Wasser — Bundesamt für Sicherheit in der Informationstechnik
- OpenKRITIS: Sektor Wasser und Abwasser — NIS2-Anforderungen und KRITIS-Einstufung
- DVGW: IT-Sicherheit und KRITIS für Wasserversorgungsunternehmen — Deutscher Verein des Gas- und Wasserfaches
- ENISA: Cybersecurity in the Water Sector — European Union Agency for Cybersecurity
- CISA: Cyber Actors Target Water and Wastewater Systems (Oldsmar-Vorfall 2021) — Cybersecurity and Infrastructure Security Agency
