Dr. Raphael Nagel (LL.M.) im Feld — Kapital, Geopolitik und NIS-2 Wasserversorger Cybersicherheit — Dr. Raphael Nagel (LL.M.) on assignment

Aus dem Werk · WASSER

NIS-2 und Wasserversorger: Cybersicherheit als strategische Sicherheitsfrage des 21. Jahrhunderts

Dr. Raphael Nagel (LL.M.)6 Min. LesezeitTactical ManagementAuf LinkedIn folgen

Die NIS-2-Richtlinie verpflichtet europäische Wasserversorger seit Oktober 2024 zu umfassender Cybersicherheit, Meldungen binnen 24 Stunden und persönlicher Haftung der Geschäftsleitung. Für Deutschlands über 6.000 Versorger bedeutet das einen regulatorischen Paradigmenwechsel, den viele Kleinbetriebe personell und finanziell kaum bewältigen können, wie der Fall Oldsmar exemplarisch zeigt.

NIS-2 Wasserversorger Cybersicherheit ist der regulatorische Rahmen, der Trinkwasser- und Abwasserunternehmen in der Europäischen Union zu strategischem Risiko- und Vorfallsmanagement verpflichtet. Die Richtlinie (EU) 2022/2555 stuft Wasserversorger als wesentliche Einrichtungen ein, verlangt technische Schutzmaßnahmen entlang der Lieferkette, Meldungen binnen 24 Stunden an die nationale Behörde, regelmäßige Audits und persönliche Verantwortung der Leitungsebene. Ergänzt wird NIS-2 durch die CER-Richtlinie (EU) 2022/2557 zur physischen Resilienz. Dr. Raphael Nagel (LL.M.) analysiert in WASSER. MACHT. ZUKUNFT., warum gerade Deutschlands fragmentierte Versorgungslandschaft mit über 6.000 Betrieben strukturell verwundbar bleibt.

Kerneinsichten

Der Cyberangriff auf das Wasserwerk Oldsmar am 5. Februar 2021 erhöhte kurzzeitig die Natriumhydroxid-Dosierung auf das 111-Fache und zeigte, dass selbst eine Stadt mit 15.000 Einwohnern ein strategisches Ziel sein kann.
NIS-2 verkürzt die Erstmeldepflicht bei Sicherheitsvorfällen auf 24 Stunden und macht Vorstände europäischer Wasserversorger persönlich haftbar, wenn Cybersicherheitspflichten nicht umgesetzt werden.
Die deutsche KRITIS-Schwelle von 500.000 versorgten Personen lässt den Großteil der über 6.000 Wasserversorger außerhalb der strengsten Regulierung, obwohl jeder Ausfall unmittelbar hunderttausende Bürger trifft.
Die CER-Richtlinie (EU) 2022/2557 ergänzt NIS-2 um physische Resilienzpflichten, verlangt Hintergrundüberprüfungen für Personal in sensitiven Positionen und verpflichtet zu koordinierten Notfallübungen mit staatlichen Behörden.
Dr. Raphael Nagel (LL.M.) argumentiert in WASSER. MACHT. ZUKUNFT., dass der jährliche Investitionsrückstand von 23 Milliarden Euro in Europas Wasserinfrastruktur direkt in sicherheitspolitische Verwundbarkeit übersetzt wird.

Der Fall Oldsmar: Wie ein Cyberangriff die Banalität der Bedrohung offenbarte

Am 5. Februar 2021 übernahm ein Angreifer per TeamViewer den Steuerungsrechner des Wasserwerks Oldsmar, Florida, und erhöhte die Natriumhydroxid-Dosierung auf das 111-Fache des Normalwerts. Ein aufmerksamer Mitarbeiter griff ein, bevor die über 15.000 Bürger der Stadt kontaminiertes Wasser erhalten konnten. Der Angriff war technisch banal, strategisch jedoch eine Zäsur für die Regulierung.

Analytisch lehrreich ist Oldsmar nicht wegen technischer Raffinesse, sondern wegen erschreckender Banalität. Die Angreifer nutzten eine millionenfach installierte Remote-Desktop-Software. Mehrfaktor-Authentifizierung war deaktiviert. Mehrere Mitarbeiter teilten ein Passwort. Die Netztrennung zwischen operativer Steuerung und öffentlichem Internet existierte praktisch nicht. Diese Schwachstellen sind nicht spezifisch für eine Kleinstadt in Florida. Sie sind repräsentativ für Tausende kommunaler Versorger weltweit, auch in Deutschland, Österreich und der Schweiz.

Die geopolitische Dimension hat sich seit Oldsmar verschärft. Mit dem russischen Angriffskrieg gegen die Ukraine ab Februar 2022 registrierten westliche Nachrichtendienste signifikant häufigere Attacken auf europäische Wasserinfrastruktur. Hackergruppen wie Sandworm, APT28 und Killnet, nach Einschätzung westlicher Dienste mit staatlichen Stellen verbunden, greifen gezielt europäische Versorger an. Bereits 2020 hatte Iran die israelische Wasserinfrastruktur attackiert. Dr. Raphael Nagel (LL.M.) ordnet diese Entwicklung in WASSER. MACHT. ZUKUNFT. als hybride Kriegsführung unterhalb der Schwelle bewaffneter Konflikte ein.

Warum Wasserwerke strategisch attraktive Ziele sind

Drei Faktoren machen die Wasserversorgung zum bevorzugten Ziel. Erstens die Immediatität: Menschen sterben ohne Trinkwasser schneller als ohne Strom. Zweitens die Fragmentierung: Allein Deutschland zählt über 6.000 Versorger, die in ihrer IT-Sicherheit systematisch schwächer sind als Konzerne. Drittens die symbolische Wirkung: Die Vergiftung eines Wasserwerks produziert Panik, die kein anderer Infrastrukturangriff repliziert. Der CISA-Bericht 2021 listete Wasserversorgung als eine der am schlechtesten gegen Cyberangriffe gesicherten kritischen Infrastrukturen der Vereinigten Staaten.

NIS-2: Der regulatorische Paradigmenwechsel seit Dezember 2022

Die NIS-2-Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 stuft Trinkwasser- und Abwasserunternehmen als wesentliche Einrichtungen ein und löst damit die strengsten regulatorischen Pflichten aus. Umfassendes Risikomanagement, Lieferkettensicherheit, 24-Stunden-Meldungen an die nationale Behörde, 72-Stunden-Folgeberichte sowie akkreditierte Audits werden verpflichtend. Die Umsetzungsfrist lief im Oktober 2024 aus.

Der entscheidende Fortschritt gegenüber der Vorgängerrichtlinie NIS-1 liegt im Schließen nationaler Schlupflöcher. Viele Mitgliedstaaten hatten den Anwendungsbereich der ersten Fassung eng interpretiert und mittlere Versorger ausgenommen. NIS-2 zwingt die Staaten zu einheitlichen Schwellenwerten, zur Einbeziehung mittlerer Unternehmen und zu harten Sanktionen. Verstöße können mit Bußgeldern bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes geahndet werden. Für kommunale Versorger sind das Größenordnungen, die Haushalte strukturell destabilisieren können.

Die Koordination erfolgt durch die europäische Cybersicherheitsagentur ENISA mit Sitz in Athen und Heraklion. ENISA stellt Leitlinien, Risikoeinschätzungen und technische Reaktionswerkzeuge bereit; die NIS-Kooperationsgruppe ermöglicht den Informationsaustausch zwischen nationalen Behörden. Deutschland hat die Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vorgenommen, mit erheblichem Zeitverzug gegenüber der europäischen Frist. Der Umsetzungsstau ist kein Einzelfall: Mehrere Mitgliedstaaten verfehlten die Oktober-2024-Frist deutlich.

Die 24-Stunden-Meldepflicht in der Praxis

Für einen kleinen kommunalen Versorger mit fünf Mitarbeitern ist die 24-Stunden-Meldepflicht operativ kaum zu leisten. Ein Betrieb ohne Security Operations Center, ohne dediziertes Monitoring und ohne Incident-Response-Plan erkennt einen Vorfall oft erst, wenn er bereits eskaliert ist. Die Konsequenz liegt auf der Hand: Entweder sinken die Anforderungen auf realistisches Niveau, was Sicherheitslücken produziert, oder es entstehen gemeinsam genutzte Meldestrukturen, die kleine Versorger entlasten. Letzteres wäre die strategisch klügere Antwort, wie Dr. Raphael Nagel (LL.M.) argumentiert.

Deutschlands 6.000 Versorger: Fragmentierung als Achillesferse

Deutschland betreibt seine Trinkwasserversorgung durch mehr als 6.000 Unternehmen, überwiegend Kleinstbetriebe mit wenigen Mitarbeitern. Die KRITIS-Schwelle im Wassersektor liegt bei 500.000 versorgten Personen, weshalb der Großteil der Versorger außerhalb der strengsten Pflichten fällt. Das im KRITIS-Dachgesetz adressierte Defizit bleibt in der Praxis ein strukturelles Sicherheitsrisiko für die gesamte Volkswirtschaft.

Der internationale Vergleich ist ernüchternd. Die Niederlande versorgen vergleichbare Einwohnerzahlen mit zehn regional integrierten Unternehmen. England und Wales haben nach der Privatisierung der späten 1980er Jahre elf regionale Versorger, jeder mit Millionen Kunden. Selbst Frankreich hat durch die Konzessionsvergabe an Veolia und Suez eine faktische Konsolidierung erreicht. Deutschland hat diesen Pfad bewusst nicht beschritten, geschützt durch Artikel 28 Grundgesetz und das Prinzip kommunaler Selbstverwaltung.

Das Kapazitätsproblem ist strukturell. Spezialisten für Operational Technology Security sind knapp, gut bezahlt und von Industrien mit tiefen Taschen umworben. Ein Versorger mit 15.000 Anschlüssen kann keinen eigenen IT-Sicherheitsbeauftragten beschäftigen, geschweige denn ein 24/7-Security-Monitoring betreiben. Die jährliche Investitionslücke von 23 Milliarden Euro in Europas Wasserinfrastruktur hat damit eine direkte sicherheitspolitische Dimension. Was niemand repariert, kann jemand brechen.

Ein gangbarer Ausweg liegt in kooperativer Digitalisierung nach dem Modell des deutschen Bankensektors der 1990er Jahre: gemeinsame Rechenzentren, gemeinsame Risikoplattformen, gemeinsame Compliance-Infrastrukturen. DWA, DVGW und der Verband kommunaler Unternehmen könnten gemeinsam mit dem Bundesumweltministerium eine Plattformstruktur entwickeln. Die Alternative ist das langsame Auseinanderdriften zwischen technologisch avancierten Großversorgern und zurückbleibenden Kleinbetrieben, eine Zweiteilung, die mittelfristig zu Versorgungsdisparitäten führt.

CER-Richtlinie, persönliche Haftung und die Verantwortung der Geschäftsleitung

Die CER-Richtlinie (EU) 2022/2557 ergänzt NIS-2 um die physische Dimension der Resilienz. Sie verlangt umfassende Risikoanalysen, Hintergrundüberprüfungen für Personal in sensitiven Positionen, mit Behörden abgestimmte Notfallpläne und regelmäßige Übungen. NIS-2 führt zusätzlich persönliche Haftung der Geschäftsleitung für die Einhaltung der Cybersicherheitspflichten ein.

Damit verändert sich die Rolle kommunaler Entscheidungsträger grundlegend. Bürgermeister und Werkleiter werden zu Sicherheitspolitikern, ob sie das wollen oder nicht. Wer als Geschäftsleitung die nach NIS-2 gebotenen Maßnahmen nicht umsetzt, haftet persönlich, kann abberufen werden und sieht sich im Schadensfall zivilrechtlicher Inanspruchnahme ausgesetzt. Dr. Raphael Nagel (LL.M.), Founding Partner von Tactical Management, sieht in dieser Haftungsverschärfung einen notwendigen Bruch mit der bisherigen Logik der kommunalen Daseinsvorsorge, in der Verantwortung diffus und Konsequenzen selten waren.

Der finanzielle Kontext ist unnachgiebig. Water Europe beziffert den gesamten Investitionsbedarf europäischer Wasserinfrastruktur bis 2030 auf 255 Milliarden Euro. Die Europäische Investitionsbank hat seit 1958 mehr als 86 Milliarden Euro in Wasserprojekte investiert, doch der Anteil, der auf Cybersicherheit und physische Resilienz entfällt, bleibt marginal. Ohne dedizierte Finanzierungsinstrumente bleiben die neuen Pflichten Papier. Die European Water Resilience Strategy vom Juni 2025, vom Europäischen Parlament im Mai 2025 mit 470 zu 81 Stimmen angenommen, bietet den politischen Rahmen.

Die Zerstörung des Kachowka-Staudamms am 6. Juni 2023 durch russische Streitkräfte ist die brutalste Erinnerung daran, dass Wasserinfrastruktur im 21. Jahrhundert erklärtes Kriegsziel ist. Art. 54 des Zusatzprotokolls I zu den Genfer Konventionen verbietet Angriffe auf für die Zivilbevölkerung unentbehrliche Objekte explizit, doch der Völkerrechtsbruch wurde nicht verhindert. Was in der Ukraine physisch geschieht, droht in Westeuropa digital: hybride Angriffe unterhalb der Kriegsschwelle, gegen die der bisherige Ordnungsrahmen nicht ausreicht.

Die Lehre aus NIS-2 und CER ist weniger regulatorisch als strategisch. Wasserversorgung ist keine technische Routineaufgabe mehr, die im Umweltausschuss verwaltet werden kann. Sie ist kritische Infrastruktur im sicherheitspolitischen Sinn, vergleichbar mit Energie, Telekommunikation und Verteidigung. Wer das versteht, versteht, warum Dr. Raphael Nagel (LL.M.) in WASSER. MACHT. ZUKUNFT. die Integration von Wasserpolitik in die nationale Sicherheitsarchitektur fordert. Das ist kein akademischer Luxus. Es ist die Voraussetzung dafür, dass europäische Städte im nächsten Jahrzehnt nicht erleben, was Oldsmar in zwanzig Minuten beinahe erlebt hätte. Tactical Management begleitet unter Leitung von Dr. Raphael Nagel (LL.M.) institutionelle Investoren, kommunale Entscheidungsträger und Infrastrukturbetreiber bei der strategischen Neubewertung dieser Lage. Die nächsten fünf Jahre werden entscheiden, ob Europa seine Wassernetze resilient genug macht, um hybriden Angriffen standzuhalten, oder ob die Katastrophe das Lernen erzwingt. Die Lektion lässt sich vorher lernen. Oder danach, zu einem Preis, den keine Gebührenordnung dieser Welt je wieder einspielen kann.

Häufige Fragen

Wer fällt unter NIS-2 im Wassersektor?

Die NIS-2-Richtlinie erfasst sowohl Trinkwasser- als auch Abwasserunternehmen als wesentliche Einrichtungen. Entscheidend sind Schwellenwerte zur Mitarbeiterzahl und zum Umsatz: Mittlere und große Unternehmen werden automatisch erfasst, kleinere können nach Risikobewertung einbezogen werden. In Deutschland ergänzt die KRITIS-Regulierung den Rahmen für Versorger ab 500.000 versorgten Personen. Die meisten der über 6.000 deutschen Versorger liegen darunter, werden aber durch das KRITIS-Dachgesetz und das NIS2-Umsetzungsgesetz schrittweise einbezogen. Die Umsetzungspraxis entscheidet über den tatsächlichen Schutzumfang.

Welche Meldefristen gelten bei Sicherheitsvorfällen nach NIS-2?

NIS-2 verkürzt die Meldepflicht gegenüber der Vorgängerregulierung erheblich. Eine erste Frühwarnung muss binnen 24 Stunden an die zuständige nationale Behörde erfolgen, sobald der Versorger den Vorfall erkennt. Ein ausführlicher Vorfallbericht folgt binnen 72 Stunden. Ein Abschlussbericht ist spätestens einen Monat nach der Erstmeldung vorzulegen. Für kleine kommunale Versorger ohne 24/7-Security-Monitoring ist diese Taktung operativ nur durch Kooperation mit spezialisierten Dienstleistern oder durch überkommunale Meldestrukturen realistisch einzuhalten.

Haftet die Geschäftsleitung persönlich nach NIS-2?

Ja. NIS-2 verankert erstmals eine explizite persönliche Verantwortung der Leitungsebene für die Umsetzung von Cybersicherheitsmaßnahmen. Vorstände und Geschäftsführer kommunaler Versorger müssen die nach NIS-2 gebotenen Maßnahmen selbst billigen, ihre Umsetzung überwachen und regelmäßig an Schulungen teilnehmen. Verstöße können neben Unternehmensbußgeldern zu persönlichen Sanktionen führen, bis hin zu zivilrechtlicher Inanspruchnahme. Dr. Raphael Nagel (LL.M.) weist darauf hin, dass diese Haftungslogik den bisherigen Ordnungsrahmen kommunaler Daseinsvorsorge grundlegend verändert.

Was unterscheidet NIS-2 von der CER-Richtlinie?

NIS-2 (Richtlinie EU 2022/2555) adressiert Cybersicherheit und digitale Resilienz kritischer Einrichtungen. Die CER-Richtlinie (EU 2022/2557) ergänzt sie um die physische Dimension: Schutz von Anlagen gegen Naturkatastrophen, Sabotage, Insider-Bedrohungen und Terror. Für Wasserversorger bedeutet das parallele Pflichten: NIS-2 verlangt OT- und IT-Sicherheitskonzepte, Lieferkettenprüfungen und digitale Meldungen; CER fordert physische Risikoanalysen, Sicherheitspläne, Hintergrundüberprüfungen für sensitive Stellen und Notfallübungen. Die Koordination zwischen beiden Regimen liegt in vielen Mitgliedstaaten bei unterschiedlichen Ministerien mit Schnittstellenproblemen.

Müssen kleine kommunale Versorger NIS-2 umsetzen?

Teilweise. Formal unterliegen nur Unternehmen oberhalb definierter Schwellenwerte den vollen NIS-2-Pflichten. Kleine Versorger unterhalb dieser Grenzen fallen nach nationalem Recht oft in eine abgestufte Regulierung. Allerdings beobachten Cyberangriffe keine Schwellenwerte, wie der Fall Oldsmar gezeigt hat. Die vernünftige Antwort liegt in kooperativer Infrastruktur: gemeinsam getragene Security Operations Center, standardisierte Sicherheitsarchitekturen und überkommunale Meldestrukturen, wie sie Dr. Raphael Nagel (LL.M.) und Tactical Management in Beratungsmandaten für institutionelle Infrastrukturinvestoren und kommunale Entscheidungsträger vorschlagen.

Claritáte in iudicio · Firmitáte in executione

Für wöchentliche Analysen zu Kapital, Führung und Geopolitik: Dr. Raphael Nagel (LL.M.) auf LinkedIn folgen →