TY  - THES
A1  - Döttl, Dominik
T1  - Umsetzung der NIS-2-Richtlinie im Abwassersektor
N2  - Die vorliegende Arbeit untersucht die Umsetzung der EU-NIS-2-Richtlinie im Abwassersektor als Teil der kritischen Infrastruktur. Der Fokus liegt auf der Bewertung des aktuellen Umsetzungsstands, der Identifikation von Herausforderungen und der Erfassung von Good Practices. Die Thematik ist hochrelevant und aktuell, da die NIS-2-Richtlinie spätestens bis Oktober 2024 in nationales Recht überführt werden muss und erstmals auch mittelgroße Unternehmen in die Pflicht nimmt. Die Studie reagiert auf die Forschungslücke hinsichtlich sektorspezifischer Umsetzungserfahrungen und liefert einen praktischen Beitrag zur Stärkung der Cybersicherheit in der öffentlichen Daseinsvorsorge. Die Arbeit folgt einem Mixed-Methods-Ansatz im Paradigma der verhaltensorientierten Wirtschaftsinformatik. Datenerhebungsmethode ist eine standardisierte Online-Befragung unter Akteuren der Abwasserwirtschaft im deutschsprachigen Raum. Der Fragebogen kombiniert geschlossene (quantitative) mit offenen (qualitativen) Items, die sieben Themenkategorien der NIS-2-Richtlinie abbilden. Die Auswertung erfolgte quantitativ-deskriptiv sowie qualitativ mittels strukturierter Inhaltsanalyse nach Mayring. Ein Pretest sicherte die Validität der Instrumente; die Datenerhebung erfolgte in Kooperation mit der Deutschen Vereinigung für Wasserwirtschaft, Abwasser und Abfall e.V. Die Ergebnisse zeigen ein heterogenes, aber überwiegend hohes Umsetzungsniveau bei organisatorischen, technischen und physischen Maßnahmen. Die Mehrheit der Unternehmen hat ein Risikomanagement etabliert, regelmäßige Schulungen eingeführt und strukturelle Verantwortlichkeiten verankert. Die häufigsten Herausforderungen betreffen personelle Ressourcen, fehlende branchenspezifische Leitfäden und komplexe technische Anforderungen. Good Practices umfassen unter anderem adaptive Risikoanalysen, szenariobasierte Verfahren und die Integration von ISO/IEC-Standards. Die Ergebnisse werden mit bestehenden wissenschaftlichen Arbeiten, etwa von ENISA oder BSI, verglichen und kontextualisiert. Die Analyse verdeutlicht, dass Cybersicherheit zunehmend als strategische Aufgabe in der Abwasserwirtschaft erkannt wird, allerdings je nach Größe und Struktur der Unternehmen unterschiedlich ausgeprägt ist. Die Arbeit zeigt, dass etablierte Sicherheitsstandards wie ISO 27001, B3S Wasser/Abwasser und das ÖWAV-Handbuch praktikable Rahmenbedingungen bieten, jedoch an spezifische Sektorbedürfnisse angepasst werden müssen. Die Resultate unterstreichen die Notwendigkeit gemeinsamer Leitfäden, sektoraler Koordination und staatlicher Unterstützung. Ein Ausblick benennt weiterführende Forschungsschwerpunkte wie die Wirksamkeit konkreter Maßnahmen, die Rolle externer Dienstleister und die Entwicklung belastbarer Metriken zur Cybersicherheitsreife.
N2  - This thesis examines the implementation of the EU NIS-2 Directive in the wastewater sector, which is classified as part of critical infrastructure. The study aims to assess the current state of implementation, identify challenges, and capture good practices. The topic is highly relevant and timely, as the directive must be transposed into national law by October 2024 and, for the first time, includes medium-sized enterprises. The study addresses a notable research gap concerning sector-specific implementation experiences and contributes practically to strengthening cybersecurity in public utility services.The study applies a mixed-methods approach within the behavioral paradigm of Information Systems research. Data was collected through a standardized online survey among stakeholders in the German-speaking wastewater sector. The questionnaire combined closed (quantitative) and open (qualitative) items, covering seven thematic categories derived from the NIS-2 Directive. Quantitative results were analyzed using descriptive statistics, while qualitative responses were evaluated using Mayring’s structured content analysis. A pretest ensured the validity of the instrument, and the survey was distributed with the support of the German Association for Water, Wastewater and Waste (DWA). Findings show a heterogeneous but generally high level of implementation of organizational, technical, and physical measures. Most companies have established risk management systems, conduct regular cybersecurity training, and have defined responsibilities. The main challenges identified include limited human resources, lack of sector-specific guidelines, and technical complexity. Good practices include adaptive risk analyses, scenario-based procedures, and the integration of ISO/IEC standards. The findings are contextualized with existing literature, such as those by ENISA and BSI. The results indicate a growing recognition of cybersecurity as a strategic task in the wastewater sector, although the degree of implementation varies based on company size and structure. The study shows that established security standards like ISO 27001, B3S Water/Wastewater, and the ÖWAV handbook offer practical frameworks but must be adapted to sector-specific needs. The findings highlight the need for joint guidelines, sectoral coordination, and government support. Future research should examine the effectiveness of specific measures, the role of external service providers, and the development of robust metrics for cybersecurity maturity.
KW  - EU-Richtlinie
Y1  - 2025
UR  - https://opus.campus02.at/frontdoor/index/index/docId/1239
ER  -