Die Bedeutung der Entsorgungswirtschaft im Kontext kritischer Infrastrukturen
Kritische Infrastrukturen sind Einrichtungen, Anlagen oder Teile davon, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Zu den kritischen Infrastrukturen zählen unter anderem die Bereiche Energie, Wasser, Ernährung, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Informationstechnik und Telekommunikation sowie Medien und Kultur.
Die Entsorgungswirtschaft ist ein integraler Bestandteil dieser Strukturen. Ohne eine funktionierende Entsorgung stünden sowohl die öffentliche Gesundheit als auch die Umwelt vor erheblichen Herausforderungen. Somit ist es wesentlich, dass die Betreiber:innen dieser Infrastrukturen umfassende Schutzmaßnahmen implementieren und aufrechterhalten.
Das BSI-Gesetz (BSIG)
Das BSI-Gesetz bildet die gesetzliche Grundlage für die IT-Sicherheit in kritischen Infrastrukturen in Deutschland. Es verpflichtet Betreiber:innen von KRITIS dazu, angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen der Informationssicherheit zu vermeiden. Die Einhaltung des BSIG wird durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht.
Zu den wichtigsten Anforderungen des BSIG zählen:
- Die Erfüllung von Mindeststandards für die IT-Sicherheit
- Die Pflicht zur Meldung von Sicherheitsvorfällen an das BSI
- Die Durchführung von Sicherheitsüberprüfungen und Audits
- Die Zusammenarbeit mit dem BSI im Rahmen von Sicherheitsmaßnahmen und -konzepten
Die BSI-Kritisverordnung (BSI-KritisV)
Die BSI-Kritisverordnung konkretisiert die Regelungen des BSIG und bestimmt, welche Einrichtungen als kritische Infrastrukturen gelten. Sie legt Schwellenwerte und spezifische Anforderungen für die unterschiedlichen Sektoren fest.
Die Verordnung ist in verschiedene Anhänge unterteilt, die die einzelnen Sektoren und ihre jeweiligen kritischen Dienstleistungen beschreiben. Anhang 8 der BSI-KritisV bezieht sich speziell auf die Entsorgungswirtschaft. Dort wird definiert, welche Dienstleistungen und Anlagen in der Entsorgungswirtschaft als kritisch eingestuft werden. Dies umfasst unter anderem:
- Die Sammlung und Entsorgung von Abfällen
- Die Behandlung und Lagerung von gefährlichen Abfällen
- Die Verwertung und das Recycling von Wertstoffen
Ein zentrales Element der BSI-KritisV sind demnach Schwellenwerte, die bestimmen, ab wann eine Infrastruktur als kritisch eingestuft wird. Diese Schwellenwerte sind abhängig von der Bedeutung der jeweiligen Dienstleistung und der Anzahl der betroffenen Personen. Betreiber:innen, die die Schwellenwerte überschreiten, sind verpflichtet, Sicherheitsvorfälle unverzüglich an das BSI zu melden. Dies ermöglicht eine schnelle Reaktion auf potenzielle Gefahren und unterstützt die Koordination von Sicherheitsmaßnahmen auf nationaler Ebene.
Die genauen Beschreibungen der einzelnen Anlagenkategorien und die Schwellenwerte je nach den einzelnen Abfallfraktionen sind der nachstehenden Tabelle aus Anhang 8, Teil 3 der BSI-KritisV zu entnehmen:
Betreiber:innen der in der Verordnung beschriebenen Anlagen mussten selbst – etwa mit Blick auf die Schwellenwerte - ihre KRITIS-Eigenschaft feststellen und sich im bejahendenfalls bis zum 02.04.2024 beim BSI über das Melde- und Informationsportal (MIP) als Betreiber:innen kritischer Infrastruktur registrieren. Daneben besteht die Pflicht der Betreiber:innen kritischer Infrastrukturen, eine Kontaktstelle einrichten, über die sie für das BSI rund um die Uhr an sieben Tagen der Woche erreichbar sind. Zudem müssen die Betreiber:innen kritischer Infrastrukturen in der Abfallwirtschaft folgende spezifische IT-Sicherheitspflichten einhalten:
- Umsetzung angemessener technischer und organisatorischer Maßnahmen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse. Zu den technischen Maßnahmen zählen beispielsweise Kryptografie, Verschlüsselung oder Multi-Faktor-Authentifizierung.
- Implementierung eines Informationssicherheits-Managementsystems (ISMS), beispielsweise nach DIN ISO/IEC 27001 einschließlich Systemen zur Angriffserkennung.
- Regelmäßige Nachweise gegenüber BSI über die Erfüllung der Sicherheitsanforderungen durch Sicherheitsaudits, Prüfungen oder Zertifizierungen alle zwei Jahre, erstmals bis zum 2. April 2026.
- Etablierung eines spezifischen Meldeprozesses für IT-Sicherheitsvorfälle. Damit sollen Störungen und IT-Sicherheitsvorfällen an das BSI gemeldet werden, die zu einem Ausfall oder einer Beeinträchtigung der kritischen Dienstleistung geführt haben oder führen können.
- Einhaltung des aktuellen Stands der Technik bei den implementierten Sicherheitsmaßnahmen.
- Umsetzung von Risikomanagementmaßnahmen und Business Continuity Management.
- Erfüllung von Unterrichtungspflichten gegenüber zuständigen Behörden.
- Anzeigepflicht des geplanten erstmaligen Einsatzes einer kritischen Komponente gegenüber dem Bundesministerium des Innern, für Bau und Heimat sowie Einholung einer Erklärung des Herstellers der kritischen Komponenten über seine Vertrauenswürdigkeit (sog. Garantieerklärung).
- Billigungs-, Überwachungs- und Schulungspflichten für Mitarbeitende in Bezug auf IT-Sicherheit.
Ein branchenspezifischer Sicherheitsstandard für den Sektor Siedlungsabfallentsorgung (B3S), der den Betreiber:innen entsprechender kritischer Infrastrukturen helfen und einen pragmatischen Weg aufzeigen soll, Cybersecurity so im Unternehmen zu etablieren, dass dabei auf die Wirklichkeit ihres Betriebs eingegangen wird, befindet sich noch in Entwicklung und wurde bisher nicht vom BSI freigegeben. Betreiber:innen müssen sich bis dahin an allgemeine IT-Sicherheitsvorgaben des BSI halten.
Des Weiteren liegt seit 2024 das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG), mit dem die EU-Mindeststandards für Cybersecurity der NIS2-Richtlinie in deutsche Gesetzgebung überführt werden soll, als beschlossene Version vor. Es muss aber aufgrund der vorgezogenen Bundestagswahl 2025 Bundestag und Bundesrat nochmals durchlaufen, so dass mit einem Inkrafttreten nicht vor Ende 2025 oder Frühjahr 2026 zu rechnen ist. Dabei wird auch das BSI-Gesetz neu gefasst und die Verpflichtungen für dort definierte sog. Einrichtungen (Unternehmen und andere Organisationen) darin verankert.
Ferner existiert aktuell ein Entwurf des KRITIS-Dachgesetzes, das inhaltlich das NIS2UmsuCG komplementiert. Während letzteres die IT-Sicherheit schützen soll, zielt das KRITIS-Dachgesetz darauf ab, die Resilienz von Betreiber:innen kritischer Infrastrukturen in Deutschland zu stärken und sektorenübergreifende Maßnahmen zum physischen Schutz dieser Einrichtungen zu etablieren.
Der Kreis der von Pflichten zum Schutz der Abfallwirtschaft vor Cyberangriffen betroffenen Unternehmen dürfte sich in Zukunft noch erweitern. Mit dem NIS2UmsuCG werden voraussichtlich alle Abfallunternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme die IT-Sicherheitspflichten nach dem BSIG einhalten müssen.
Fazit
Die Entsorgungswirtschaft spielt eine wesentliche Rolle im Rahmen der kritischen Infrastrukturen in Deutschland. Die gesetzlichen Regelungen durch das BSIG und die BSI-KritisV stellen sicher, dass Betreiber:innen dieser Infrastrukturen angemessene Schutzmaßnahmen implementieren, um die Informationssicherheit zu gewährleisten. Der detaillierte Blick auf Anhang 8 der BSI-KritisV zeigt die spezifischen Anforderungen und Herausforderungen für die Entsorgungswirtschaft auf, die durch proaktive Maßnahmen und kontinuierliche Überwachung bewältigt werden müssen. Mit einem umfassenden Ansatz zur IT-Sicherheit und einer engen Zusammenarbeit mit dem BSI können Betreiber:innen der Entsorgungswirtschaft dazu beitragen, die Resilienz und Sicherheit kritischer Infrastrukturen in Deutschland zu stärken.
Über die Autorin: Susanne Blask ist Rechtsanwältin bei der PKF FASSELT Partnerschaft mbB Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Rechtsanwälte (Mitgliedsunternehmen des PKF-Netzwerkes).