NIS-2: Anforderungen an die Entsorgung von Siedlungsabfall
Ihr Experte für Fragen
Johann Hartl
Senior Manager bei PwC Deutschland
Tel.: +49 151 25913516
E-Mail
Was NIS-2 für die Cybersicherheit der Abfallwirtschaft bedeutet
Eine funktionierende Abfallentsorgung ist ein essenzieller Bestandteil des öffentlichen Lebens und eines funktionierenden Gemeinwesens. Daher fällt die Entsorgung von Siedlungsabfall wie Restmüll, Biomüll, Papier, Glas oder Sperrmüll ab dem 1. Januar 2024 offiziell unter den KRITIS-Schirm und gilt als Kritische Infrastruktur. Damit ist die Abfallwirtschaft auch von den Anforderungen des BSIG betroffen. Erschwerend kommt hinzu, dass auch kleinere Unternehmen ab 50 Mitarbeitenden des Sektors Siedlungsabfallentsorgung von der NIS-2 betroffen sind. Genauer: vom Gesetz zur Umsetzung der EU-Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Cybersicherheitsniveaus in der Europäischen Union, kurz NIS-2UmsuCG.
Neben Personalausfällen drohen bei Cyber-Vorfällen in der Abfallverwertung und -beseitigung negative Auswirkungen. Hier gilt es, die Funktion des kritischen Sektors Abfallwirtschaft aufrechtzuerhalten und dafür digitale Dienste und Komponenten richtig zu sichern – darauf zielt die Ausweitung des KRITIS-V- und des NIS-2-Anwendungsbereichs ab.
„NIS-2 nimmt nun auch Abfallwirtschaftsbetriebe in die Pflicht, die eigene Cyberresilienz zu stärken und Maßnahmen zu ergreifen, um bei Angriffen den Betrieb aufrechtzuerhalten und Vorfälle zu dokumentieren. In Anbetracht der gesellschaftlichen Funktion des Sektors ist das ein wichtiger Schritt.“
Wir geben Ihnen einen Überblick, welche Anforderungen der Gesetzgeber zukünftig an Ihr Unternehmen stellt und welche Schritte notwendig sind, um die NIS-2-Richtlinie erfolgreich umzusetzen.
Cyber-Security-Pflichten für Abfallwirtschaftsbetriebe
Anlagekategorien und Schwellenwerte
Kontaktieren Sie uns
Die Anforderungen auf einen Blick
Unternehmen der Abfallwirtschaft wurden in den letzten Jahren zunehmend von Cyberangriffen überrascht. Insbesondere Müllheizkraftwerke sind häufig dabei betroffen, da ein Ausfall der Stromerzeugung weitreichende Auswirkungen auf die Gesellschaft haben kann und die Nutzung von veralteten Systemen in den Anlagen einen Angriff erleichtert. Dabei können Anlagensteuerungen übernommen und somit Mitarbeitende in Gefahr gebracht werden. Es entstehen längere Ausfallzeiten. Folglich steigen die Unternehmenskosten durch die fehlende Auslastung, Aufwände für Reparaturen und den Wiederanlauf.
Mit der Erweiterung der NIS-2-Richtlinie und dem IT-Sicherheitsgesetz zählt nun auch die Siedlungsabfallentsorgung zum KRITIS-Bereich. Bis zum 17. Oktober 2024 müssen die EU-Mitgliedstaaten die NIS-2-Richtlinie in nationales Recht umgesetzt haben. NIS-2 fordert nicht nur den Aufbau eines Risikomanagements im gesamten Unternehmen, sondern berücksichtigt dabei zusätzlich auch die gesamten Anlagen zur Müllverarbeitung. So sollen Störungen, Ausfälle und damit verbundene hohe Kosten somit und die Stromversorgung für die Gesellschaft besser abgesichert werden. Diese konkreten Pflichten kommen auf betroffene Unternehmen zu:
Konkret müssen Betreiber einer Siedlungsabfallanlage den Versorgungsgrad ihrer Anlage für das zurückliegende Kalenderjahr jeweils bis zum 31. März des Folgejahres ermitteln.
Ergänzung der KRITIS V mit dem neuen Sektor Siedlungsabfallentsorgung samt Anlagenkategorien und Schwellenwerten
| Nr. | Anlagekategorie | Bemessungskriterium | Schwellenwert |
|---|---|---|---|
| 1. | Sammlung und Beförderung | ||
| 1.1 | Anlage zur Disposition der Siedlungsabfall-sammlung oder -beförderung | Anzahl versorgter Einwohner | 500.000 |
| gesammelter oder beförderter Rest- oder gemischter Gewerbeabfall in t/Jahr | 79.500 | ||
| gesammelter oder beförderter Bioabfall in t/Jahr | 33.500 | ||
| gesammelter oder beförderter LVP- und Kunst-stoffabfall in t/Jahr | 18.500 | ||
| gesammelter PPK-Abfall in t/Jahr oder | 32.500 | ||
| gesammelter Glasabfall in t/Jahr | 12.000 | ||
| 1.2 | Anlage zur Lagerung, Zwischenlagerung und Umladung von Siedlungsabfällen | Zugang an Rest- oder gemischtem Gewerbeabfall in t/Jahr | 79.500 |
| Zugang an Bioabfall in t/Jahr oder | 33.500 | ||
| Zugang an LVP- und Kunststoffabfall in t/Jahr | 18.500 | ||
| 2. | Verwertung und Beseitigung | ||
| 2.1 | Anlage zur thermischen Behandlung von Siedlungsabfällen | Genehmigte Behandlungskapazität von Rest- oder gemischtem Gewerbeabfall in t/Jahr | 79.500 |
| 2.2 | Anlage zur mechanisch-biologischen oder mechanisch-physikalischen Behandlung von Siedlungsabfällen | Genehmigte Behandlungskapazität von Rest- oder gemischtem Gewerbeabfall in t/Jahr | 79.500 |
| 2.3 | Anlage zur biologischen Behandlung von Siedlungsabfällen | Genehmigte Behandlungskapazität von Bioabfall in t/Jahr | 33.500 |
| 2.4 | Anlage zur mechanischen Behandlung von Siedlungsabfällen | Genehmigte Behandlungskapazität von Rest- oder gemischtem Gewerbeabfall in t/Jahr | 79.500 |
| 2.5 | Anlage zur Sortierung von Siedlungsabfällen | Genehmigte Behandlungskapazität von Rest- oder gemischtem Gewerbeabfall in t/Jahr oder | 79.500 |
| Genehmigte Behandlungskapazität von LVP- und Kunststoffabfall in t/Jahr | 18.500 | ||
| NIS – Bundesvereinigung Deutscher Stahlrecycling- und Entsorgungsunternehmen e.V. (BDSV) PwC |
Quelle: BMI Referentenentwurf | ||
Cyber Security prüfen
Mehrstufiges Meldeverfahren bei Sicherheitsvorfällen
- Stufe 1: Frühe Erstmeldung
- Stufe 2: Bestätigende Erstmeldung
- Stufe 3: Zwischenmeldung
- Stufe 3a: Fortschrittsmeldung
- Stufe 4: Abschlussmeldung
Stufe 1: Frühe Erstmeldung
Bei Verdacht auf einen erheblichen Sicherheitsvorfall, rechtswidrige oder böswillige Handlungen oder grenzüberschreitende Auswirkungen muss der Abfallbetrieb unverzüglich und spätestens innerhalb von 24 Stunden tätig werden.
Stufe 2: Bestätigende Erstmeldung
Unverzüglich, aber spätestens nach 72 Stunden müssen Betreiber einen erheblichen Sicherheitsvorfall melden. Dazu gehört, die Informationen aus Stufe 1 zu bestätigen oder zu aktualisieren. Außerdem müssen sie eine erste Bewertung abgeben und dabei Schweregrad, Auswirkung und, wenn möglich, Indikatoren der Kompromittierung einschätzen.
Stufe 3: Zwischenmeldung
Falls vom BSI angefordert, muss der Betreiber eine Zwischenmeldung abgeben, in der er über relevante Statusaktualisierungen berichtet.
Stufe 3a: Fortschrittsmeldung
Dauert der Sicherheitsvorfall nach Stufe 2 noch weiter an, müssen Betreiber eine Fortschrittsmeldung anstelle einer Abschlussmeldung abgeben.
Stufe 4: Abschlussmeldung
Spätestens einen Monat nach der Meldung gemäß Stufe 2 muss die Abschlussmeldung erfolgen. Diese enthält eine ausführliche Beschreibung des Vorfalls, erklärt den Schweregrad und die Auswirkungen der Störung und definiert die Art der Bedrohung bzw. Ursache. Zusätzlich enthält die Meldung Abhilfemaßnahmen gegen entsprechende künftige Ausfälle.
Umfassendes Risikomanagement
Damit es möglichst nicht zu meldepflichtigen Ausfällen kommt, sind Abfallwirtschaftsbetriebe dazu verpflichtet, technische und organisatorische Sicherheitsmaßnahmen zu etablieren, die wirksam und verhältnismäßig sind. Sie müssen auf dem neuesten Stand der Technik sein und sollten sich am IT-Grundschutz des BSI orientieren.
Innerhalb der Abfallwirtschaft drohen insbesondere in der Abfallverwertung und -beseitigung technische Störungen, beispielsweise in Müllverbrennungsanlagen oder auf Recyclinghöfen. Hier ist es entscheidend, dass ein konkretes Risikomanagement etabliert ist. Dieses umfasst Risikoanalysen, die Sicherheit der Lieferkette, Cyberhygiene und Schulungen ebenso wie Konzepte für die Zugriffskontrolle und eine Multi-Faktor-Authentifizierung.
Stand der Technik: Beispiel Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung und gesicherte Kommunikation – die Anforderungen des BSI-IT Grundschutz
| Baustein | Anforderungstyp | Anforderung |
|---|---|---|
| ORP4 | Basis | Regelung für die Einrichtung und Löschung von Benutzenden und Benutzendengruppen |
| Basis | Einrichtung, Änderung und Entzug von Berechtigungen | |
| Basis | Dokumentation der Benutzendenkennungen und Rechteprofile | |
| Basis | Aufgabenverteilung und Funktionstrennung | |
| Basis | Vergabe von Zutrittsberechtigungen | |
| Basis | Vergabe von Zugangsberechtigungen | |
| Basis | Vergabe von Zugriffsrechten | |
| Basis | Regelung des Passwortgebrauchs | |
| Basis | Identifikation und Authentisierung | |
| Basis | Regelung zur Passwortqualität | |
| Basis | Regelung für passwortverarbeitende Anwendungen und IT-Systeme | |
| Standard | Schutz von Benutzendenkennungen mit weitreichenden Berechtigungen | |
| Standard | Entwicklung eines Authentisierungskonzeptes für IT-Systeme und Anwendungen | |
| Standard | Geeignete Auswahl von Authentisierungsmechanismen | |
| CON.1 | Basis | Auswahl geeigneter kryptografischer Verfahren |
| Basis | Datensicherung beim Einsatz kryptografischer Verfahren | |
| CON.9 | Basis | Geeignetes Schlüsselmanagement |
| Basis | Festlegung zulässiger Empfangender | |
| Basis | Regelung des Informationsaustausches | |
| Basis | Unterweisung des Personals zum Informationsaustausch | |
| NET.4.1 | Basis | Anforderungsanalyse und Planung für TK-Anlagen |
| Basis | Auswahl von TK-Diensteanbietenden | |
| Basis | Protokollierung bei TK-Anlagen | |
| Standard | Notfallvorsorge für TK-Anlagen | |
| Standard | Notrufe bei einem Ausfall der TK-Anlage |
