KRITIS-Sektor Entsorgung

Der Sektor Entsorgung ist im 2.0 IT-Sicherheitsgesetz 2.0 definiert, das am 28. Mai 2021 in Kraft getreten ist. Im KRITIS-Sektor Siedlungsabfallentsorgung erbringen KRITIS-Betreiber eine kritische Dienstleistung zur Entsorgung von Siedlungs­abfällen — von der Sammlung bis zur Verwertung:

  1. Entsorgung von Siedlungsabfällen: Sammlung, Beseitigung und Verwertung von Siedlungsabfällen

Erbringt ein Betreiber im Sektor diese kritische Dienstleistung in eigenen Anlagen und überschreitet dabei Schwellenwerte (von üblicherweise 500 Tsd. versorgten Personen), wird er zum KRITIS-Betreiber. Die Anlagen, Schwellenwerte und Fristen müssen noch in einer Rechts­verordnung definiert werden.

KRITIS-Betreiber

Änderungen IT-Sicherheitsgesetz 2.0

Im neuen IT-Sicherheitsgesetz 2.0 werden Entsorger, Recycling-Unternehmen und kommunale Betriebe wahrscheinlich zu KRITIS-Betreibern. Nach KrWG sind Siedlungs­abfälle aus privaten Haushaltungen, insbesondere Papier und Pappe, Glas, Metall, Kunststoff, Bioabfälle, Holz, Textilien, Verpackungen, Elektro- und Elektronik-Altgeräte, Altbatterien und Altakku­mulatoren sowie Sperrmüll, einschließlich Matratzen und Möbel [...].

IT-SiG 2.0

DE Das neue IT-Sicherheitsgesetz 2.0

Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ 12 Folien PDF ∙ Mai 2021

Pflichten als Kritische Infrastruktur

Je nach Verabschiedung der Rechtsverordnung werden die folgenden Pflichten von KRITIS-Betreibern nach einer Übergangszeit auch auf KRITIS-relevante Entsorger zutreffen.

Unternehmen, die mit ihren Anlagen die definierten Schwellenwerte als Kritische Infrastruktur überschreiten, fallen als KRITIS-Betreiber unter die KRITIS-Regulierung und unterliegen dann einer Fülle von Cyber Security Pflichten:

  1. Identifikation KRITIS-Anlagen: Betreiber müssen sich selbst als KRITIS identifizieren.
  2. Registrierung als KRITIS: Meldung der KRITIS-Anlagen und Registrierung beim BSI
  3. KRITIS-Meldepflichten: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI
  4. KRITIS-Geltungsbereich: KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
  5. Cyber Security in KRITIS: Technische und organisatorische Maßnahmen zum Management von IT-Sicherheit (ISMS), Risiken, Kontinuität (BCMS) und Technologien
  6. KRITIS-Prüfungen: Umsetzung der Cyber Security Maßnahmen durch Prüfungen nachweisen

Cyber Security Maßnahmen

KRITIS-Betreiber sind für angemessene IT-Sicherheit in ihren KRITIS-Anlagen verantwortlich und müssen dazu in den Anlagen wirksame Cyber Security Maßnahmen umgesetzen:

  1. Organisatorische Maßnahmen: Management-Systeme wie ISMS und BCMS helfen bei der angemessenen Behandlung von Cyber-Risiken in den KRITIS-Anlagen.
  2. Technologie: Maßnahmen nach Stand der Technik schützen die IT, OT, Infrastruktur und Betriebsorganisation der KRITIS-Anlagen beim Betreiber.
  3. Angriffserkennung: Systeme und Prozesse zur Detektion wie SIEM und IDS aber auch CSIRT und SOC ermöglichen eine angemessene Reaktion auf Störungen und Angriffe.

2.0 Die Cyber Security Anforderungen steigen mit dem neuen IT-Sicherheitsgesetz 2.0.

up

Anlagen

Die KRITIS-Anlagen im neuen Sektor Siedlungsabfallentsorgung sind in der Gesetzgebung noch nicht definiert. Basierend auf den Entwürfen, Annahmen zur kritischen Dienstleistung und den Definitionen in §3 KrWG könnten sich folgende Anlagen ergeben:

Mögliche KRITIS-Anlagen Sektor Siedlungsabfallentsorgung
Bereich Definition KrWG Mögliche Anlagen
Sammlung Einsammeln von Abfällen, einschließlich deren vorläufiger Sortierung und vorläufiger Lagerung zum Zweck der Beförderung zu einer Abfall-behandlungsanlage. (Abs. 15) Steuerung und Tourenplanung der Müllabfuhr; Sortieranlage, Abfallbehandlungsanlage
Verwertung Verfahren, als dessen Hauptergebnis die Abfälle innerhalb der Anlage oder in der weiteren Wirtschaft einem sinnvollen Zweck zugeführt werden, indem sie entweder andere Materialien ersetzen, die sonst zur Erfüllung einer bestimmten Funktion verwendet worden wären, oder indem die Abfälle so vorbereitet werden, dass sie diese Funktion erfüllen. (Abs. 23) Verbrennungsanlage, Müllverbrennungsanlage
Möglicherweise auch die stoffliche Verwertung mit der Vorbereitung zur Wiederverwendung, das Recycling und die Verfüllung (Abs. 23a) Recyclinghof, Wertstoffhof
Beseitigung Verfahren, das keine Verwertung ist, auch wenn das Verfahren zur Nebenfolge hat, dass Stoffe oder Energie zurückgewonnen werden. (Abs. 26) Deponien; Anlagen zur Behandlung, Verpressung und Verbrennung

up

Schwellenwerte

Die Schwellenwerte im neuen Sektor Siedlungsabfallentsorgung sind noch nicht definiert, könnten sich aber an 500.000 versorgten Personen pro einzelner Anlage bemessen.

Pro-Kopf Verbrauch

Die KRITIS-Verordnung rechnet die versorgten Personen meist über einen durchschnittlichen Pro-Kopf-Verbrauch in Leistung pro Anlage um.

Annahme: Bei einem durchschnittlichen Aufkommen von 457 Kilogramm Haushaltsabfall pro Einwohner Deutschlands wären Anlagen mit mehr als 228 500 Tonnen Haushaltsabfall pro Jahr KRITIS — dies muss sich alles noch mit der finalen KRITIS-Verordnung 2021 zeigen.

Fristen (Annahme)

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren. Die Übergangsfristen für neue Betreiber sind noch nicht definiert.

up

Weitere Informationen

Quellen

  1. Zweites Gesetz zur Erhöhung der Sicherheit informations­technischer Systeme, IT-Sicherheits­gesetz 2.0, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021
  2. Gesetz zur Förderung der Kreislaufwirtschaft und Sicherung der umweltverträglichen Bewirtschaftung von Abfällen (Kreislaufwirtschaftsgesetz - KrWG), vom 24. Februar 2012 (BGBl. I S. 212), das zuletzt durch Artikel 2 Absatz 2 des Gesetzes vom 9. Dezember 2020 (BGBl. I S. 2873) geändert worden ist