KRITIS-Sektor Entsorgung

Dieser Sektor ist im 2.0 IT-Sicherheitsgesetz 2.0 definiert, das am 23.4.2021 im Bundestag beschlossen wurde. Die Ausführungen basieren auf Gesetzesentwürfen und Annahmen.

Der neue KRITIS-Sektor Siedlungsabfallentsorgung definiert die Entsorgung von Siedlungsabfällen als kritische Dienstleistung. Mit dem IT-Sicherheitsgesetz 2.0 werden damit Entsorger, Recycling-Unternehmen und kommunale Betriebe zu KRITIS-Betreibern mit folgender Dienstleistung:

  1. Entsorgung von Siedlungsabfällen: Sammlung, Beseitigung und Verwertung von Siedlungsabfällen

Siedlungsabfälle sind im Gesetz nach §3 Abs. 5a KrWG definiert als Abfälle aus privaten Haushaltungen, insbesondere Papier und Pappe, Glas, Metall, Kunststoff, Bioabfälle, Holz, Textilien, Verpackungen, Elektro- und Elektronik-Altgeräte, Altbatterien und Altakku­mulatoren sowie Sperrmüll, einschließlich Matratzen und Möbel [...]

Erbringen Betreiber im Sektor diese Dienstleistungen auf eigenen KRITIS-Anlagen und überschreitet dabei die Schwellenwerte (von in der Regel 500 Tsd. versorgten Personen), werden diese zum KRITIS-Betreiber mit Pflichten.

Anlagen

Die KRITIS-Anlagen im neuen Sektor Siedlungsabfallentsorgung sind in der Gesetzgebung noch nicht definiert. Basierend auf den Entwürfen, Annahmen zur kritischen Dienstleistung und den Definitionen in §3 KrWG könnten sich folgende Anlagen ergeben:

Mögliche KRITIS-Anlagen Sektor Siedlungsabfallentsorgung
Bereich Definition KrWG Mögliche Anlagen
Sammlung Einsammeln von Abfällen, einschließlich deren vorläufiger Sortierung und vorläufiger Lagerung zum Zweck der Beförderung zu einer Abfall-behandlungsanlage. (Abs. 15) Steuerung und Tourenplanung der Müllabfuhr; Sortieranlage, Abfallbehandlungsanlage
Verwertung Verfahren, als dessen Hauptergebnis die Abfälle innerhalb der Anlage oder in der weiteren Wirtschaft einem sinnvollen Zweck zugeführt werden, indem sie entweder andere Materialien ersetzen, die sonst zur Erfüllung einer bestimmten Funktion verwendet worden wären, oder indem die Abfälle so vorbereitet werden, dass sie diese Funktion erfüllen. (Abs. 23) Verbrennungsanlage, Müllverbrennungsanlage
Möglicherweise auch die stoffliche Verwertung mit der Vorbereitung zur Wiederverwendung, das Recycling und die Verfüllung (Abs. 23a) Recyclinghof, Wertstoffhof
Beseitigung Verfahren, das keine Verwertung ist, auch wenn das Verfahren zur Nebenfolge hat, dass Stoffe oder Energie zurückgewonnen werden. (Abs. 26) Deponien; Anlagen zur Behandlung, Verpressung und Verbrennung

up

Schwellenwerte

Die Schwellenwerte im neuen Sektor Siedlungsabfallentsorgung sind noch nicht definiert, könnten sich aber an 500.000 versorgten Personen pro einzelner Anlage bemessen.

Pro-Kopf Verbrauch

Die KRITIS-Verordnung rechnet die versorgten Personen meist über einen durchschnittlichen Pro-Kopf-Verbrauch in Leistung pro Anlage um.

Annahme: Bei einem durchschnittlichen Aufkommen von 457 Kilogramm Haushaltsabfall pro Einwohner Deutschlands wären Anlagen mit mehr als 228 500 Tonnen Haushaltsabfall pro Jahr KRITIS — dies muss sich alles noch mit der finalen KRITIS-Verordnung 2021 zeigen.

Fristen (Annahme)

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren. Die Übergangsfristen für neue Betreiber sind noch nicht definiert.

up

Pflichten als KRITIS-Betreiber

Der Sektor Entsorgung ist im 2.0 IT-Sicherheitsgesetz 2.0 definiert, das noch nicht in Kraft ist. Falls das neue Gesetz verabschiedet wird, könnten die folgenden, generellen Pflichten von KRITIS-Betreibern nach einer Übergangszeit auch auf KRITIS-relevante Entsorger zutreffen.

Betreiber mit KRITIS-Anlagen

Unternehmen, die mit Anlagen die Schwellenwerte als Kritische Infrastruktur überschreiten, fallen unter die KRITIS-Regulierung und werden zum KRITIS-Betreiber. Als KRITIS-Betreiber unterliegen sie dann einer Fülle von Cyber Security Pflichten.

  1. Identifikation KRITIS-Anlagen: Analyse von Anlagen und Feststellung eigener Betroffenheit
  2. Registrierung als KRITIS: Meldung der KRITIS-Anlagen und Registrierung beim BSI
  3. KRITIS-Meldepflichten: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI
  4. KRITIS-Geltungsbereich: KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
  5. Cyber Security in KRITIS: Sicherheitsvorkehrungen treffen und Maßnahmen umsetzen
  6. KRITIS-Prüfungen: Umsetzung der Cyber Security Maßnahmen durch Prüfungen nachweisen

Cyber Security Maßnahmen

KRITIS-Betreiber sind für angemessene IT-Sicherheit in ihren KRITIS-Anlagen verantwortlich. Dazu müssen in den Anlagen wirksame Cyber Security Maßnahmen umgesetzt werden:

  1. Organisatorische Maßnahmen: Management-Systeme wie ISMS und BCMS helfen bei der angemessenen Behandlung von Cyber-Risiken in den KRITIS-Anlagen.
  2. Technologie: Maßnahmen nach Stand der Technik schützen die IT, OT, Infrastruktur und Betriebsorganisation der KRITIS-Anlagen beim Betreiber.
  3. Angriffserkennung: Systeme und Prozesse zur Detektion wie SIEM und IDS aber auch CSIRT und SOC ermöglichen eine angemessene Reaktion auf Störungen und Angriffe.

up

Weitere Informationen

Quellen

  1. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
  2. Gesetz zur Förderung der Kreislaufwirtschaft und Sicherung der umweltverträglichen Bewirtschaftung von Abfällen (Kreislaufwirtschaftsgesetz - KrWG), vom 24. Februar 2012 (BGBl. I S. 212), das zuletzt durch Artikel 2 Absatz 2 des Gesetzes vom 9. Dezember 2020 (BGBl. I S. 2873) geändert worden ist