IT-Sicherheit in der Abfallwirtschaft
Neue Pflichten zur Sicherung der IT für Unternehmen der Abfallwirtschaft
Die novellierte BSI-Kritis-VO, die die Kriterien für die Definition von kritischen Anlagen in der Abfallwirtschaft enthält, ist am 1.1.2024 in Kraft getreten. Aus dem BSI-Gesetz gemeinsam mit dieser BSI-Kritis-VO ergeben sich konkrete Pflichten für Unternehmen, die kritische Infrastruktur betreiben. Durch eine bereits abzusehende Änderung des BSI-Gesetze auf Grundlage der sog. NIS-2-Richtlinie wird es jedoch unabhängig davon für die meisten Unternehmen der Abfallwirtschaft konkrete Pflichten zum IT-Schutz geben.
21.02.23
Die novellierte BSI-Kritis-VO, die die Kriterien für die Definition von kritischen Anlagen in der Abfallwirtschaft enthält, ist am 1.1.2024 in Kraft getreten. Aus dem BSI-Gesetz gemeinsam mit dieser BSI-Kritis-VO ergeben sich konkrete Pflichten für Unternehmen, die kritische Infrastruktur betreiben. Durch eine bereits abzusehende Änderung des BSI-Gesetze auf Grundlage der sog. NIS-2-Richtlinie wird es jedoch unabhängig davon für die meisten Unternehmen der Abfallwirtschaft konkrete Pflichten zum IT-Schutz geben.
Die BSI-KritisVO setzt den (potenziellen) Betreibern von kritischen Infrastrukturen in der Abfallwirtschaft konkrete Fristen. Einerseits müssen die Betreiber der in der Verordnung beschriebenen Anlagen selbst einstufen, ob diese Anlagen – mit Blick auf die Schwellenwerte - als kritische Infrastruktur im Sinne der Verordnung gelten. Im bejahenden Falle muss sich der Betreiber bis zum 02.04.2024 beim BSI als Betreiber kritischer Infrastruktur registrieren.
Zudem müssen die Betreiber bis zu diesem Zeitpunkt auch die erforderlichen technischen und organisatorischen Maßnahmen nach dem Stand der Technik (TOMs) umgesetzt haben. Weiterhin müssen sie ab dem 01.04.2024 auch (erhebliche) Störungen an das BSI melden. Spätestens bis zum 02.04.2026, ggf. durch gesetzliche Anpassungen auch etwas später, müssen die Betreiber die Umsetzung der TOMs auch beim BSI nachgewiesen haben.
Problematisch ist, dass Maßnahmen nach dem Stand der Technik eine sehr undeutliche Beschreibung der vom Gesetzgeber intendierten Plichten darstellen. Um hier Klarheit zu schaffen, wird ein Branchenstandard B3S für die Sparte Abfallwirtschaft bis April 2024 finalisiert werden, der die wesentliche Grundlage für die Identifizierung des Stands der Technik in der Abfallwirtschaft sein wird. Alternativ kann auf den BSI-Grundschutz oder auf die ISO 27000er-Familie als Standard zurückgegriffen werden.
Umsetzung der NIS-2-Richtlinie – Ausweitung des Radius der Verpflichteten
Während das aktuelle IT-Sicherheitsrecht nur die Unternehmen betrifft, die nach ihren Kriterien als Betreiber kritischer Infrastrukturen anzusehen sind und damit nur eine ziemlich beschränkte Zahl an Betrieben der kommunalen Abfallwirtschaft betrifft, wird eine Novelle des BSI-Gesetzes, mit dem die sog. NIS -2-Richtlinie der EU umgesetzt wird , auch neue Pflichten für die meisten Unternehmen der kommunalen Abfallwirtschaft, die sich nicht als Betreiber kritischer Infrastrukturen qualifizieren, mit sich bringen. Des Weiteren werden durch diese Novelle aber auch die Pflichten der Unternehmen, die Betreiber kritischer Infrastruktur sind, ausgeweitet. Mit dem Inkrafttreten dieser Novelle wird nach den europäischen Vorgaben ab 1.10.2024 oder geringfügig später gerechnet. Ein offizieller Gesetzesentwurf liegt dafür zur Stunde noch nicht vor, wohl aber informelle Vorinformationen.
a.) Neue Pflichten für Unternehmen der Abfallwirtschaft ab 50 Mitarbeiter
Unabhängig von der derzeitigen BSI-Kritis-VO wird die Novelle des BSI-Gesetzes neue Pflichten für Unternehmen der Abfallwirtschaft einführen, die mindestens 50 Mitarbeiter oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen haben.
Diese Unternehmen der Abfallwirtschaft werden, sofern sie nicht Betreiber kritischer Infrastruktur nach der geltenden BSI-Kritis-VO sind, in der Systematik des BSI-Gesetzes als „wichtige Unternehmen“ angesehen werden, denen ein bestimmtes IT-Schutzniveau zugeteilt ist.
Genau wie Unternehmen, die kritische Infrastruktur betreiben, sich als Betreiber kritischer Infrastruktur beim BSI registrieren müssen, werden sich die Unternehmen, die wichtige Einrichtung sind, beim BSI als wichtige Einrichtungen registrieren müssen. Das Gesetz sieht als Grundpflicht für diese Unternehmen das Ergreifen von geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen zum Schutz der IT-Systeme, Komponenten und Prozesse nach dem „Stand der Technik“ vor. Wichtig ist, dass dies für die gesamte Einrichtung gilt und nicht nur für bestimmte Anlagen.
Allerdings muss das Ergreifen von Maßnahmen dem BSI nicht laufend nachgewiesen werden. Eine Überwachung des BSI findet ganz überwiegend nur ex-post im Schadensfalle statt. Zur Identifikation des nötigen Schutzniveaus wird auf den BSI-Grundschutz bzw. die ISO 27000er Familie als Standard zurückgegriffen werden müssen. Der Verstoß gegen die entsprechenden Pflichten ist bußgeldbewehrt, der Bußgeldrahmen beträgt bei wichtigen Einrichtungen 7 Mio. Euro oder 1,4% des Umsatzes.
b.) Neue Pflichten für Betreiber kritischer Infrastruktur
Auch die Pflichten für Betreiber kritischer Infrastruktur werden durch das NIS-2-Umsetzungsgesetz ausgeweitet werden. Zunächst ist absehbar, dass die Kriterien, ab wann ein Unternehmen der Siedlungsabfallentsorgung Betreiber kritischer Infrastruktur (zukünftig Betreiber einer kritischen Anlage) wird, keine Veränderung erfahren.
Allerdings wird sich der Pflichtenkanon der Betreiber kritischer Infrastruktur dahingehend erweitern, dass nicht mehr ein IT-Schutz nach dem Stand der Technik für die in der BSI-Kritis-Verordnung festgelegten Anlagen ausreicht, sondern dieser Schutz auf die gesamte Einrichtung, d.h. den gesamten Betrieb angewendet werden muss. Betreiber kritischer Infrastruktur sind gleichzeitig auch besonders wichtige Betriebe und müssen damit einen hohen Standard des Schutzes für die Betriebsteile, die nicht die in der KRITIS-VO beschriebenen Anlagen betreffen, gewährleisten. Allerdings muss dieser Schutz dem BSI wahrscheinlich nur im Ernstfall nachgewiesen werden, nicht regelmäßig wie der Schutz der kritischen Anlagen.