NIS2 für die Abfallwirtschaft
Die Abfallwirtschaft ist ein neuer Sektor unter NIS2 Anhang II. Für viele Entsorgungs- und Recyclingunternehmen ist dies die erste regulatorische Berührung mit Cybersicherheit. Dieser Leitfaden zeigt, was konkret zu tun ist.
Warum die Abfallwirtschaft?
Die NIS2-Richtlinie stuft die Abfallwirtschaft als sonstigen kritischen Sektor (Anhang II) ein. Die Begründung: Abfallentsorgung ist eine essenzielle Dienstleistung der Daseinsvorsorge. Ein Ausfall der Abfalllogistik – etwa durch einen Cyberangriff auf Fuhrparkmanagementsysteme oder Wägesysteme – hat direkte Auswirkungen auf die öffentliche Hygiene und Gesundheit.
Unternehmen der Abfallwirtschaft mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von mindestens 10 Mio. EUR fallen als wichtige Einrichtungen (wE) unter das BSIG. Bei großen Entsorgern (ab 250 Mitarbeiter oder über 50 Mio. EUR Umsatz) in Sektoren des Anhangs I kann auch eine Einstufung als besonders wichtige Einrichtung in Betracht kommen.
Die meisten mittelständischen Entsorgungsunternehmen hatten bisher keinen Kontakt mit IT-Sicherheitsregulierung. Weder das alte KRITIS-Regime noch branchenspezifische Standards adressierten die Abfallwirtschaft explizit. NIS2 ändert das grundlegend.
Fuhrparkmanagement und GPS
GPS-Tracking, Tourenplanung, digitale Auftragssteuerung für Sammelfahrzeuge. Oft cloudbasiert mit Schnittstellen zu Waagesystemen und Kundensystemen. Fällt dieses System aus, können Fahrzeuge nicht effizient disponiert werden. Alle Fuhrparkkomponenten als ein Asset-Eintrag gruppieren.
Wägesysteme
Fahrzeugwaagen an Annahmestellen und Sortieranlagen, die ein- und ausgehende Materialmengen für Abrechnung und behördliche Nachweisführung dokumentieren. Häufig über serielle Schnittstellen an ERP-Systeme angebunden. Können ältere Industriesteuerungen enthalten. Das Wägesystem (Hardware + Software) als ein Asset gruppieren.
ERP- und Abrechnungssystem
Das zentrale Geschäftssystem für Auftrags-, Kunden- und Materialstrommanagement, Abrechnung und behördliche Meldungen. Meist SAP Business One, Microsoft Dynamics oder branchenspezifische Lösungen wie RECY oder Entsorgungsmanager. Eine Kompromittierung betrifft Umsatz, Kundendaten und Nachweisführung. Ein Asset-Eintrag.
Sortier- und Verwertungsanlagensteuerung
Wenn Ihr Unternehmen Sortieranlagen, Vergärungsanlagen oder thermische Verwertungsanlagen betreibt, haben Sie wahrscheinlich SCADA- oder Industriesteuerungssysteme für die physischen Prozesse. Diese sind oft älter und verfügen über eingeschränkte Sicherheitsfunktionen. Sie bilden eine eigene Risikokategorie, da sie physische Anlagen steuern. Pro Anlage gruppieren.
Endgeräte und Büro-IT
Laptops, Desktops und mobile Endgeräte für Büropersonal, Disponenten und Geschäftsleitung. Standard-Büroanwendungen (Microsoft 365, E-Mail, Dokumentenmanagement). Grundschutz erlaubt die Gruppierung identischer Geräte: ‚45 Standard-Windows-Laptops' ist ein Asset-Eintrag, nicht 45.
Netzwerkinfrastruktur
Router, Switches, Firewalls und VPN-Verbindungen zwischen Verwaltung, Betriebshof und Anlagenstandorten. Internetanbindungen und Standort-zu-Standort-Verbindungen einschließen. Bei mehreren Standorten kann das Netzwerk jedes Standorts ein gruppierter Eintrag sein. Das Netzwerk verbindet alles andere – seine Kompromittierung betrifft alle anderen Assets.
1. Beim BSI registrieren
Schließen Sie Ihre §33 BSIG-Registrierung über das BSI-Portal ab. Dies ist die sichtbarste Pflicht und hat einen eigenen Bußgeldtatbestand (bis 500.000 EUR). Es dauert etwa 30 Minuten und dokumentiert sofort, dass Sie sich aktiv mit Ihren Pflichten auseinandersetzen. Tun Sie dies vor allem anderen.
2. Asset-Inventar aufbauen
Erfassen Sie die Systeme, die Ihre Abfallsammlung, -behandlung und -entsorgung unterstützen. Nutzen Sie die sechs obigen Kategorien als Ausgangspunkt. Notieren Sie für jedes Asset, was es tut, wer es betreibt (intern oder Dienstleister) und was passiert, wenn es 24 Stunden nicht verfügbar ist. Dieses Inventar wird die Grundlage für alles Weitere.
3. Vorfallmeldung einrichten
Definieren Sie, was in Ihrem Unternehmen als erheblicher Sicherheitsvorfall gilt, und etablieren Sie den Prozess für die BSI-Meldung innerhalb der vorgeschriebenen Fristen (24h/72h/1 Monat). Bestimmen Sie, wer die Meldeentscheidung trifft, wer die Meldung absetzt und wie Sie diese Personen außerhalb der Geschäftszeiten erreichen. Sie brauchen kein Security Operations Center – Sie brauchen einen klaren Alarmierungsplan und einen dokumentierten Prozess.
4. Zugangskontrollen prüfen
Prüfen Sie, wer Zugang zu Ihren kritischen Systemen hat – insbesondere Fuhrparkmanagement, ERP und ggf. Anlagensteuerungen. Führen Sie Mehrstufige Authentifizierung für Fernzugriffe und Administratorkonten ein. Entfernen Sie Zugänge ehemaliger Mitarbeiter. Dies ist oft der Bereich mit dem meisten Quick-Win-Potenzial: Viele Entsorgungsunternehmen haben gemeinsam genutzte Passwörter, kein MFA und noch aktive Konten ausgeschiedener Mitarbeiter.
5. Lieferantenbeziehungen dokumentieren
Die meisten Entsorgungsunternehmen lagern wesentliche IT-Funktionen aus – Cloud-Hosting, ERP-Wartung, Fuhrparkmanagement-Software. Dokumentieren Sie, wer diese Lieferanten sind, welchen Zugang sie zu Ihren Systemen haben und welche Sicherheitszusagen sie machen. Dies ist der Beginn Ihres Lieferkettensicherheitsprozesses nach §30 Abs. 2 Nr. 4 BSIG. Wird Ihr IT-Dienstleister gehackt, sind Ihre Daten und Ihre Dienste gefährdet.
Entsorgungsunternehmen haben ein einzigartiges Risikoprofil. Anders als bei einem Softwareunternehmen, wo fast alles digital ist, beinhaltet die Abfallwirtschaft physische Prozesse: Fahrzeuge auf der Straße, Material in Bewegung, Anlagen an Standorten. Ein Cyberangriff auf das Fuhrparkmanagement hat unmittelbare Auswirkungen in der physischen Welt. Diese OT-Dimension bedeutet, dass Ihre Risikobewertung sowohl IT-Systeme als auch Industriesteuerungen berücksichtigen sollte.
Die meisten Entsorgungsunternehmen lagern umfangreich aus. Viele arbeiten mit einem kleinen internen IT-Team (oder ganz ohne eigene IT-Mitarbeiter) und setzen für alles von E-Mail über ERP bis Fuhrparkmanagement auf externe Dienstleister. Unter NIS2 können Sie den Betrieb auslagern, aber nicht die Verantwortung – §30 BSIG hält Ihr Unternehmen für Sicherheitsmaßnahmen verantwortlich, auch wenn ein Dienstleister sie erbringt. Das macht Lieferantenmanagement zu Ihrem wichtigsten Compliance-Hebel.
Die positive Seite: IT-Umgebungen von Entsorgungsunternehmen sind typischerweise überschaubar. Ein 100-Personen-Entsorgungsbetrieb hat vielleicht 6 bis 10 unterschiedliche Systemgruppen, verglichen mit 30 oder mehr bei einer Bank oder einem Krankenhaus ähnlicher Größe. Das bedeutet, der Compliance-Aufwand ist verhältnismäßig – Sie sprechen von Wochen konzentrierter Arbeit, nicht von einem Mehrjahresprogramm. Der BSI-Maßstab ‚angemessen und verhältnismäßig' kommt Ihnen hier zugute.
Häufig gestellte Fragen
Ist unser Entsorgungsunternehmen tatsächlich von NIS2 betroffen?
Wenn Ihr Unternehmen in der Abfallsammlung, -behandlung oder -entsorgung tätig ist und 50 oder mehr Mitarbeiter oder 10 Mio. EUR oder mehr Jahresumsatz hat, sind Sie mit sehr hoher Wahrscheinlichkeit als wichtige Einrichtung nach NIS2 Anhang II betroffen. Die Sektordefinition deckt die gesamte Wertschöpfungskette der Abfallwirtschaft ab. Wenn Sie nahe an der Schwelle liegen, prüfen Sie, ob verbundene Konzernunternehmen Sie über den Grenzwert bringen – NIS2 verwendet die EU-KMU-Definition, die verbundene Unternehmen berücksichtigt.
Wir lagern die gesamte IT aus – gilt NIS2 trotzdem für uns?
Ja, vollumfänglich. NIS2 gilt für die Einrichtung, die den Abfallwirtschaftsdienst erbringt, unabhängig davon, wer die IT betreibt. Sie können die Arbeit auslagern, aber nicht die rechtliche Verantwortung (§30 BSIG). In der Praxis bedeutet das: Ihr IT-Dienstleister wird Ihr kritischster Lieferant. Dokumentieren Sie die Beziehung, nehmen Sie Cybersicherheitsanforderungen in den Vertrag auf und prüfen Sie, ob der Dienstleister angemessene Sicherheitsmaßnahmen hat. Wird er gehackt, greift Ihre Meldepflicht – nicht seine.
Wie sieht ein Asset-Inventar für ein Entsorgungsunternehmen aus?
Einfacher als Sie denken. Ein typisches Entsorgungsunternehmen mit 100 Mitarbeitern hat etwa 10 bis 15 gruppierte Asset-Einträge: Fuhrparkmanagementsystem, Wägesystem, ERP/Abrechnung, Netzwerkinfrastruktur pro Standort, Standard-Endgeräte (gruppiert – z.B. ‚45 Windows-Laptops'), E-Mail/Zusammenarbeit (Microsoft 365) und ggf. SCADA- oder Sortieranlagensteuerung. Grundschutz erlaubt ausdrücklich die Gruppierung identischer Assets – Sie brauchen keine Einzelzeile für jeden Laptop.
Wie lange dauert die NIS2-Compliance für ein Unternehmen unserer Größe?
Für ein 100-Personen-Entsorgungsunternehmen, das bei null anfängt, rechnen Sie mit 3 bis 6 Monaten bis zu einer soliden Grundlage: BSI-Registrierung (Woche 1), Asset-Inventar und Risikobewertung (Wochen 2 bis 6), Vorfallmeldeprozess (Wochen 4 bis 8), Zugangskontrollverbesserungen (Wochen 6 bis 12), Richtliniendokumentation (fortlaufend). Sie müssen nicht am ersten Tag perfekt sein – das BSI bewertet Entwicklung und guten Glauben. Nach der Ersteinrichtung besteht der laufende Aufwand hauptsächlich aus jährlichen Reviews und der Reaktion auf Vorfälle.
- NIS2-Richtlinie (EU) 2022/2555 – Anhang II, Sektor 'Abfallwirtschaft'
- BSIG – §28, §29 (Anwendungsbereich), §30 (Risikomanagementmaßnahmen)
- BSI – IT-Grundschutz-Kompendium, Bausteine OPS (Betrieb) und IND (Industrielle IT)
- Verband kommunaler Unternehmen (VKU) – Positionspapier NIS2 und Abfallwirtschaft
- Bundesverband der Deutschen Entsorgungs-, Wasser- und Kreislaufwirtschaft (BDE) – NIS2-Orientierungshilfe