Die vierte Änderung der BSI-Kritisverordnung (BSI-KritisV) wurde am 6. Dezember 2023 im Bundesgesetzblatt veröffentlicht und ist am 1. Januar 2024 in Kraft getreten. Die wohl wichtigste Neuerung, mit der sich auch dieser Beitrag befasst: Der Kritische Infrastruktur (KRITIS) Sektor „Siedlungsabfallentsorgung“ wurde ergänzt. Zudem erfolgte eine Änderung von „Gashandelssystem“ hin zu „Gas- oder Kapazitätshandelssystem“. Außerdem wurde der Schwellenwert „Verwaltungs- und Zahlungssystem der gesetzlichen Kranken- und Pflegeversicherung“ von 3.000.000 auf 500.000 versicherte Personen gesenkt.

Der neue KRITIS-Sektor „Siedlungsabfallentsorgung“ wurde bereits 2021 in das BSI-Gesetz (BSIG) aufgenommen, konkrete Pflichten für betroffene Siedlungsabfallentsorger ergeben sich jedoch erst jetzt durch die nun erlassene vierte Änderung der BSI-KritisV.

Was müssen Siedlungsabfallentsorger beachten?

Zunächst müssen Betreiber sich selbst als Betreiber einer KRITIS identifizieren. Eine Anlage der Kategorie „Siedlungsabfallentsorgung“ gilt als KRITIS, wenn der genannte Schwellenwert länger als ein Jahr erreicht oder überschritten wird. Stichtag für die Bemessung ist jeweils der 1. April des auf die Messung folgenden Kalenderjahres.

Was sind relevante Anlagenkategorien und Schwellenwerte?

Bei den Anlagenkategorien werden „Sammlung und Beförderung von Siedlungsabfall“ und „Verwertung und Beseitigung von Siedlungsabfall“ unterschieden.

Anlagenkategorie „Sammlung und Beförderung von Siedlungsabfall“

(1) Anlage zur Disposition der Siedlungsabfallsammlung oder -beförderung

Der Schwellenwert ist erreicht, wenn mindestens 500.000 Einwohner an die Abfallsammlung angeschlossen sind. Außerdem gibt es folgende Bemessungskriterien für Schwellenwerte in Tonnen pro Jahr, unabhängig von der genannten Einwohnerzahl:

Tabelle zeigt mehrere Schwellenwerte aus der neuen BSI-KritisV, die ab 1. Januar 2024 gilt.

(2) Anlage zur Lagerung, Zwischenlagerung und Umladung von Siedlungsabfällen

Hier gelten nur die Bemessungskriterien für Schwellenwerte in Tonnen pro Jahr:

Tabelle zeigt mehrere Schwellenwerte aus der neuen BSI-KritisV, die ab 1. Januar 2024 gilt.

Anlagenkategorie „Verwertung und Beseitigung von Siedlungsabfall“

Auch hier gelten nur die Bemessungskriterien für Schwellenwerte in Tonnen pro Jahr:

(1) Anlage zur thermischen Behandlung von Siedlungsabfällen

Tabelle zeigt Schwellenwert aus der neuen BSI-KritisV, die ab 1. Januar 2024 gilt.

(2) Anlage zur mechanisch-biologischen oder mechanisch-physikalischen Behandlung von Siedlungsabfällen

Tabelle zeigt Schwellenwert aus der neuen BSI-KritisV, die ab 1. Januar 2024 gilt.

(3) Anlage zur biologischen Behandlung von Siedlungsabfällen

Tabelle zeigt Schwellenwert aus der neuen BSI-KritisV, die ab 1. Januar 2024 gilt.

(4) Anlage zur mechanischen Behandlung von Siedlungsabfällen

Tabelle zeigt Schwellenwert aus der neuen BSI-KritisV, die ab 1. Januar 2024 gilt.

(5) Anlage zur Sortierung von Siedlungsabfällen

Tabelle zeigt zwei Schwellenwerte aus der neuen BSI-KritisV, die ab 1. Januar 2024 gilt.

Was müssen betroffene Siedlungsabfallentsorger tun?

Betroffene Einrichtungen, die die Schwellenwerte erreichen oder übersteigen, unterliegen den Pflichten des BSI-Gesetzes (BSIG) und der BSI-KritisV. Dies beinhaltet insbesondere die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI), die Benennung einer Kontaktstelle, die Pflicht zur Meldung von Informationen zu IT-Störungen, Angriffen und Vorfällen an das BSI sowie die Umsetzung von Informationssicherheits-Maßnahmen nach dem Stand der Technik. Die Umsetzung der Maßnahmen ist derzeit alle zwei Jahre gegenüber dem BSI nachzuweisen.

Auf den Webseiten des BSI ist angegeben, dass die Registrierung der Betreiber bzw. der Anlagen im Sektor „Siedlungsabfallentsorgung“ ab dem 1. Januar 2024 über das Melde- und Informationsportal (MIP) erfolgen kann. Die Registrierung muss bis zum 1. April 2024 erfolgen, ab diesem Zeitpunkt startet dann auch die Verpflichtung zur Meldung von Informationen über IT-Störungen.

Der Nachweis zur Umsetzung von Maßnahmen nach dem Stand der Technik durch die KRITIS-Betreiber muss erstmals zum 1. April 2026 erfolgen. Dazu müssen die KRITIS-Betreiber eine sog. „Prüfende Stelle“ beauftragen. Die „Prüfende Stelle“ stellt dem KRITIS-Betreiber die Prüfergebnisse zur Verfügung. Der KRITIS-Betreiber übermittelt dann sog. Nachweisdokumente an das BSI. Für weitere Informationen zu den Nachweisen steht beim BSI eine Orientierungshilfe zur Verfügung.

Wird es einen Branchenspezifischen Sicherheitsstandard (B3S) geben?

Über den Verband kommunaler Unternehmen e. V. (VKU) wird zurzeit ein B3S erarbeitet, der konkrete Maßnahmenempfehlungen für Siedlungsabfallentsorger enthalten soll, die dem Stand der Technik entsprechen. Nach Fertigstellung muss dieser vom BSI abgenommen werden. Laut VKU soll der B3S im Jahr 2024 vorliegen.

Welche Änderungen sind durch die NIS-2-Umsetzung zu erwarten?

Davon unabhängig ist die „NIS-2-Richtlinie“ (Richtlinie (EU) 2022/2555) vom Gesetzgeber bis zum 17. Oktober 2024 in nationales Recht zu überführen. In Deutschland soll dies durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erfolgen (wir berichteten).

Auch große und mittlere Unternehmen aus dem Sektor „Siedlungsabfallentsorgung“, die nicht den KRITIS-Schwellenwerten unterliegen, dürften dann u. a. dazu verpflichtet werden, sich beim BSI zu registrieren, Risikomanagementmaßnahmen umzusetzen und Sicherheitsvorfälle zu melden. Welche Anlagen hier im Detail betroffen sein werden, soll sich nach einer dann vom Bundesministerium des Innern und für Heimat (BMI) zu erlassenden Rechtsverordnung bestimmen lassen.

Apropos NIS-2-Umsetzung in Deutschland: Wie ist der aktuelle Stand?

Nach dem ersten bekanntgewordenen Referentenentwurf vom 3. April 2023, wurde ein weiterer Entwurf vom 3. Juli 2023 öffentlich. Zuletzt gab es vom BMI noch ein Diskussionspapier (Bearbeitungsstand 27. September 2023).

Im Diskussionspapier ist insbesondere die Nachweispflicht der Umsetzung für besonders wichtige Einrichtungen entfallen. Auch zur Haftung der Geschäftsleiter gegenüber der Einrichtung sind einige Textpassagen nicht mehr enthalten. Zudem ist hier die Nachweispflicht für Betreiber kritischer Anlagen von zwei auf drei Jahre geändert und bei Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme ist auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen. (Die Auflistung der Änderungen ist nicht abschließend.)

Auf Basis des Diskussionspapiers hat ein sog. Werkstattgespräch stattgefunden, eine Präsentation dazu findet sich hier. Die Stellungnahmen der Verbände können auf den Seiten des BMI abgerufen werden.

Nach den Entwürfen ist jeder Betreiber einer „kritischen Anlage“ (bisher „kritische Infrastruktur“) auch eine „besonders wichtige Einrichtung“ im Sinne des dann möglicherweise geltenden neuen BSIG.

Eine belastbare Aussage zu den entstehenden Pflichten lässt sich derzeit jedoch nicht treffen. Auch wenn an vielen Stellen eine gewisse Tendenz erkennbar ist, dürfte eine genauere Prognose zu den Pflichten erst nach Fertigstellung der Gesetzesvorlage sinnvoll sein, wenn diese zur Beratung in den Bundestag geht.

Fazit

Durch die neue BSI-KritisV sind nun die Anlagenkategorien und -typen mit Schwellenwerten definiert, sodass hierzu eine valide Bestimmung der Betroffenheit für Betreiber möglich ist. Spätestens jetzt sollten sich die Betreiber an die Umsetzung der dadurch entstehen Pflichten kümmern. Die konkreten Auswirkungen im Zusammenhang mit NIS-2-Umsetzung sind jedoch zurzeit noch unklar.

| | | , , , , , , ,