NIS2-Umsetzung in der Abfallwirtschaft und KRITIS-Dachgesetz
Die Umsetzung der europäischen NIS2-Richtlinie in nationales Recht durch Gesetz vom 05.12.2025 erweitert die sicherheitsrelevanten Anforderungen im Bereich Informationssicherheit u.a. auch für die kommunale Abfallwirtschaft.
Betreiber bestimmter Anlagen zur Siedlungsabfallentsorgung aus den Bereichen „Abfallsammlung und -beförderung“ und „Abfallverwertung und -beseitigung“ gelten bei Überschreiten definierter Schwellenwerte für die betroffenen Abfallmengen gemäß KRITISV (Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz) als „besonders wichtige Einrichtungen“ im Sinne des BSIG und haben danach definierte IT-technische Sicherheitsvorkehrungen zu ergreifen. Diese Pflichten treffen in ähnlicher Form auch die sog. „wichtigen Einrichtungen“: Zu diesen zählen nun auch rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft im Sektor „Abfallbewirtschaftung“ (gemäß Definition des KrWG). Zusätzliche Voraussetzung ist allerdings, dass diese Einheiten hins. Mitarbeiterzahl bzw. definierten wirtschaftlichen Kennzahlen mittelständischen Unternehmen entsprechen. Auch diese Einrichtungen haben dann geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zur Informationssicherheit zu etablieren, es gelten Meldepflichten und eine fristgebundene Registrierungspflicht. Für bestehende Unternehmen bzw. Einrichtungen war die Registrierung grundsätzlich bis zum 06.03.2026 vorzunehmen.
Die Fristüberschreitung für die Registrierung kann als Ordnungswidrigkeit zu Bußgeldern führen, eine Registrierung lässt sich aber grundsätzlich nachholen. Kommunale Unternehmen und Organisationseinheiten, die die Anwendung der Regelungen noch nicht für ihren Fall überprüft haben, sollten dies zügig nachholen und ggf. eine Registrierung veranlassen.
Weitere Prüfungen kommen überdies auf die Betreiber kritischer Infrastrukturen im Sinne der KRITISV zu: Am 06.03.2026 stimmte der Bundesrat dem sog. KRITIS-Dachgesetz zu. Dieses stellt zur Erhöhung der Resilienz kritischer Infrastrukturen Mindeststandards für deren physischen und organisatorischen Schutz gemäß CER-Richtlinie auf. In den Bereichen „Abfallsammlung und -beförderung“ sowie „Abfallverwertung und -beseitigung“ wird bei Überschreiten der Schwellenwerte der KRITISV daher auch insoweit ein geeignetes Sicherheitsmanagement erforderlich.
[GGSC] unterstützt Sie gern bei der nötigen Selbsteinschätzung und Prüfung der Anwendbarkeit der Regelungen für Ihr Unternehmen/Ihre Organisation.