NIS-2 in der Abfallwirtschaft — IT-Sicherheit für Entsorgungsunternehmen

Die Abfallwirtschaft gehört zu den sonstigen kritischen Sektoren unter der NIS-2-Richtlinie (Anlage 2 des NIS2UmsuCG). Damit unterliegen Entsorgungsunternehmen, kommunale Eigenbetriebe und Abfallzweckverbände in Sachsen neuen, weitreichenden IT-Sicherheitspflichten.

Warum ist die Abfallwirtschaft von NIS-2 betroffen?

Die Abfallbewirtschaftung ist einer der sieben sonstigen kritischen Sektoren, die durch die NIS-2-Richtlinie der EU reguliert werden. Das deutsche Umsetzungsgesetz (NIS2UmsuCG) erfasst dabei nicht nur die Siedlungsabfallentsorgung, sondern generell alle Unternehmen der Abfallbewirtschaftung nach § 3 Abs. 14 KrWG (Kreislaufwirtschaftsgesetz). Dazu zählen:

• Kommunale Entsorgungsunternehmen: Eigenbetriebe und Eigengesellschaften der Landkreise und kreisfreien Städte
• Private Entsorgungsfachbetriebe: Unternehmen mit Zertifizierung nach § 56 KrWG
• Abfallzweckverbände: Interkommunale Zusammenschlüsse zur Abfallentsorgung
• Recyclingunternehmen: Betriebe der Wertstoffaufbereitung und -verwertung
• Sonderabfallentsorger: Unternehmen für gefährliche Abfälle nach AVV

NIS-2 Schwellenwerte für die Abfallwirtschaft (Size-Cap)

Unternehmen der Abfallwirtschaft fallen ab folgenden Schwellenwerten in den Anwendungsbereich der NIS-2-Richtlinie:

• Ab 50 Mitarbeitende oder
• Ab 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme

Bereits eines dieser Kriterien reicht aus, um als wichtige Einrichtung gemäß § 28 BSIG eingestuft zu werden. Für kommunale Entsorgungsunternehmen, die die Abfallentsorgung ganzer Landkreise verantworten, wird dieser Schwellenwert in der Regel deutlich überschritten.

Abgrenzung: NIS-2 vs. KRITIS

Neben der NIS-2-Einstufung kommt für größere Entsorgungsunternehmen auch die KRITIS-Einstufung nach BSI-KritisV in Betracht. Die KRITIS-Schwellenwerte orientieren sich an der Entsorgung von 500.000 versorgten Einwohnern. Viele sächsische Entsorgungsunternehmen liegen darunter und sind daher keine KRITIS-Betreiber im engeren Sinne — aber dennoch als wichtige Einrichtung nach NIS-2 betroffen.

Konkrete NIS-2 Pflichten für Entsorgungsunternehmen

Die NIS-2-Richtlinie ist Ende 2025 in deutsches Recht umgesetzt worden. Die Pflichten gelten ohne Übergangsfrist. Für Entsorgungsunternehmen in Sachsen bedeutet das konkret:

1. Registrierung beim BSI

Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach erstmaliger Betroffenheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und eine Kontaktstelle benennen.

2. Risikomanagement-Maßnahmen (§ 30 NIS2UmsuCG)

Das Gesetz fordert mindestens zehn konkrete Sicherheitsmaßnahmen:

• Risikoanalyse und IT-Sicherheitskonzept
• Vorfallbewältigung und Incident Response
• Business Continuity und Notfallmanagement
• Lieferkettensicherheit (IT-Dienstleister, Softwareanbieter)
• Sicherheit bei Beschaffung, Entwicklung und Wartung von IT-Systemen
• Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
• Cyberhygiene und Mitarbeiterschulungen
• Kryptographie und Verschlüsselung
• Zugangskontrollen und Identitätsmanagement
• Multi-Faktor-Authentifizierung (MFA)

3. Meldepflichten bei Sicherheitsvorfällen

Bei erheblichen Sicherheitsvorfällen gilt ein dreistufiges Meldeverfahren:

• Frühwarnung innerhalb von 24 Stunden an das BSI
• Detaillierte Vorfallmeldung innerhalb von 72 Stunden
• Abschlussbericht innerhalb eines Monats

4. Geschäftsführerhaftung (§ 38 NIS2UmsuCG)

Geschäftsführer und Vorstände von Entsorgungsunternehmen haften persönlich für die Einhaltung der Cybersicherheitspflichten. Diese Haftung kann nicht auf Dritte übertragen werden. Zusätzlich besteht eine Schulungspflicht für die Leitungsebene.

5. Bußgelder

Als wichtige Einrichtung drohen Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.

Besondere IT-Sicherheitsrisiken in der Abfallwirtschaft

Die Abfallwirtschaft steht vor branchenspezifischen Herausforderungen bei der IT-Sicherheit:

• Fuhrpark-Management und Telematik: Moderne Entsorgungsfahrzeuge sind mit GPS, Wiegesystemen und Bordcomputern vernetzt. Ein Cyberangriff kann die gesamte Logistik lahmlegen
• Betriebsleittechnik (OT): Sortieranlagen, Verbrennungsanlagen und Deponietechnik werden zunehmend digital gesteuert. Die Konvergenz von IT und OT schafft neue Angriffsflächen
• Abrechnungssysteme: Die Gebührenerhebung und Kundenverwaltung verarbeiten personenbezogene Daten von hunderttausenden Einwohnern
• Behördenschnittstellen: Meldepflichten gegenüber Umweltbehörden, eANV (elektronisches Abfallnachweisverfahren) und die Anbindung an kommunale IT-Systeme
• Daseinsvorsorge: Als Teil der öffentlichen Daseinsvorsorge hat ein Ausfall der Abfallentsorgung unmittelbare Auswirkungen auf die Bevölkerung — Hygienerisiken, Umweltschäden und öffentliche Ordnung

Abfallwirtschaft in Sachsen — Betroffene Unternehmen

Sachsen verfügt über eine verschiedene Entsorgungslandschaft mit kommunalen und privaten Akteuren. Typische NIS-2-betroffene Unternehmen sind:

• Kommunale Entsorgungsgesellschaften der Landkreise (z. B. im Landkreis Zwickau, Erzgebirgskreis, Landkreis Meißen)
• Stadtreinigungen der kreisfreien Städte Dresden, Leipzig und Chemnitz
• Abfallzweckverbände im ländlichen Raum
• Private Entsorgungsfachbetriebe mit überregionaler Tätigkeit
• Betreiber von Sortier- und Verwertungsanlagen

Als Eigengesellschaften der Landkreise verantworten kommunale Entsorgungsunternehmen die Daseinsvorsorge für teilweise über 300.000 Einwohner. Mit typischerweise mehr als 50 Mitarbeitenden überschreiten sie den NIS-2-Schwellenwert und fallen als wichtige Einrichtung unter die neuen Pflichten.

Unser Beratungsansatz für die Abfallwirtschaft

Die DATUREX GmbH versteht die besonderen Anforderungen der Entsorgungsbranche. Unser Beratungsansatz berücksichtigt die Schnittstelle zwischen kommunaler Verwaltung, operativem Entsorgungsbetrieb und regulatorischen Anforderungen:

• NIS-2 Betroffenheitsanalyse: Wir prüfen, ob Ihr Entsorgungsunternehmen unter NIS-2 fällt — als wichtige oder wesentliche Einrichtung
• Gap-Analyse und Risikoanalyse: Wir analysieren Ihren aktuellen IT-Sicherheitsstatus mit besonderem Fokus auf OT-Sicherheit (Sortieranlagen, Fuhrparktechnik) und Schnittstellen zu kommunalen IT-Systemen
• ISMS-Aufbau nach ISO 27001 oder BSI IT-Grundschutz: Wir bauen ein individuelles Informationssicherheits-Managementsystem auf, das die branchenspezifischen Risiken der Abfallwirtschaft adressiert
• Incident Response und Meldewesen: Wir etablieren klare Prozesse für die vorgeschriebenen Meldungen an das BSI/SAX.CERT
• Geschäftsführer-Schulung: Pflichtschulungen für die Leitungsebene zur persönlichen Haftungsvermeidung

Weiterführende Informationen

• Externer Datenschutzbeauftragter — Datenschutz für Entsorgungsunternehmen
• Datenschutz im Unternehmen — DSGVO-Compliance für alle Branchen

Häufig gestellte Fragen — NIS-2 in der Abfallwirtschaft

Fällt mein Entsorgungsunternehmen unter NIS-2?
Wenn Ihr Unternehmen in der Abfallbewirtschaftung nach § 3 Abs. 14 KrWG tätig ist und mindestens 50 Mitarbeitende beschäftigt oder 10 Millionen Euro Jahresumsatz erzielt, fallen Sie mit sehr hoher Wahrscheinlichkeit als wichtige Einrichtung unter NIS-2. Die Pflichten gelten bereits jetzt ohne Übergangsfrist.

Was passiert, wenn wir die NIS-2-Pflichten nicht erfüllen?
Neben Bußgeldern bis zu 7 Millionen Euro kann das BSI Anordnungen zur Umsetzung bestimmter Maßnahmen erlassen. Die Geschäftsführung haftet persönlich. Bei kommunalen Eigengesellschaften kann dies auch politische Konsequenzen für die Gesellschafterversammlung haben.

Sind wir auch KRITIS-Betreiber?
Die KRITIS-Schwellenwerte in der Abfallwirtschaft orientieren sich an der Entsorgung für 500.000 Einwohner. Viele sächsische Entsorgungsunternehmen liegen darunter und sind daher keine KRITIS-Betreiber — aber dennoch NIS-2-pflichtig. Unternehmen, die beide Schwellenwerte überschreiten, unterliegen den strengeren KRITIS-Anforderungen zusätzlich.

Welche Zertifizierung brauchen wir?
NIS-2 schreibt keine bestimmte Zertifizierung vor, fordert aber den Nachweis angemessener Sicherheitsmaßnahmen. In der Praxis empfiehlt sich ein ISMS nach ISO 27001 oder BSI IT-Grundschutz. Für kommunale Unternehmen kann auch CISIS12 ein pragmatischer Einstieg sein.