IT-Sicherheitsgesetz 2.0 – Sicherheit für Kritische Infrastrukturen

Siedlungsabfallentsorgung – statt eines dritten Korbs gibt es eine Erweiterung in den Bestimmungen für Kritische Infrastrukturen

Jeder kennt den Anblick überfüllter „Müllhäuschen“ vor Wohnblöcken und Mülltüten, die sich neben vollen Tonnen stapeln. Wenn die Abfallentsorgung pausiert, etwa wegen mehrerer Feiertage, entsteht schnell der Eindruck von Chaos – von unangenehmen Gerüchen ganz zu schweigen. Wie wichtig diese Branche für unser aller Leben ist, steht daher außer Frage. Und solche wichtigen Brachen (sog. Kritische Infrastrukturen) bedürfen auch des besonderen Schutzes vor Cyber-Kriminalität.

So gewinnt das Thema Informationssicherheit auch hier an Bedeutung. Die deutsche Regierung hat bereits vor einigen Jahren Regelungen aufgestellt, um Unternehmen aus Kritischen Infrastrukturen vor Schäden durch Cyber-Kriminalität zu schützen. Dazu werden demnächst auch Betreiber von Entsorgungsanlagen zählen. In der Covid-19 Realität und mit der globalen Digitalisierung steht die Sicherheit Kritischer Infrastrukturen besonders im Fokus: Eine Welt ohne gut funktionierende Krankenhäuser oder Energienetze ist heute unvorstellbar.

Die Abfallwirtschaft wird als neuer Sektor in die Liste der kritischen Infrastrukturen aufgenommen. Abfallmanagement, auch wenn es banal klingt, ist enorm wichtig – für unsere Umwelt und Gesundheit. Denn neben der Abwasserbehandlung spielt auch die Abfallentsorgung eine entscheidende Rolle für unser tägliches Leben, insbesondere aus epidemiologischer und hygienischer Sicht.

Wahrscheinlich hat die aktuelle Pandemiesituation die schnelle Reaktion des Gesetzgebers beeinflusst. Zwar bearbeitet das Bundesministerium des Inneren für Bau und Heimat (BMI) schon seit vielen Monaten einen dritten Entwurf des IT-Sicherheitsgesetzes 2.0, die Veröffentlichung des Entwurfs und der Beschluss im Kabinett erfolgten dann aber relativ schnell, noch kurz vor Ende des Jahres 2020.

Aus dem Referentenentwurf geht hervor, dass nun auch die Siedlungsabfallentsorgung als kritische Infrastruktur in Sachen des BSIG klassifiziert wird. Nach Inkrafttreten der Regelung gilt dann für alle neuen KRITIS-Unternehmen eine zweijährige Frist, um ihre IT-Systeme den gesetzlichen Anforderungen an Kritische Infrastrukturen anzupassen und darüber einen entsprechenden Nachweis zu erbringen.

Kritische Infrastrukturen sind attraktive Angriffsziele für Cyber-Attacken, das BSI hat daher laut Gesetz diese Risiken zu reduzieren und für ein hohes Niveau an Informationssicherheit zu sorgen. Es bietet dem KRITIS-Betreiber dabei Unterstützung und lädt zur Teilnahme an der Kooperation UP KRITIS ein. Für alle andere Unternehmen, die nicht als kritische Infrastruktur gelten, aber auch dem Thema IT-Sicherheit verbunden sind, besteht die Möglichkeit zur kostenlosen Mitgliedschaft in der Allianz für Cyber-Sicherheit.

Die spezifischen Anforderungen für das Umsetzen angemessener IT-Sicherheitsmaßnahmen in Organisationen variieren und sind vor allem abhängig von der jeweiligen Branche.

Um ein brancheneinheitliches Vorgehen beim Einführen und Bewerten dieser Maßnahmen zu ermöglichen, haben viele Branchen daher einen Branchenspezifischen Sicherheitsstandard (B3S) erarbeitet und vom BSI genehmigen lassen.

Auch für die Entsorgungsbranche könnte ein solcher B3S eine sinnvolle Herangehensweise sein, um allen Betreibern einen Leitfaden für die Einführung eines Informationssicherheitsmanagementsystems zu bieten. Mit einem solchen B3S sollte aber möglichst schnell begonnen werden, um allen Akteuren ausreichend Zeit für die Umsetzung der dann festgelegten Anforderungen zu geben.

Was bedeutet das neue IT-Sicherheitsgesetz für den Abfallsektor und welche Unternehmen aus der Entsorgungswirtschaft sind betroffen?

In der BSI-KRITIS Verordnung liegt der Schwellenwert aktuell bei 500.000 versorgten Personen. Das wird allerdings nicht nur für Einsammler und Beförderer von Abfällen gelten, sondern auch für Behandlungs- und Verwertungsanlagen. Die Ampel für diese Betreiber steht jetzt also auf „grün“: Sie können mit der Arbeit beginnen und ihr IT-System gemäß dem anerkannten Stand der Technik auf die Prüfung vorbereiten.

Was können wir als GUTcert für Sie tun?

Die GUTcert bietet allen Unternehmen aus der Abfallwirtschaft ein vollumfängliches Leistungsspektrum an Prüfdienstleistungen. Aufgrund unserer jahrzehntelangen Erfahrungen kennen wir die Anforderungen der Branche sehr genau und berücksichtigen diese bei allen unseren Prüfungen.

Auch für das Thema Informationssicherheit stehen wir als kompetenter Ansprechpartner nicht nur für Entsorgungsunternehmen sondern auch für Verbände und andere Akteure bereit.

Haben Sie Fragen oder Hinweise zum Thema KRITIS? Wenden Sie sich gerne an Andreas Lemke.

Zurück