Mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie ist auch das novellierte BSI-Gesetz (BSIG) in Kraft getreten. Kern der Neuregelung ist ein deutlich erweiterter Adressatenkreis der Cybersicherheitsvorgaben.
Das Gesetz unterscheidet nun zwischen „wichtigen Einrichtungen“ und „besonders wichtigen Einrichtungen. An diese Einordnung knüpfen umfangreiche Pflichten an, vor allem zu IT-Risikomanagement, Registrierung und Vorfallsmeldung. Für Organisationen, die mit Inkrafttreten des Gesetzes erstmals unter den Anwendungsbereich fallen, ist die Registrierungsfrist am 6. März 2026 abgelaufen.
Kommunale Abfallwirtschaft im BSIG
Für kommunale Abfallwirtschaftsbetriebe sind vor allem zwei Konstellationen zu unterscheiden: Zum einen kann ein Betrieb als Betreiber einer kritischen Anlage im Bereich der Siedlungsabfallentsorgung als besonders wichtige Einrichtung nach § 28 Abs. 1 Nr. 1 BSIG einzuordnen sein. Zum anderen kann er – auch ohne KRITIS-Anlage – als wichtige Einrichtung nach § 28 Abs. 2 Nr. 3 BSIG erfasst sein, wenn er dem Sektor Abfallbewirtschaftung zuzuordnen ist und die gesetzlichen Größenkriterien erfüllt.
Abfallwirtschaft als besonders wichtige Einrichtung
Nach § 28 Abs. 1 Nr. 1 BSIG gelten Betreiber kritischer Anlagen als besonders wichtige Einrichtungen. Ob eine kritische Anlage vorliegt, bestimmt sich nach der BSI-Kritisverordnung (BSI-KritisV). Für die Abfallwirtschaft ist insoweit die Siedlungsabfallentsorgung relevant. Diese wurde jedoch nicht erst durch das neue BSIG regulatorisch bedeutsam, sondern bereits 2024 in die KRITIS-Systematik einbezogen. Schon zuvor bestanden daher für entsprechend relevante Anlagen IT-sicherheitsrechtliche Pflichten.
Die BSI-Kritisverordnung erfasst in diesem Bereich verschiedene Anlagen und Prozesse der Sammlung, Umladung, Lagerung sowie der Verwertung und Beseitigung von Siedlungsabfällen. Maßgeblich ist allerdings nicht schon die bloße Tätigkeit im Sektor, sondern dass die jeweilige Anlage einer erfassten Anlagenkategorie zugeordnet werden kann und die festgelegten Schwellenwerte (etwa bezogen auf versorgte Einwohner oder Behandlungskapazitäten) erreicht.
Für die Praxis bedeutet das: Betreibt ein kommunaler oder kommunal beherrschter Entsorger eine solche Anlage, kann er bereits kraft KRITIS-Eigenschaft als besonders wichtige Einrichtung einzuordnen sein. Das ist insbesondere für größere Entsorgungsstrukturen wie Müllverbrennungsanlagen, Sortieranlagen oder Bioabfallbehandlungsanlagen, relevant.
Adressat der Pflichten ist der Betreiber der kritischen Anlage, also diejenige Person oder Organisationseinheit, die den bestimmenden Einfluss auf die Anlage ausübt. Gerade wenn Eigentum, Betriebsführung und Anlagensteuerung auseinanderfallen, bedarf dies im Einzelfall sorgfältiger Prüfung.
Abfallbewirtschaftung als wichtige Einrichtung
Neben der KRITIS-Einordnung eröffnet § 28 Abs. 2 Nr. 3 BSIG einen zweiten Zugang in den Anwendungsbereich des Gesetzes. Als wichtige Einrichtungen gelten danach auch sonstige natürliche oder juristische Personen sowie rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, sofern sie entgeltlich Waren oder Dienstleistungen anbieten, einem der in den Anlagen 1 oder 2 zum BSIG genannten Sektoren zuzuordnen sind und die Größenkriterien des § 28 BSIG erfüllen. Damit kommen neben kommunal gehaltenen privatrechtlichen Gesellschaften (etwa GmbHs) insbesondere auch kommunale Eigenbetriebe als Adressaten des Gesetzes in Betracht.
Für die Abfallwirtschaft ist insoweit Anlage 2 zum BSIG einschlägig. Erfasst werden dort Unternehmen der Abfallbewirtschaftung im Sinne des § 3 Abs. 14 KrWG, also insbesondere Unternehmen, die Abfälle bereitstellen, überlassen, sammeln, befördern, verwerten oder beseitigen. Gerade hierin liegt die wesentliche Neuerung des novellierten BSIG: Es erfasst nun auch solche Abfallwirtschaftsbetriebe, die keine kritischen Anlagen betreiben und damit unterhalb der KRITIS-Schwelle bleiben, sofern sie jedenfalls die Kriterien des § 28 BSIG erfüllen.
Maßgeblich ist insoweit vor allem die Size-Cap-Rule: Danach muss die Einrichtung mindestens 50 Mitarbeitende beschäftigen oder sowohl einen Jahresumsatz als auch eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen. Diese Schwellenwerte dürften bei vielen kommunalen Entsorgungsunternehmen und größeren Eigenbetrieben regelmäßig erreicht sein. Das neue Recht entfaltet damit über den Bereich kritischer Anlagen hinaus eine deutlich breitere Wirkung.
Welche Pflichten folgen aus der Einordnung?
Sowohl für wichtige als auch für besonders wichtige Einrichtungen gelten die zentralen Pflichten der §§ 30 ff. BSIG. Im Mittelpunkt stehen zunächst Risikomanagementmaßnahmen nach § 30 BSIG. Betroffene Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen treffen, um die Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu schützen. Der gesetzliche Mindestkatalog umfasst unter anderem Risikoanalyse, Incident Handling, Backup-Management, Zugriffskontrollen, Multi-Faktor-Authentifizierung, Lieferkettensicherheit sowie Schulungs- und Sensibilisierungsmaßnahmen.
Hinzu treten Meldepflichten nach § 32 BSIG für erhebliche Sicherheitsvorfälle sowie die bereits angesprochene Registrierungspflicht nach § 33 BSIG. Unternehmen müssen daher belastbare interne Prozesse schaffen, um Vorfälle rechtzeitig erkennen, bewerten und melden zu können. Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen müssen nach § 38 BSIG zudem die Umsetzung der Risikomanagementmaßnahmen überwachen und regelmäßig Schulungen absolvieren. Die Verantwortung für Cybersicherheit wird damit ausdrücklich auf Leitungsebene verankert.
Für Betreiber kritischer Anlagen gelten darüber hinaus weitergehende Anforderungen. Dazu gehören insbesondere zusätzliche Sicherheitsmaßnahmen nach § 31 BSIG, etwa der verpflichtende Einsatz von Systemen zur Angriffserkennung für wesentliche IT-Systeme, sowie regelmäßige Nachweispflichten gegenüber dem BSI nach § 39 BSIG.
Die Einhaltung der Vorgaben ist sanktions- und haftungsrechtlich relevant. Mangels allgemeiner Übergangsfristen können Pflichtverstöße grundsätzlich seit Inkrafttreten des Gesetzes geahndet werden; § 65 BSIG sieht hierfür teils erhebliche Bußgelder vor. Hinzu treten bei schuldhafter Pflichtverletzung Haftungsrisiken der Geschäftsleitung nach § 38 BSIG.
Fazit
Die Umsetzung der NIS-2-Richtlinie durch das neue BSIG führt in der Abfallwirtschaft zu einer spürbaren Ausweitung regulatorischer Pflichten. Betroffen sein können Abfallwirtschaftsbetriebe insbesondere in zwei Konstellationen: Zum einen als Betreiber kritischer Anlagen der Siedlungsabfallentsorgung nach § 28 Abs. 1 Nr. 1 BSIG, zum anderen als wichtige Einrichtungen der Abfallbewirtschaftung nach § 28 Abs. 2 Nr. 3 BSIG, sofern die Größenkriterien erfüllt sind. Erfasst werden dabei nicht nur kommunale Eigengesellschaften in privatrechtlicher Form, sondern grundsätzlich auch kommunale Eigenbetriebe.
Für die Praxis heißt das: Kommunale und kommunal beherrschte Entsorger sollten zügig prüfen, welche Einordnung im Einzelfall einschlägig ist, ob KRITIS-Schwellenwerte erreicht werden, wie die eigene Organisationsstruktur rechtlich zu bewerten ist und ob die Anforderungen der §§ 30 ff. BSIG bereits belastbar umgesetzt sind. Gerade weil noch viele Auslegungsfragen offen sind, empfiehlt sich eine frühzeitige rechtliche und organisatorische Bestandsaufnahme.
Entnommen aus der Fundstelle Hessen 09/2026, Rn. 59.
