2015 ist das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) in Kraft getreten. Ziel des Gesetzes ist es, einen weltweit führenden Standard zu setzen im Hinblick auf die Sicherheit informationstechnischer Systeme. 2019 ist ein Referentenentwurf des Bundesinnenministeriums für ein neues ITSicherheitsgesetz (sog. IT-SiG 2.0) ausgearbeitet worden, der die erstmalige Aufnahme des Entsorgungssektors in den Katalog der Sektoren mit Kritischer Infrastruktur vorsieht. Sollte der Referentenentwurf in dieser Weise umgesetzt werden, können Entsorgungsanlagen durch Rechtsverordnung zu Kritischer Infrastruktur erklärt werden. Betroffene Unternehmen der Entsorgungswirtschaft müssen dann eine Reihe zusätzlicher rechtlicher Anforderungen erfüllen.
Durch das IT-Sicherheitsgesetz von 2015 wurde das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIGesetz – BSIG) um eine Begriffsbestimmung für „Kritische Infrastrukturen“ ergänzt. Diese gehören bestimmten, im BSIG aufgezählten Sektoren (z.B. Energie, Telekommunikation) an. Die Betreiber Kritischer Infrastrukturen treffen zahlreiche (bußgeldbewehrte) Pflichten im Hinblick auf die Sicherheit ihrer IT-Systeme.
Der Referentenentwurf des Bundesinnenministeriums sieht nunmehr vor, dass der Sektor „Entsorgung“ in den Katalog der Sektoren mit Kritischen Infrastrukturen und damit in den Anwendungsbereich der IT-sicherheitsrechtlichen Regularien einbezogen wird. In der Begründung des Referentenentwurfs wird diese Ergänzung damit begründet, dass es sich bei der „Entsorgung von Siedlungsabfällen“ um eine kritische Dienstleistung handele. Es solle verhindert werden, dass es durch einen Ausfall oder eine Beeinträchtigung der Entsorgung von Siedlungsabfällen zu einer Gefährdung der Bevölkerung und Umwelt komme.
Im Hinblick auf diese Erwägungen ist davon auszugehen, dass die beabsichtigte Neuregelung nicht die Entsorgung (im Sinne von § 3 Abs. 22 KrWG) insgesamt – also jede Art der Verwertung und Beseitigung von Abfällen – betrifft, sondern lediglich die Entsorgung von Siedlungsabfällen. Der Begriff der Siedlungsabfälle, der bisher im KrWG nicht definiert ist, umfasst nach der bis Juli 2020 umzusetzenden Legaldefinition in der Abfallrahmenrichtlinie, die weitgehend dem Kapitel 20 des Abfallverzeichnisses entspricht, – etwas vereinfacht – gemischte und getrennt gesammelte Abfälle aus Haushalten (einschließlich Papier und Karton, Glas, Metall, Kunststoff, Bioabfälle, Holz, Textilien, Verpackungen, Altgeräte, Altbatterien und Altakkumulatoren sowie Sperrmüll) und vergleichbare Abfälle aus anderen Herkunftsbereichen, sofern diese in ihrer Beschaffenheit und Zusammensetzung Haushaltsabfällen ähnlich sind.
Selbst wenn die geplante Ergänzung des BSIG Gesetz werden sollte, würde dies allerdings nicht dazu führen, dass sämtliche Betreiber von Einrichtungen und Anlagen zur Entsorgung von Siedlungsabfällen unmittelbar zu Kritischen Infrastrukturen im Sinne dieses Gesetzes würden. Die betroffenen Einrichtungen und Anlagen sind vielmehr erst noch in einer Rechtsverordnung, der sog. BSI-Kritisverordnung, zu konkretisieren. Diese Verordnung zählt für die einzelnen in das BSIG einbezogenen Sektoren die erfassten Arten von Einrichtungen und Anlagen auf und gibt jeweils Schwellenwerte an, ab der die Einrichtungen und Anlagen als Kritische Infrastrukturen anzusehen sind. Entsprechende Regelungen wären, wenn der Referentenentwurf wie vorgesehen umgesetzt wird, auch für den Entsorgungssektor zu schaffen. Da für die erforderliche Änderung der BSIKritisverordnung bisher kein Entwurf vorliegt, ist derzeit noch nicht absehbar, welche Entsorgungsunternehmen von der Ausweitung der IT-sicherheitsrechtlichen Pflichten konkret betroffen sein werden. Unternehmen, die im Bereich der Entsorgung von Siedlungsabfällen tätig sind, ist jedoch zu empfehlen, sich fortlaufend über die weitere Entwicklung zu informieren.
Betroffene Unternehmen haben ab ihrer Einbeziehung in die BSI-Kritisverordnung und damit das BSIG zwei Jahre Zeit, um ihre IT-Systeme den gesetzlichen Anforderungen für Kritische Infrastrukturen anzupassen. Dafür sind insbesondere angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der für die Funktionsfähigkeit der Kritischen Infrastrukturen maßgeblichen informationstechnischen Systeme, ihrer Komponenten oder Prozesse zu treffen. Die Erfüllung dieser Anforderungen ist nicht zuletzt deswegen besonders haftungsrelevant, weil durch die geplante Gesetzesänderung auch die Sanktion von Ordnungswidrigkeiten drastisch verschärft werden soll. Bislang gilt ein Bußgeldrahmen von bis zu maximal 100.000 € je Verstoß (§ 14 Aba. 2 Satz 1 BSIG). Der Referentenentwurf sieht – in Angleichung an die Regelungen der DSGVO – vor, dass Verstöße gegen bestimmte Ordnungswidrigkeitentatbestände mit Geldbußen von bis zu 20 Millionen Euro oder von 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahres – maßgeblich soll der im jeweiligen Fall höhere Betrag sein – geahndet werden können.
Quelle: Köhler & Klett Rechtsanwälte
Das dazu gehörige Fachseminar ist in der Seminarwelt des IWU Magdeburg auffindbar.