Ob Sie lieber eine E-Mail senden oder zum Telefon greifen. Wir freuen uns, von Ihnen zu hören.
NIS-2-Umsetzung und Abfallwirtschaft: Vom KRITIS-Sektor zur breiteren Regulierung
Mit dem Gesetz zur Umsetzung der NIS‑2‑Richtlinie ist am 6. Dezember 2025 das novellierte BSI‑Gesetz (BSIG) in Kraft getreten. Zentrales Element der Reform ist die deutliche Ausweitung des Adressatenkreises der Cybersicherheitsvorgaben. Das BSIG unterscheidet nun zwischen „wichtigen Einrichtungen“ und „besonders wichtigen Einrichtungen“ im Sinne des § 28 BSIG. An diese Einordnung knüpfen umfangreiche Pflichten an, insbesondere zu IT‑Risikomanagement, Registrierung und Vorfallsmeldung (§§ 30 ff. BSIG).
Kommunale Abfallwirtschaft im Anwendungsbereich des BSIG
Für kommunale Abfallwirtschaftsbetriebe sind dabei im Wesentlichen zwei Konstellationen relevant: Zum einen können Betreiber kritischer Anlagen der Siedlungsabfallentsorgung als besonders wichtige Einrichtungen nach § 28 Abs. 1 Nr. 1 BSIG erfasst sein. Zum anderen kommen Abfallwirtschaftsbetriebe auch ohne KRITIS‑Anlage als wichtige Einrichtungen nach § 28 Abs. 2 Nr. 3 BSIG in Betracht, sofern sie dem Sektor Abfallbewirtschaftung zuzuordnen sind und die gesetzlichen Größenkriterien erfüllen.
Abfallwirtschaft als KRITIS: besonders wichtige Einrichtungen (§ 28 Abs. 1 Nr. 1 BSIG)
Nach § 28 Abs. 1 Nr. 1 BSIG gelten Betreiber kritischer Anlagen als besonders wichtige Einrichtungen. Ob eine solche Anlage vorliegt, bestimmt sich nach der BSI‑Kritisverordnung. Für die Abfallwirtschaft ist insbesondere die Siedlungsabfallentsorgung relevant. Maßgeblich ist jedoch nicht die bloße Tätigkeit im Sektor, sondern die Zuordnung zu einer erfassten Anlagenkategorie und das Erreichen der festgelegten Schwellenwerte (etwa hinsichtlich versorgter Einwohner oder Behandlungskapazitäten).
Adressat der Pflichten ist der Betreiber der kritischen Anlage, also die Person oder Organisation, die den bestimmenden Einfluss auf deren Betrieb ausübt. Gerade bei komplexen Konstellationen, in denen Eigentum, Betrieb und Steuerung auseinanderfallen, ist dies im Einzelfall sorgfältig zu prüfen.
Abfallbewirtschaftung als wichtige Einrichtung (§ 28 Abs. 2 Nr. 3 BSIG)
Unabhängig von einer KRITIS‑Einordnung eröffnet § 28 Abs. 2 Nr. 3 BSIG einen weiteren Zugang in den Anwendungsbereich des Gesetzes. Wichtige Einrichtungen sind danach auch sonstige natürliche oder juristische Personen sowie rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, sofern sie entgeltlich Waren oder Dienstleistungen anbieten, einem der in den Anlagen 1 oder 2 zum BSIG genannten Sektoren zuzuordnen sind und die Größenkriterien des § 28 BSIG erfüllen. Erfasst sind damit insbesondere kommunale Eigengesellschaften (z. B. GmbHs), aber auch kommunale Eigenbetriebe.
Für die Abfallwirtschaft ist Anlage 2 zum BSIG maßgeblich. Sie erfasst Unternehmen der Abfallbewirtschaftung im Sinne des § 3 Abs. 14 KrWG, also insbesondere Unternehmen, die Abfälle bereitstellen, überlassen, sammeln, befördern, verwerten oder beseitigen. Darin liegt eine wesentliche Neuerung des novellierten BSIG: Erfasst werden nun auch Abfallwirtschaftsbetriebe unterhalb der KRITIS‑Schwelle, sofern sie die Kriterien des § 28 BSIG erfüllen.
Zentral ist dabei die sogenannte Size‑Cap‑Rule: Die Einrichtung muss entweder mindestens 50 Mitarbeitende beschäftigen oder sowohl einen Jahresumsatz als auch eine Jahresbilanzsumme von jeweils über 10 Mio. Euro aufweisen. Diese Schwellenwerte dürften bei vielen kommunalen Entsorgungsunternehmen und größeren Eigenbetrieben regelmäßig erreicht sein. Das BSIG entfaltet damit eine deutlich breitere Wirkung über den klassischen KRITIS‑Bereich hinaus.
Welche Pflichten folgen aus der Einordnung?
Für wichtige wie auch für besonders wichtige Einrichtungen gelten die zentralen Pflichten der §§ 30 ff. BSIG. Im Mittelpunkt stehen Risikomanagementmaßnahmen nach § 30 BSIG. Die betroffenen Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zum Schutz der Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT‑Systeme, Komponenten und Prozesse implementieren. Ergänzend bestehen insbesondere Meldepflichten bei Sicherheitsvorfällen (§ 32 BSIG) sowie eine Registrierungspflicht gegenüber dem BSI (§ 33 BSIG). Darüber hinaus trifft die Geschäftsleitung nach § 38 BSIG eine besondere Verantwortung: Sie hat die Umsetzung der Risikomanagementmaßnahmen zu überwachen und regelmäßig an Schulungen teilzunehmen. Cybersicherheit wird damit ausdrücklich auf Leitungsebene verankert. Betreiber kritischer Anlagen unterliegen zudem weitergehenden Anforderungen, etwa zusätzlichen Sicherheitsmaßnahmen und regelmäßigen Nachweispflichten gegenüber dem BSI.
Die Einhaltung der Vorgaben ist sanktions‑ und haftungsrechtlich relevant. Mangels allgemeiner Übergangsfristen können Pflichtverstöße grundsätzlich seit Inkrafttreten des Gesetzes verfolgt werden; das BSIG sieht hierfür teils erhebliche Bußgelder vor. Hinzu treten bei schuldhaften Pflichtverletzungen persönliche Haftungsrisiken der Geschäftsleitung (§ 38 BSIG).
Fazit
Die Umsetzung der NIS‑2‑Richtlinie durch das neue BSIG führt in der Abfallwirtschaft zu einer spürbaren Ausweitung regulatorischer Pflichten. Betroffen sein können Abfallwirtschaftsbetriebe insbesondere in zwei Konstellationen: als Betreiber kritischer Anlagen der Siedlungsabfallentsorgung (§ 28 Abs. 1 Nr. 1 BSIG) oder als wichtige Einrichtungen der Abfallbewirtschaftung (§ 28 Abs. 2 Nr. 3 BSIG), sofern die Größenkriterien erfüllt sind. Dies gilt sowohl für kommunale Eigengesellschaften in privatrechtlicher Form als auch grundsätzlich für kommunale Eigenbetriebe.
Für die Praxis bedeutet dies: Kommunale und kommunal beherrschte Entsorgungsunternehmen sollten zeitnah prüfen, welche Einordnung einschlägig ist, ob KRITIS‑Schwellenwerte erreicht werden, wie die Organisationsstruktur rechtlich einzuordnen ist und ob die Anforderungen der §§ 30 ff. BSIG bereits belastbar umgesetzt sind. Angesichts noch offener Auslegungsfragen empfiehlt sich eine frühzeitige rechtliche und organisatorische Bestandsaufnahme.
