Sortieranlagen verarbeiten Wertstoffe mit optischen Sensoren und Robotiksystemen. Müllverbrennungsanlagen steuern Verbrennungsprozesse, Dampfkessel und Abgasreinigung über verteilte Leitsysteme (DCS). Deponien überwachen Sickerwasser und Deponiegaserfassung rund um die Uhr. Die Abfallwirtschaft ist längst keine rein mechanische Branche mehr — sie betreibt umfangreiche Operational-Technology-Infrastruktur (OT), die zunehmend mit IT-Netzwerken verknüpft ist und damit denselben Cyberbedrohungen ausgesetzt ist wie Industrieunternehmen.
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG), in Kraft seit dem 6. Dezember 2025, erfasst die Abfallbewirtschaftung als Anhang-II-Sektor (Anlage 2 NIS2UmsuCG, Abschnitt 11). Entsorger, Recycler und kommunale Entsorgungsbetriebe, die die Größenschwellen des §28 NIS2UmsuCG überschreiten, werden als wichtige Einrichtungen eingestuft — mit verbindlichen Sicherheitspflichten nach §30 NIS2UmsuCG. Was das konkret bedeutet, welche OT-Risiken adressiert werden müssen und welche Fristen gelten, erklärt dieser Leitfaden. Einen Überblick über alle zehn technischen und organisatorischen Basismaßnahmen bietet der Leitfaden zu den NIS2-Sicherheitsanforderungen nach §30 NIS2UmsuCG.
Abfallwirtschaft als Anhang-II-Sektor: Wer ist betroffen?
Die NIS2-Richtlinie (EU) 2022/2555 erfasst die Abfallbewirtschaftung in Anhang II unter Nummer 11. Abgedeckt sind alle Tätigkeiten der NACE-Klasse E38 — Sammlung, Behandlung, Beseitigung und Rückgewinnung von Abfällen. Das NIS2UmsuCG transponiert diese Vorgabe in Anlage 2 Abschnitt 11, die alle Formen der Abfallbewirtschaftung erfasst: Deponien, Sortieranlagen, Müllverbrennungsanlagen (MVA), mechanisch-biologische Abfallbehandlungsanlagen (MBA) und industrielle Recyclingunternehmen.
Die Einordnung in Anhang II hat eine entscheidende Konsequenz: Anders als Wasserversorger oder Energieversorger (Anhang I) werden Abfallbewirtschaftungsunternehmen unabhängig von ihrer Größe immer als wichtige Einrichtungen eingestuft — nicht als besonders wichtige Einrichtungen. Das bedeutet ein weniger strenges Aufsichtsregime (reaktive Ex-post-Aufsicht statt proaktiver BSI-Prüfung), aber denselben Pflichtenkatalog nach §30 NIS2UmsuCG. Einen ausführlichen Vergleich beider Kategorien bietet der Leitfaden Wesentliche vs. wichtige Einrichtungen nach NIS2.
Für die Einstufung als wichtige Einrichtung gelten folgende Größenschwellen:
| Einrichtungstyp | Schwellenwert (einer der folgenden) | Aufsichtsregime |
|---|---|---|
| Wichtige Einrichtung (wE) | ≥ 50 Mitarbeiter (Vollzeitäquivalente) oder Jahresumsatz > 10 Mio. Euro und Jahresbilanzsumme > 10 Mio. Euro | Ex-post-Aufsicht (§60–61 NIS2UmsuCG); anlassbasierte BSI-Prüfung |
| Nicht erfasst | < 50 Mitarbeiter und Jahresumsatz ≤ 10 Mio. Euro | Keine NIS2-Pflichten; freiwillige Meldung beim BSI möglich |
Reine Abfalltransportunternehmen, die ausschließlich Einsammlungs- und Transportleistungen ohne Behandlung oder Verwertung erbringen (NACE H49), sind nach dem Wortlaut des Anhangs II nicht erfasst — sofern sie nicht auch Behandlungs- oder Sortierbetrieb betreiben. In der Praxis sind die meisten größeren Entsorgungsunternehmen Mischbetriebe, die Transport, Sortierung und Verwertung kombinieren und damit eindeutig unter die NACE-Klasse E38 fallen.
Praktische Beispiele für die Einstufung im Abfallsektor:
- Privates Recyclingunternehmen mit 80 Mitarbeitern und eigenem Sortierbetrieb → wichtige Einrichtung
- Kommunaler Eigenbetrieb mit MVA und 200 Beschäftigten → wichtige Einrichtung
- Deponieverwaltung mit 200 Mio. Euro Jahresumsatz → wichtige Einrichtung (nicht besonders wichtige, da Anhang II)
- Kleines Sammelunternehmen mit 30 Mitarbeitern und 3 Mio. Euro Umsatz → nicht erfasst
Der entscheidende Unterschied zu Wasser- oder Energieversorgern: Im Abfallsektor gibt es keine KRITIS-Einstufung im traditionellen Sinne des BSI-Gesetzes. Abfallbewirtschaftungsunternehmen sind daher reine NIS2-Einrichtungen ohne überlappende KRITIS-Doppelpflichten — eine Komplexitätserleichterung gegenüber Anhang-I-Sektoren, die jedoch nicht von den vollständigen §30-Anforderungen entbindet. Welche Unternehmen grundsätzlich unter den NIS2-Anwendungsbereich fallen, erklärt der Leitfaden zum NIS2-Anwendungsbereich und den Größenschwellen.
OT-Sicherheit in Sortieranlagen und Müllverbrennungsanlagen
Der Abfallsektor betreibt OT-Infrastruktur, die über klassische Büro-IT weit hinausgeht. Drei Anlagentypen prägen das OT-Risikoprofil der Branche:
Sortieranlagen (MRF — Material Recovery Facilities). Moderne Leichtverpackungssortieranlagen verarbeiten mehrere Tausend Tonnen Wertstoffe pro Jahr vollautomatisch: Nah-Infrarot-Sensoren (NIR) erkennen Materialtypen, Druckluftventile lenken Fraktionen auf verschiedene Förderbänder, Baggergreifer und Ballenpressen runden den Prozess ab. Alle Komponenten werden über speicherprogrammierbare Steuerungen (SPS) koordiniert und von einem SCADA-System überwacht. Die NIR-Sortieroptik und die Förderbandsensorik sind oft über Ethernet-basierte Industrieprotokolle (PROFINET, EtherNet/IP) verbunden — bei älteren Anlagen selten konsequent vom Büronetz segmentiert.
Ein Ransomware-Angriff, der SPS-Kommunikation oder das SCADA-Netz trifft, kann die gesamte Anlage zum Stillstand bringen — mit unmittelbaren Folgen für die kommunale Wertstofferfassung und angeschlossene Verwertungsabnehmer. Das Wiederanfahren einer manuell gestoppten Sortieranlage erfordert in der Regel mehrere Stunden Reinigungs- und Konfigurationsaufwand, selbst wenn die IT-Ursache schnell behoben ist.
Müllverbrennungsanlagen (MVA). MVAs sind hochkomplexe Energieanlagen: Sie verbrennen Restabfälle und erzeugen gleichzeitig Dampf für die Strom- und Fernwärmeerzeugung. Verbrennungsregelung, Kessel- und Turbinensteuerung, Abgasreinigungssysteme (Rauchgaswäscher, Elektrofilter, Aktivkoks-Einblasung) und Emissionsmesstechnik laufen über verteilte Leitsysteme (DCS) — häufig von Anbietern wie Siemens, ABB oder Honeywell. Große MVAs betreiben zusätzlich ein LIMS (Laborinformationsmanagementsystem) für die kontinuierliche Emissionserfassung nach der 17. Bundes-Immissionsschutzverordnung (BImSchV).
Das größte OT-Risiko in MVAs ist die Manipulation von Emissionsdaten. Wird das LIMS oder die Emissionsmesstechnik kompromittiert, können Grenzwertüberschreitungen verschleiert werden — mit regulatorischen, strafrechtlichen und reputativen Folgen. BSI und Umweltbundesamt warnen in Fachpublikationen regelmäßig vor gezielten Angriffen auf Emissionsmesstechnik in Industrieanlagen. Ein Angriff, der die MVA-Steuerung selbst trifft, kann außerdem zur ungeplanten Abschaltung führen und würde kurzfristig erhebliche Entsorgungsengpässe für das versorgte Stadtgebiet verursachen.
Deponien. Die OT-Infrastruktur von Deponien umfasst Sickerwasser-Pumpensteuerungen, Deponiegaserfassungs- und Verwertungssysteme (BHKW-Anbindung), automatische Wiegesysteme und Schrankensteuerungen. Der Vernetzungsgrad ist oft geringer als bei MVAs, aber auch hier bestehen spezifische Risiken: Eine manipulierte Sickerwasserpumpe kann zu unkontrolliertem Sickerwasseraustritt und Grundwasserbelastung führen; eine kompromittierte Deponiegasmessanlage kann Sicherheitsabschaltungen blockieren.
Für alle drei Anlagentypen gilt: OT-Systeme wurden für Verfügbarkeit und Prozessstabilität ausgelegt, nicht für Cyberangriffe. §30 Nr. 5 NIS2UmsuCG fordert explizit Netzwerk- und Informationssystemsicherheit — für Abfallwirtschaftsunternehmen bedeutet das erstmals eine verbindliche OT-/IT-Segmentierungspflicht, wo bisher oft nur betriebliche Best Practices galten.
§30 NIS2UmsuCG im Abfallsektor: Die zehn Maßnahmen
§30 Abs. 2 NIS2UmsuCG transponiert Art. 21 Abs. 2 lit. a–j der NIS2-Richtlinie ins deutsche Recht. Für Abfallbewirtschaftungsunternehmen trägt jede Maßnahme eine sektorspezifische Umsetzungsanforderung:
| Maßnahme | Rechtsgrundlage | Abfallsektor-Kontext |
|---|---|---|
| Risikoanalyse und Informationssicherheitspolitik | lit. a / Nr. 1 | OT-Asset-Inventar aller SPS, SCADA-Server, DCS-Komponenten, NIR-Sortiereinheiten und Emissionsmesstechnik mit Betriebsalter und Netzwerktopologie |
| Vorfallreaktion und Meldung | lit. b / Nr. 2 | IRP mit Eskalationsplan für Anlagenausfall; 24h-Frühwarnung, 72h-BSI-Meldung, 1-Monat-Abschlussbericht für erhebliche Vorfälle nach §32 NIS2UmsuCG |
| Backup, Wiederherstellung, Krisenmanagement | lit. c / Nr. 3 | Redundante SCADA-Konfiguration; Notbetriebsplan für manuellen Sortierbetrieb; MVA-spezifischer RTO am sicheren Anlagenstillstand ausgerichtet |
| Lieferkettensicherheit | lit. d / Nr. 4 | Vertragliche Sicherheitsklauseln für Wartungsdienstleister an SPS/SCADA-Systemen, Fernwartungsanbieter von NIR-Sortiertechnik und DCS-Hersteller |
| Netzwerk- und Informationssystemsicherheit | lit. e / Nr. 5 | OT/IT-Netzwerksegmentierung in Sortieranlagen und MVAs; DMZ-Konfiguration; gesicherte Protokolle für Fernwartungszugriffe auf DCS und SPS |
| Wirksamkeit der Maßnahmen | lit. f / Nr. 6 | OT-Penetrationstests; Anomalie-Monitoring für Prozessabweichungen (Emissionsspitzen, anomale Sortierquoten); regelmäßige Konfigurationsprüfung der SCADA-Zugriffsteuerung |
| Cyber-Hygiene und Schulungen | lit. g / Nr. 7 | Schulungen für Anlagenpersonal: USB-Risiken an SPS-Terminals, sichere Handhabung von Fernwartungszugängen, Phishing-Erkennung für Leitstandpersonal |
| Kryptografie | lit. h / Nr. 8 | Verschlüsselung für VPN-Fernwartungszugänge auf DCS/SCADA; Kryptografiestrategie für ältere Industrieprotokolle nach CIR 2024/2690 |
| Personalzuverlässigkeit und Zugangssteuerung | lit. i / Nr. 9 | Physische Zugangskontrolle zu Leitständen und SPS-Schaltschränken; Rollen- und Need-to-Know-Konzept für privilegierte Accounts an SCADA und DCS |
| Multi-Faktor-Authentifizierung | lit. j / Nr. 10 | MFA für alle Fernzugriffe auf SCADA und DCS; Ausnahmen für Safety-Critical-Prozesse dokumentieren und von der Geschäftsleitung nach §38 NIS2UmsuCG genehmigen lassen |
Drei Maßnahmen sind für Abfallbewirtschaftungsunternehmen besonders kritisch:
§30 Nr. 1 — OT-Asset-Inventar als Compliance-Grundlage. Eine vollständige Risikoanalyse setzt ein präzises Asset-Inventar voraus. Für Sortieranlagen bedeutet das die Erfassung aller SPS-Einheiten, NIR-Sortiersysteme, Ballenpressen-Steuerungen und SCADA-Server — inklusive Firmware-Versionen, Netzwerktopologie und Betriebsalter. Ohne Asset-Inventar ist keine sinnvolle Risikoanalyse möglich, und ohne Risikoanalyse ist §30 Abs. 2 formal nicht erfüllt. Viele Abfallanlagen haben dieses Inventar noch nicht systematisch aufgebaut — hier besteht der dringendste Handlungsbedarf.
§30 Nr. 5 — OT/IT-Segmentierung. In vielen älteren Sortier- und Verbrennungsanlagen sind OT-Netzwerke und Büronetzwerke nicht vollständig getrennt. SCADA-Server, die über das gleiche Netz wie E-Mail-Clients betrieben werden, sind ein weit verbreitetes Sicherheitsrisiko. §30 Nr. 5 fordert explizit Netzwerksicherheit — in der OT-Praxis bedeutet das die Einführung einer DMZ-Architektur zwischen IT- und OT-Zone. Als anerkannter Rahmen für OT-Netzwerksegmentierung gilt die IEC-62443-Normenreihe; das BSI-IT-Grundschutz-Kompendium enthält spezifische Bausteine für industrielle Steuerungssysteme.
§30 Nr. 10 — MFA für Fernwartungszugriffe. Externe Wartungsdienstleister, die SPS- oder DCS-Systeme fernwarten, sind im Abfallsektor besonders verbreitet: Spezialisierte Komponenten wie NIR-Sortiersysteme (Hersteller: Steinert, Tomra, Binder+Co) und MVA-DCS-Systeme werden regelmäßig durch Herstellerdienstleister aus der Ferne betreut. Jeder Fernwartungszugang muss mit MFA gesichert sein — eine Anforderung, die bei vielen Anlagen einen technischen Umbau der Fernwartungsarchitektur erfordert und frühzeitig mit den Wartungsvertragspartnern abgestimmt werden sollte.
Kommunale Entsorger — Eigenbetriebe, AöR und Abfallwirtschaftsverbände
Ein wesentlicher Teil der deutschen Abfallentsorgung wird von kommunalen Einrichtungen geleistet: Eigenbetriebe der Kreise und Gemeinden, Anstalten des öffentlichen Rechts (AöR), kommunale GmbHs, Abfallwirtschafts-Zweckverbände und Regiebetriebe. Diese Trägerstruktur beeinflusst die NIS2-Compliance in mehrfacher Hinsicht.
Rechtsperson und Schwellenberechnung. Maßgeblich für die NIS2-Einstufung ist die juristische Person, nicht der politische Träger. Ein kommunaler Entsorgungsbetrieb, der als GmbH mit eigener Bilanz und mehr als 50 Mitarbeitern organisiert ist, ist selbst wichtige Einrichtung — unabhängig von der Größe des Landkreises als Gesellschafter. Ein Eigenbetrieb ohne eigene Rechtspersönlichkeit wird als Teil der kommunalen Verwaltung behandelt; hier ist die Einstufung nach der Gesamtgröße der Gebietskörperschaft zu prüfen.
Kleine Zweckverbände mit begrenzten IT-Ressourcen. Abfallwirtschafts-Zweckverbände haben häufig weniger als 50 Vollzeitäquivalente und werden in der Selbstauskunft möglicherweise nicht als NIS2-pflichtig eingestuft. Werden Werkleistungen und Personal mehrerer Verbandsmitglieder zusammengeführt, kann der Zweckverband als Ganzes die Schwellenwerte überschreiten. Für Verbände ohne eigene IT-Kapazitäten erlaubt §30 Abs. 8 NIS2UmsuCG die gemeinsame Nutzung eines Informationssicherheitsbeauftragten (ISB) durch mehrere wichtige Einrichtungen — ein pragmatischer Weg für kommunale Trägerstrukturen.
Multi-Utility-Konstellationen. Stadtwerke, die neben Strom und Gas auch Abfallentsorgung oder MVA-Betrieb verantworten, können gleichzeitig als Einrichtungen mehrerer Sektoren eingestuft sein. Der Energiebereich ist Anhang-I-Sektor; der Abfallbereich ist Anhang-II-Sektor. Für das Gesamtunternehmen gilt das strengere Regime: Ein Stadtwerk mit MVA und Energiesparte, das als Ganzes über 250 Mitarbeiter oder mehr als 50 Mio. Euro Jahresumsatz hat, wird als besonders wichtige Einrichtung eingestuft — auch wenn der Abfallbereich isoliert betrachtet nur eine wichtige Einrichtung wäre.
Das BSI und der Verband kommunaler Unternehmen (VKU) bieten für kommunale Entsorgungsbetriebe spezifische Unterstützungsangebote: Der BSI-KRITIS-Navigator hilft bei der Selbsteinstufung, der VKU hat NIS2-Umsetzungshinweise für kommunale Mitglieder veröffentlicht, die strukturelle Besonderheiten wie geteilte ISB-Konstruktionen und interkommunale Kooperationslösungen berücksichtigen.
Fristen, Registrierung und Bußgelder
| Datum | Pflicht | Rechtsgrundlage |
|---|---|---|
| 6. Dezember 2025 | NIS2UmsuCG in Kraft; alle §30-Sicherheitspflichten sofort wirksam für wichtige Einrichtungen im Abfallsektor | §1 NIS2UmsuCG (BGBl. I 2025) |
| 6. März 2026 | BSI-Registrierungsfrist für alle wichtigen Einrichtungen — Abfallbewirtschaftung eingeschlossen | §33 NIS2UmsuCG |
| Laufend ab 2026 | Erhebliche Cybervorfälle: 24h-Frühwarnung, 72h-Meldung, 1-Monat-Abschlussbericht an BSI | §32 NIS2UmsuCG |
| Ab 2026/2027 | Anlassbasierte Ex-post-Prüfungen des BSI bei Auffälligkeiten oder Vorfallmeldungen | §60–61 NIS2UmsuCG |
Bußgelder nach §65 NIS2UmsuCG für wichtige Einrichtungen im Abfallsektor:
- Wichtige Einrichtungen: bis zu 7 Millionen Euro oder bis zu 1,4 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist
- Versäumte Registrierung nach §33: gesonderter Bußgeldrahmen
- Persönliche Haftung der Geschäftsleitung nach §38 NIS2UmsuCG bei nachweislicher Pflichtverletzung
Das Bußgeldrisiko für wichtige Einrichtungen ist damit etwas niedriger als für besonders wichtige Einrichtungen (10 Mio. Euro / 2 %). Die Compliance-Pflichten nach §30 sind jedoch identisch. Der wesentliche Unterschied liegt im Aufsichtsmodus: Abfallwirtschaftsunternehmen werden reaktiv überprüft (Anlass oder Vorfallmeldung erforderlich), nicht proaktiv durch routinemäßige BSI-Prüfungen.
§38 NIS2UmsuCG — Persönliche Haftung der Geschäftsleitung: Geschäftsführer und Vorstandsmitglieder von Abfallbewirtschaftungsunternehmen können persönlich für nachweisliche Pflichtverletzungen bei der Umsetzung der §30-Maßnahmen haftbar gemacht werden. Die Cybersicherheitspflicht ist nicht allein an die IT-Abteilung delegierbar; die Geschäftsleitung muss sich nachweislich schulen lassen und die Maßnahmenumsetzung aktiv begleiten und dokumentieren.
Häufige Fragen zur NIS2-Pflicht für die Abfallwirtschaft
- Ist die Abfallwirtschaft eine besonders wichtige oder wichtige Einrichtung?
- Grundsätzlich wichtige Einrichtung. Abfallbewirtschaftung ist in Anhang II der NIS2-Richtlinie gelistet, nicht in Anhang I. Das bedeutet, dass selbst große Entsorgungsunternehmen mit 500 Mitarbeitern als wichtige (nicht besonders wichtige) Einrichtung eingestuft werden. Eine Ausnahme bilden Multi-Utility-Betreiber, die zusätzlich in einem Anhang-I-Sektor (z. B. Energie) tätig sind — für diese gilt das strengere Regime.
- Müssen kommunale Entsorgungsbetriebe NIS2 erfüllen?
- Ja, wenn sie als eigenständige juristische Person (GmbH, AöR, Zweckverband) organisiert sind und die Größenschwellen (≥ 50 Mitarbeiter oder Jahresumsatz > 10 Mio. Euro) überschreiten. Eigenbetriebe ohne eigene Rechtspersönlichkeit werden als Teil der kommunalen Verwaltung behandelt; die Einstufung richtet sich dann nach der Gesamtgröße der Gebietskörperschaft.
- Gilt NIS2 auch für reine Recyclingunternehmen ohne eigene Sortieranlage?
- Ja, sofern das Unternehmen Abfälle behandelt, verwertet oder beseitigt (NACE E38) und die Schwellenwerte erfüllt. Reine Transportdienstleister, die nur Einsammlung und Transport ohne eigene Behandlung durchführen (NACE H49), sind nach dem Wortlaut des Anhangs II nicht erfasst. In der Praxis sind die meisten größeren Unternehmen Mischbetriebe, die eindeutig unter NACE E38 fallen.
- Gibt es branchenspezifische Sicherheitsstandards (B3S) für die Abfallwirtschaft?
- Derzeit nicht in der gleichen Form wie für den Wassersektor (B3S-Wasser, DVGW/DWA) oder den Energiesektor (BDEW Whitepaper). Der Verband kommunaler Unternehmen (VKU) arbeitet an NIS2-Umsetzungsleitfäden für kommunale Entsorger. Als Umsetzungsrahmen für OT-Systeme können die IEC 62443-Normenreihe und das BSI IT-Grundschutz-Kompendium (Baustein IND.1 Industrielle IT) herangezogen werden.
- Was sind die dringlichsten NIS2-Maßnahmen für Sortieranlagen?
- Zwei Maßnahmen haben die höchste Priorität: Erstens ein vollständiges OT-Asset-Inventar aller SPS, NIR-Sortiersysteme und SCADA-Komponenten (Grundlage für §30 Nr. 1 — ohne Inventar keine Risikoanalyse). Zweitens die OT/IT-Netzwerksegmentierung, um SCADA-Server vom Büronetz zu isolieren (§30 Nr. 5). Beide Maßnahmen bilden die Voraussetzung für alle weiteren §30-Anforderungen.
Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechts- oder Compliance-Beratung dar. Die NIS2-Umsetzungspflichten können je nach Unternehmensstruktur, Sektor, Größe und nationaler Regulierung variieren. Wenden Sie sich für eine unternehmensspezifische Beratung an einen qualifizierten Rechtsanwalt oder NIS2-Compliance-Spezialisten.
Quellen
- Richtlinie (EU) 2022/2555 (NIS2), Anhang II Nr. 11 — EUR-Lex, Europäisches Parlament und Rat
- BSI: NIS2 — Umsetzung in Deutschland — Bundesamt für Sicherheit in der Informationstechnik
- NIS2-Umsetzungsgesetz (NIS2UmsuCG) — Gesetze-im-Internet, Bundesministerium der Justiz
- OpenKRITIS: NIS2-Sektoren und Einstufung in Deutschland
- ENISA: Cybersecurity in the Waste Management Sector — European Union Agency for Cybersecurity
- VKU: NIS2-Umsetzung für kommunale Unternehmen — Verband kommunaler Unternehmen
