KRITIS-Betreiber, also der kritischen Infrastruktur zugehörige Betriebe, erbringen eine kritische Dienstleistung mit wichtiger Bedeutung für das staatliche Gemeinwesen. Bei Entsorgungsunternehmen bedeutet das:

Aufgabe der Entsorgung von Siedlungsabfällen ist es, die anfallenden Abfälle zu sammeln und anschließend so zu beseitigen oder zu verwerten, dass es dabei nicht zu einer Gefährdung der Bevölkerung und Umwelt kommt. Ein Ausfall oder eine Beeinträchtigung dieser Dienstleistung führt, ähnlich wie bei der Abwasserentsorgung, sowohl zu einem kurzfristigen Anstieg der Seuchengefahr als auch zu einer Verschmutzung der Umwelt mit gefährlichen Stoffen. Ihr Ausfall führt damit sowohl kurz- als auch langfristig zu einer gesundheitlichen Gefährdung der Bevölkerung.

Der Bereich Entsorgung wurde mit dem IT-Sicherheitsgesetz 2.0 Ende Mai 2021 als KRITIS-Sektor aufgenommen. Für Recycling- und Entsorgungsunternehmen gelten damit besondere Anforderungen an die IT-Sicherheit.

Das Ziel von KRITIS ist es, den Schutz kritischer Infrastrukturen zu verbessern. Insbesondere die Risiken durch Naturkatastrophen und vom Menschen ausgehende, technologische Gefahren (explizit genannt werden Terroranschläge) gilt es zu bewerten und zu verringern.
Im Ergebnis soll das Gesamtrisiko von erheblichen Einschränkungen für das öffentliche Leben oder gar seines Zusammenbruchs reduziert werden.
Zu diesem Zweck werden kritische Infrastrukturen benannt und in Sektoren unterteilt. Je Sektor steht eine individuelle KRITIS-Sektorstudie zur Verfügung, die vom BSI bereitgestellt wird. Es werden typische Prozesse von Organisationen innerhalb dieser Sektoren beschrieben und auf ihr Risiko hin untersucht.
Ferner werden bekannt gewordene Vorfälle wie erfolgte Angriffe benannt, an deren Beispiel Organisationen eigene Risikobereiche und -maßnahmen feststellen und bewerten können. Das Hauptaugenmerk liegt auf der Informationstechnik (IT).

Speziell für Entsorger werden die Vorgaben mit der KRITIS-Verordnung 2.0 erweitert werden. So wird nach §3 KrWG in den Bereichen Sammlung, Verwertung und Beseitigung untergliedert werden.

KRITIS klingt irgendwie nicht nach Mittelstand. Geht es mich deshalb nichts an? Weit gefehlt! Grundsätzlich kommen auf unter KRITIS fallende Entsorger gewisse IT-Security-Pflichten zu:

  • Identifikation als KRITIS
  • Registrierung als KRITIS
  • KRITIS-Meldepflichten
  • KRITIS-Geltungsbereich
  • Technische und organisatorische Maßnahmen zum Management von IT-Sicherheit
  • KRITIS-Prüfungen

MR SYSTEME stellt eine auf dem UP KRITIS basierende und praktisch erprobte Übersetzung für den Mittelstand zur Verfügung. So können auch kleine und mittlere Entsorgungsunternehmen (KMU) pragmatisch von den Informationen profitieren.