öRE = Kritische Infrastruktur?
Jeder örE muss sich fragen, ob er zur „Kritischen Infrastruktur“ im Sinne des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) gehört. Denn „Betreiber“ Kritischer Infrastrukturen treffen gemäß § 8a BSIG umfassende IT-Sicherheits- und Meldepflichten.
Anlagen Kritischer Infrastruktur
Nach § 2 Abs. 10 BSIG sind Kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie (seit dem 28.05.2021) Siedlungsabfallentsorgung angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Die nähere Bestimmung erfolgt durch die BSI-Kritisverordnung (BSI-KritisV). Für den hier relevanten Sektor Siedlungsabfallentsorgung regelt § 9 Abs. 3 BSI-KritisV, dass „Anlagen“ oder Teile davon Kritische Infrastruktur sind, die den in Anhang 8 Teil 3 Spalte B BSI-KritisV genannten Kategorien zuzuordnen sind und den Schwellenwert nach Anhang 8 Teil 3 Spalte D BSI-KritisV erreichen oder überschreiten. Als Anlage gelten gemäß § 1 Abs. 1 Nr. 1 BSI-KritisV Betriebsstätten und sonstige ortsfeste Einrichtungen oder Maschinen, Geräte und sonstige ortsveränderliche Einrichtungen oder Software und IT-Dienste, die für die Erbringung (hier:) der Siedungsabfallentsorgung notwendig sind.
Anhang 8 Teil 3 BSI-KritisV differenziert zwischen Anlagen der Sammlung und Beförderung einerseits und Anlagen der Verwertung und Beseitigung andererseits.
Die maßgeblichen Schwellenwerte aus Spalte D richten sich im Bereich Sammlung und Beförderung entweder nach der an die Abfallsammlung angeschlossenen Einwohnerzahl (500.000) bzw. nach den jährlich gesammelten / beförderten oder – für Lager- und Umschlaganlagen – den jährlich zugeführten Abfallmengen. Im Bereich Verwertung und Beseitigung ist jeweils die genehmigte Behandlungskapazität der Anlage entscheidend. Für Restabfall liegen die Schwellenwerte durchgehend bei 79.500 Mg/a und für Bioabfall bei 33.500 Mg/a. Für PPK-Abfall wird ein Schwellenwert lediglich zur gesammelten Menge (32.500 Mg/a) festgelegt. Anlagen im Bereich der PPK-Lagerung und PPK-Verwertung (Papierfabriken) dürften damit nicht zur Kritischen Infrastruktur zählen.
örE als Betreiber Kritischer Infrastruktur
Da nur die „Betreiber“ von Anlagen die IT-Sicherheits- und Meldepflichten aus § 8a BSIG treffen, stellt sich die Frage, in welchen Fällen der örE als ein solcher Betreiber auftritt.
Gemäß § 1 Abs. 1 Nr. 2 BSI-KritisV ist Betreiber eine natürliche oder juristische Person, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausübt. Danach ist ein örE in jedem Fall Betreiber derjenigen Anlagen, die er in Eigenregie selbst steuert, leitet und unterhält.
Allerdings lässt sich die Betreibereigenschaft auch dann begründen, wenn der örE die Leistungen an Dritte vergibt. Als öffentlicher Auftraggeber hat ein örE bestimmenden Einfluss auf die Durchführung der Leistung. Neben dem örE bleibt aber in jedem Fall der Auftragnehmer / unmittelbare Anlagenbetreiber Betreiber. Dieser hat den bestimmenden Einfluss über den konkreten Anlagenbetrieb. Daher dürfte ein örE seine Pflichten nach dem BSIG in Fällen der Vergabe von Leistungen (bereits) dadurch erfüllen, dass er vom Auftragnehmer verlangt, die Pflichten aus dem BSIG zu erfüllen.