NIS2 pro firmy v odpadovém hospodářství
Vaše odvětví je nově v působnosti podle přílohy II NIS2. Pokud má vaše firma v odpadovém hospodářství 50+ zaměstnanců nebo obrat 10 mil. EUR+, toto je váš praktický průvodce tím, co zákon vyžaduje a kde začít.
Proč se NIS2 vztahuje na firmy v odpadovém hospodářství?
Odpadové hospodářství bylo do NIS2 zařazeno, protože moderní provoz v oblasti odpadů silně závisí na IT systémech. Správa vozového parku, optimalizace tras, mostové váhy, řízení třídicích závodů, fakturace a regulatorní výkaznictví, to vše běží na propojeném softwaru. Ransomwarový útok, který vyřadí systém správy vozového parku firmy v odpadovém hospodářství, nezastaví jen nákladní vozy. Vytváří riziko pro veřejné zdraví. Nesvezený odpad ve městě s 200 000 obyvateli se během několika dní stane krizí.
EU zařadila odpadové hospodářství do přílohy II směrnice NIS2, což znamená, že firmy v odpadovém hospodářství splňující práh velikosti (50+ zaměstnanců nebo roční obrat 10 mil. EUR+) jsou klasifikovány jako "důležité subjekty" (wichtige Einrichtungen) podle §28(2) BSIG. To znamená, že platí celá řada povinností NIS2: registrace u BSI, opatření řízení rizik kybernetické bezpečnosti, hlášení incidentů, bezpečnost dodavatelského řetězce a odpovědnost vedení.
Většina firem v odpadovém hospodářství se dosud s regulací kybernetické bezpečnosti nikdy nesetkala. To není kritika. Až do NIS2 k tomu nebyl právní důvod. Znamená to ale strmější křivku učení oproti odvětvím, která už spadala pod KRITIS. Dobrá zpráva: IT prostředí firem v odpadovém hospodářství jsou obvykle méně složitá než v bankovnictví nebo energetice, což znamená, že úsilí na shodu je úměrně menší.
Správa vozového parku a GPS
Software a systémy, které řídí plánování tras vozidel, sledování GPS, plánování řidičů a optimalizaci tras v reálném čase. Obvykle jde o cloudovou platformu SaaS nebo server v lokální instalaci. Pokud toto vypadne, nákladní vozy nelze efektivně vyslat. Seskupte všechny komponenty správy vozového parku do jedné položky aktiva.
Mostové váhy a vážicí systémy
Elektronické vážicí systémy v provozech, které zaznamenávají hmotnosti přicházejícího a odcházejícího materiálu pro fakturaci a regulatorní shodu. Často propojené s ERP systémy. Mohou zahrnovat starší průmyslové řídicí jednotky. Seskupte systém mostových vah (hardware plus software) do jednoho aktiva.
ERP a fakturační systém
Hlavní podnikový systém řešící správu zákazníků, smlouvy, fakturaci, sledování materiálu a regulatorní výkaznictví. Běžně SAP Business One, DATEV nebo řešení specifická pro odvětví jako RECY nebo Wastebox. Kompromitace tohoto systému zasáhne tržby, zákaznická data a regulatorní výkaznictví. Jedna položka aktiva.
Řízení třídicích a zpracovatelských závodů
Pokud vaše firma provozuje třídicí závody, kompostárny nebo zařízení na energetické využití odpadu, máte pravděpodobně systémy SCADA nebo průmyslové řídicí systémy řídící fyzické procesy. Často jde o starší systémy s omezenými bezpečnostními funkcemi. Představují samostatnou kategorii rizika, protože řídí fyzická zařízení. Seskupte podle provozu.
Koncová zařízení a kancelářské IT
Notebooky, stolní počítače a mobilní zařízení používané kancelářskými pracovníky, dispečery a vedením. Standardní kancelářské aplikace (Microsoft 365, e-mail, správa dokumentů). Grundschutz umožňuje seskupovat identická zařízení: "45 standardních notebooků s Windows" je jedna položka aktiva, ne 45.
Síťová infrastruktura
Routery, přepínače, firewally a připojení VPN propojující kanceláře, depa a provozy. Zahrňte internetová připojení a jakékoli spoje mezi lokalitami. Pokud má vaše firma více lokalit, může být síť každé lokality seskupenou položkou. Síť je to, co spojuje vše ostatní. Její kompromitace zasáhne všechna ostatní aktiva.
1. Zaregistrujte se u BSI
Dokončete svou registraci podle §33 BSIG přes portál BSI. To je nejviditelnější povinnost a má vlastní sankční ustanovení (až 500 000 EUR). Trvá to přibližně 30 minut a okamžitě vás zapíše jako subjekt, který se svými povinnostmi zabývá. Udělejte to dřív než cokoli jiného.
2. Sestavte soupis aktiv
Sepište systémy, které podporují vaše služby svozu, zpracování a likvidace odpadu. Jako výchozí bod použijte šest výše uvedených kategorií. U každého aktiva uveďte, co dělá, kdo je spravuje (interně nebo dodavatel) a co se stane, pokud bude 24 hodin nedostupné. Tento soupis se stane základem pro vše, co následuje.
3. Nastavte hlášení incidentů
Stanovte, co se pro vaši firmu počítá jako významný incident, a zaveďte proces hlášení BSI v požadovaných lhůtách (24h/72h/1 měsíc). Určete, kdo rozhoduje o hlášení, kdo hlášení podává a jak se k němu dostanete mimo pracovní dobu. Nepotřebujete dohledové centrum bezpečnosti. Potřebujete jasný telefonní strom a zdokumentovaný proces.
4. Přezkoumejte řízení přístupu
Prověřte, kdo má přístup k vašim kritickým systémům, zejména správě vozového parku, ERP a jakýmkoli řídicím systémům provozů. Zaveďte vícefaktorové ověřování u vzdáleného přístupu a administrátorských účtů. Odeberte přístup bývalým zaměstnancům. To je často oblast s nejvíce snadno dosažitelnými výsledky: mnoho firem v odpadovém hospodářství má sdílená hesla, žádné MFA a stále aktivní účty bývalých zaměstnanců.
5. Zdokumentujte vztahy s dodavateli
Většina firem v odpadovém hospodářství outsourcuje významné IT funkce: cloudový hosting, údržbu ERP, software pro správu vozového parku. Zdokumentujte, kdo tito dodavatelé jsou, jaký mají přístup k vašim systémům a jaké bezpečnostní závazky činí. To je začátek vašeho procesu bezpečnosti dodavatelského řetězce podle §30(2)(4) BSIG. Pokud dojde k narušení u vašeho IT poskytovatele, jsou ohrožena vaše data i vaše služby.
Firmy v odpadovém hospodářství mají jedinečný rizikový profil. Na rozdíl od softwarové firmy, kde je téměř vše digitální, zahrnuje provoz v odpadech fyzické procesy: nákladní vozy na silnicích, materiál v pohybu, zařízení v provozech. Kybernetický útok na správu vozového parku má okamžité důsledky ve fyzickém světě. Tento rozměr provozní technologie znamená, že vaše posouzení rizik by mělo zvážit jak IT systémy, tak jakékoli průmyslové řízení.
Většina firem v odpadovém hospodářství silně outsourcuje. Mnohé fungují s malým interním IT týmem (nebo bez vyhrazeného IT personálu vůbec) a spoléhají na externí poskytovatele všeho od e-mailu přes ERP po správu vozového parku. Podle NIS2 můžete outsourcovat provoz, ale ne odpovědnost. §30 BSIG činí vaši firmu odpovědnou za bezpečnostní opatření, i když je dodává dodavatel. Tím se správa dodavatelů stává vaší nejdůležitější pákou pro shodu.
Pozitivní stránka: IT prostředí firem v odpadovém hospodářství jsou obvykle přímočará. Firma se 100 zaměstnanci má snad 6 až 10 odlišných skupin systémů oproti 30 nebo více u banky nebo nemocnice podobné velikosti. To znamená, že úsilí na shodu je úměrné. Hledíte na týdny soustředěné práce, ne na víceletý program. Standard BSI "přiměřená a úměrná" zde hraje ve váš prospěch.
Časté dotazy
Spadá naše firma v odpadovém hospodářství skutečně do působnosti NIS2?
Pokud vaše firma působí ve svozu, zpracování nebo likvidaci odpadu a má 50 nebo více zaměstnanců nebo roční obrat 10 mil. EUR nebo více, jste téměř jistě v působnosti jako důležitý subjekt podle přílohy II NIS2. Definice odvětví pokrývá celý řetězec odpadového hospodářství. Pokud jste blízko prahu, ověřte, zda vás propojené společnosti ve skupině nepřevedou přes limit. NIS2 používá definici malých a středních podniků EU, která zohledňuje propojené podniky.
Outsourcujeme veškeré IT. Vztahuje se na nás NIS2 i tak?
Ano, plně. NIS2 se vztahuje na subjekt, který poskytuje službu odpadového hospodářství, bez ohledu na to, kdo spravuje IT. Můžete outsourcovat práci, ale ne právní odpovědnost (§30 BSIG). V praxi to znamená, že váš IT poskytovatel se stává vaším nejkritičtějším dodavatelem: zdokumentujte vztah, zahrňte do smlouvy požadavky na kybernetickou bezpečnost a ověřte, že má přiměřená bezpečnostní opatření. Pokud u nich dojde k narušení, spustí se vaše povinnost hlásit, ne jejich.
Jak vypadá soupis aktiv pro firmu v odpadovém hospodářství?
Jednodušší, než si myslíte. Typická firma v odpadovém hospodářství se 100 zaměstnanci má přibližně 10 až 15 seskupených položek aktiv: systém správy vozového parku, systém mostových vah, ERP/fakturaci, síťovou infrastrukturu pro každou lokalitu, standardní koncová zařízení (seskupená, např. "45 notebooků s Windows"), e-mail/spolupráci (Microsoft 365) a případně SCADA nebo řízení třídicího závodu. Grundschutz výslovně umožňuje seskupovat identická aktiva, takže nepotřebujete řádkovou položku pro každý notebook.
Jak dlouho trvá shoda s NIS2 firmě naší velikosti?
U firmy v odpadovém hospodářství se 100 zaměstnanci začínající od nuly počítejte s 3 až 6 měsíci k dosažení solidní výchozí úrovně: registrace u BSI (týden 1), soupis aktiv a posouzení rizik (týden 2 až 6), proces hlášení incidentů (týden 4 až 8), zlepšení řízení přístupu (týden 6 až 12), dokumentace politik (průběžně). Nemusíte být dokonalí od prvního dne. BSI hodnotí směřování a dobrou víru. Po prvotním nastavení je průběžné úsilí hlavně o každoročních přezkumech a reakci na incidenty.
- Směrnice NIS2 (EU) 2022/2555. Příloha II, odvětví 4: odpadní vody a odpadové hospodářství
- BSIG. §28 (působnost), §30 (opatření kybernetické bezpečnosti), §33 (registrace), §38 (odpovědnost vedení)
- BSI. Pokyny k NIS2 specifické pro odvětví a dokumentace registračního portálu (2025)
- IT-Grundschutz Kompendium. OPS.1.2.5 (Fernwartung), IND.1 (Prozessleit- und Automatisierungstechnik)
- BDE Bundesverband der Deutschen Entsorgungs-, Wasser- und Kreislaufwirtschaft. Poziční dokumenty k NIS2