NIS2 dla firm gospodarki odpadami
Twój sektor jest nowo objęty zakresem w Załączniku II NIS2. Jeśli Twoja firma gospodarki odpadami zatrudnia 50+ pracowników lub osiąga 10 mln € przychodu, to jest Twój praktyczny przewodnik po tym, czego wymaga prawo i od czego zacząć.
Dlaczego NIS2 dotyczy firm odpadowych?
Gospodarka odpadami została dodana do NIS2, ponieważ nowoczesne operacje odpadowe są mocno zależne od systemów IT. Zarządzanie flotą, optymalizacja tras, systemy wag pomostowych, sterowanie zakładami sortowania, fakturowanie i raportowanie regulacyjne - wszystko działa na oprogramowaniu sieciowym. Atak ransomware, który wyłączy system zarządzania flotą firmy odpadowej, nie tylko zatrzymuje ciężarówki - tworzy zagrożenie dla zdrowia publicznego. Niewywiezione odpady w mieście liczącym 200 000 mieszkańców stają się kryzysem w ciągu kilku dni.
UE sklasyfikowała gospodarkę odpadami w Załączniku II dyrektywy NIS2, co oznacza, że firmy odpadowe spełniające próg wielkości (50+ pracowników lub 10 mln € rocznego przychodu) są kategoryzowane jako 'podmioty ważne' (wichtige Einrichtungen) zgodnie z §28(2) BSIG. Oznacza to, że stosuje się pełen zakres obowiązków NIS2: rejestracja w BSI, środki zarządzania ryzykiem cyberbezpieczeństwa, zgłaszanie incydentów, bezpieczeństwo łańcucha dostaw i odpowiedzialność kierownictwa.
Większość firm odpadowych nigdy wcześniej nie miała do czynienia z regulacją cyberbezpieczeństwa. To nie jest krytyka - do NIS2 nie było ku temu powodu prawnego. Ale oznacza to bardziej stromą krzywą uczenia się w porównaniu z sektorami, które były już objęte KRITIS. Dobra wiadomość: środowiska IT firm odpadowych są zazwyczaj mniej złożone niż w bankowości czy energetyce, co oznacza, że nakład pracy na zgodność jest proporcjonalnie mniejszy.
Zarządzanie flotą i GPS
Oprogramowanie i systemy zarządzające trasowaniem pojazdów, śledzeniem GPS, harmonogramowaniem kierowców i optymalizacją tras w czasie rzeczywistym. To zazwyczaj platforma SaaS w chmurze lub serwer lokalny. Jeśli to przestaje działać, ciężarówek nie da się sprawnie dysponować. Zgrupuj wszystkie komponenty zarządzania flotą jako jedną pozycję zasobu.
Wagi pomostowe i systemy ważenia
Elektroniczne systemy ważenia w obiektach, które rejestrują masy materiałów wejściowych i wyjściowych na potrzeby fakturowania i zgodności regulacyjnej. Często połączone z systemami ERP. Mogą obejmować starsze sterowniki przemysłowe. Zgrupuj system wag pomostowych (sprzęt + oprogramowanie) jako jeden zasób.
System ERP i fakturowania
Główny system biznesowy obsługujący zarządzanie klientami, umowy, fakturowanie, śledzenie materiałów i raportowanie regulacyjne. Powszechnie SAP Business One, DATEV lub rozwiązania sektorowe jak RECY lub Wastebox. Naruszenie tego systemu wpływa na przychody, dane klientów i raportowanie regulacyjne. Jedna pozycja zasobu.
Sterowanie zakładami sortowania i przetwarzania
Jeśli Twoja firma prowadzi zakłady sortowania, kompostownie lub spalarnie odpadów, prawdopodobnie masz systemy SCADA lub przemysłowe systemy sterowania zarządzające procesami fizycznymi. Są to często starsze systemy o ograniczonych funkcjach bezpieczeństwa. Stanowią odrębną kategorię ryzyka, ponieważ sterują sprzętem fizycznym. Zgrupuj według obiektu.
Punkty końcowe i IT biurowe
Laptopy, komputery stacjonarne i urządzenia mobilne używane przez personel biurowy, dyspozytorów i kierownictwo. Standardowe aplikacje biurowe (Microsoft 365, poczta, zarządzanie dokumentami). Grundschutz pozwala grupować identyczne urządzenia: '45 standardowych laptopów z Windows' to jedna pozycja zasobu, a nie 45.
Infrastruktura sieciowa
Routery, przełączniki, zapory i połączenia VPN łączące biura, bazy i obiekty zakładowe. Uwzględnij łącza internetowe i wszelkie połączenia site-to-site. Jeśli Twoja firma ma wiele lokalizacji, sieć każdego obiektu może być zgrupowaną pozycją. Sieć jest tym, co łączy całą resztę - jej naruszenie wpływa na wszystkie inne zasoby.
1. Zarejestruj się w BSI
Dokończ swoją rejestrację zgodnie z §33 BSIG przez portal BSI. To najbardziej widoczny obowiązek i ma własny przepis o karze (do 500 000 €). Zajmuje około 30 minut i natychmiast oficjalnie czyni Cię podmiotem, który zajmuje się swoimi obowiązkami. Zrób to przed czymkolwiek innym.
2. Zbuduj inwentaryzację zasobów
Wymień systemy wspierające Twoje usługi zbierania, przetwarzania i unieszkodliwiania odpadów. Wykorzystaj sześć powyższych kategorii jako punkt wyjścia. Dla każdego zasobu zanotuj, co robi, kto nim zarządza (wewnętrznie czy dostawca) i co się stanie, jeśli będzie niedostępny przez 24 godziny. Ta inwentaryzacja staje się fundamentem wszystkiego, co następuje.
3. Ustanów zgłaszanie incydentów
Zdefiniuj, co liczy się jako poważny incydent dla Twojej firmy, i ustanów proces zgłaszania do BSI w wymaganych terminach (24h/72h/1 miesiąc). Wyznacz, kto podejmuje decyzję o zgłoszeniu, kto składa zgłoszenie i jak do nich dotrzeć poza godzinami pracy. Nie potrzebujesz centrum operacji bezpieczeństwa - potrzebujesz jasnego drzewa kontaktów telefonicznych i udokumentowanego procesu.
4. Przejrzyj kontrolę dostępu
Zaudytuj, kto ma dostęp do Twoich systemów krytycznych - zwłaszcza zarządzania flotą, ERP i wszelkich systemów sterowania zakładami. Wdróż uwierzytelnianie wieloskładnikowe dla dostępu zdalnego i kont administracyjnych. Usuń dostęp byłym pracownikom. To często obszar z największą liczbą łatwych zdobyczy: wiele firm odpadowych ma współdzielone hasła, brak MFA i wciąż aktywne konta byłych pracowników.
5. Udokumentuj relacje z dostawcami
Większość firm odpadowych zleca na zewnątrz istotne funkcje IT - hosting w chmurze, utrzymanie ERP, oprogramowanie do zarządzania flotą. Udokumentuj, kim są ci dostawcy, jaki mają dostęp do Twoich systemów i jakie zobowiązania w zakresie bezpieczeństwa składają. To początek Twojego procesu bezpieczeństwa łańcucha dostaw zgodnie z §30(2)(4) BSIG. Jeśli Twój dostawca IT zostanie naruszony, Twoje dane i Twoje usługi są zagrożone.
Firmy odpadowe mają unikalny profil ryzyka. W przeciwieństwie do firmy programistycznej, gdzie niemal wszystko jest cyfrowe, operacje odpadowe obejmują procesy fizyczne: ciężarówki na drogach, materiały w ruchu, sprzęt w obiektach. Cyberatak na zarządzanie flotą ma natychmiastowe konsekwencje w świecie fizycznym. Ten wymiar technologii operacyjnej oznacza, że Twoja ocena ryzyka powinna uwzględniać zarówno systemy IT, jak i wszelkie sterowania przemysłowe.
Większość firm odpadowych mocno zleca na zewnątrz. Wiele działa z małym wewnętrznym zespołem IT (albo całkowicie bez dedykowanego personelu IT) i polega na zewnętrznych dostawcach od poczty po ERP i zarządzanie flotą. W ramach NIS2 możesz zlecać operacje na zewnątrz, ale nie odpowiedzialność - §30 BSIG czyni Twoją firmę odpowiedzialną za środki bezpieczeństwa, nawet gdy dostarcza je dostawca. To czyni zarządzanie dostawcami Twoją najważniejszą dźwignią zgodności.
Pozytywna strona: środowiska IT firm odpadowych są zazwyczaj nieskomplikowane. 100-osobowa firma odpadowa ma być może od 6 do 10 odrębnych grup systemów, w porównaniu z 30 lub więcej dla banku czy szpitala podobnej wielkości. Oznacza to, że nakład pracy na zgodność jest proporcjonalny - mówimy o tygodniach skupionej pracy, a nie o wieloletnim programie. Standard 'odpowiednie i proporcjonalne' BSI działa tu na Twoją korzyść.
Najczęściej zadawane pytania
Czy nasza firma odpadowa faktycznie jest objęta zakresem NIS2?
Jeśli Twoja firma działa w zakresie zbierania, przetwarzania lub unieszkodliwiania odpadów i zatrudnia 50 lub więcej pracowników albo osiąga 10 mln € lub więcej rocznego przychodu, niemal na pewno jesteś objęty zakresem jako podmiot ważny zgodnie z Załącznikiem II NIS2. Definicja sektora obejmuje cały łańcuch gospodarki odpadami. Jeśli jesteś blisko progu, sprawdź, czy powiązane spółki grupy nie wypychają Cię ponad limit - NIS2 stosuje unijną definicję MŚP, która uwzględnia przedsiębiorstwa powiązane.
Zlecamy całe IT na zewnątrz - czy NIS2 nadal nas dotyczy?
Tak, w pełni. NIS2 stosuje się do podmiotu, który świadczy usługę gospodarki odpadami, niezależnie od tego, kto zarządza IT. Możesz zlecić pracę na zewnątrz, ale nie odpowiedzialność prawną (§30 BSIG). W praktyce oznacza to, że Twój dostawca IT staje się Twoim najbardziej krytycznym dostawcą: udokumentuj relację, uwzględnij wymagania cyberbezpieczeństwa w umowie i zweryfikuj, że ma odpowiednie środki bezpieczeństwa. Jeśli zostanie naruszony, wyzwala się Twój obowiązek zgłoszenia - nie jego.
Jak wygląda inwentaryzacja zasobów dla firmy odpadowej?
Prościej, niż myślisz. Typowa 100-osobowa firma odpadowa ma około 10 do 15 zgrupowanych pozycji zasobów: system zarządzania flotą, system wag pomostowych, ERP/fakturowanie, infrastruktura sieciowa na obiekt, standardowe punkty końcowe (zgrupowane - np. '45 laptopów z Windows'), poczta/współpraca (Microsoft 365) oraz ewentualnie SCADA lub sterowanie zakładem sortowania. Grundschutz wyraźnie pozwala grupować identyczne zasoby, więc nie potrzebujesz osobnej pozycji dla każdego laptopa.
Ile trwa zgodność z NIS2 dla firmy naszej wielkości?
Dla 100-osobowej firmy odpadowej zaczynającej od zera oczekuj 3 do 6 miesięcy do osiągnięcia solidnej bazy: rejestracja w BSI (tydzień 1), inwentaryzacja zasobów i ocena ryzyka (tygodnie 2 do 6), proces zgłaszania incydentów (tygodnie 4 do 8), usprawnienia kontroli dostępu (tygodnie 6 do 12), dokumentacja polityk (na bieżąco). Nie musisz być doskonały od pierwszego dnia - BSI ocenia trajektorię i dobrą wiarę. Po początkowej konfiguracji bieżący nakład pracy to głównie coroczne przeglądy i reagowanie na incydenty.
- Dyrektywa NIS2 (UE) 2022/2555 - Załącznik II, Sektor 4: Ścieki i gospodarka odpadami
- BSIG - §28 (Zakres), §30 (Środki cyberbezpieczeństwa), §33 (Rejestracja), §38 (Odpowiedzialność kierownictwa)
- BSI - Wytyczne NIS2 specyficzne dla sektora i dokumentacja portalu rejestracyjnego (2025)
- IT-Grundschutz Kompendium - OPS.1.2.5 (Fernwartung), IND.1 (Prozessleit- und Automatisierungstechnik)
- BDE Bundesverband der Deutschen Entsorgungs-, Wasser- und Kreislaufwirtschaft - dokumenty stanowiskowe NIS2