NIS2 pentru companiile de gestionare a deșeurilor
Sectorul dumneavoastră a intrat recent în domeniul de aplicare conform anexei II a NIS2. Dacă firma dumneavoastră de gestionare a deșeurilor are peste 50 de angajați sau peste 10 milioane EUR cifră de afaceri, acesta este ghidul dumneavoastră practic privind ceea ce impune legea și de unde să începeți.
De ce se aplică NIS2 companiilor de deșeuri?
Gestionarea deșeurilor a fost adăugată la NIS2 deoarece operațiunile moderne de deșeuri depind puternic de sistemele IT. Managementul flotei, optimizarea rutelor, sistemele de cântărire-bascule, controalele instalațiilor de sortare, facturarea și raportarea de reglementare rulează toate pe software în rețea. Un atac de tip ransomware care scoate din funcțiune sistemul de management al flotei al unei companii de deșeuri nu oprește doar camioanele: creează un risc de sănătate publică. Deșeurile necolectate într-un oraș de 200.000 de locuitori devin o criză în câteva zile.
UE a clasificat gestionarea deșeurilor în anexa II a Directivei NIS2, ceea ce înseamnă că firmele de deșeuri care îndeplinesc pragul de dimensiune (peste 50 de angajați sau peste 10 milioane EUR cifră de afaceri anuală) sunt categorisite drept "entități importante" (wichtige Einrichtungen) conform §28(2) BSIG. Aceasta înseamnă că se aplică întreaga gamă de obligații NIS2: înregistrarea la BSI, măsuri de management al riscurilor de securitate cibernetică, raportarea incidentelor, securitatea lanțului de aprovizionare și răspunderea conducerii.
Majoritatea companiilor de deșeuri nu au avut niciodată de-a face cu reglementări de securitate cibernetică. Aceasta nu este o critică: până la NIS2, nu exista niciun motiv legal pentru asta. Dar înseamnă că există o curbă de învățare mai abruptă comparativ cu sectoarele care erau deja sub KRITIS. Vestea bună: mediile IT ale companiilor de deșeuri sunt de regulă mai puțin complexe decât cele din sectorul bancar sau energetic, ceea ce înseamnă că efortul de conformitate este proporțional mai redus.
Managementul flotei și GPS
Software-ul și sistemele care gestionează rutarea vehiculelor, urmărirea GPS, programarea șoferilor și optimizarea rutelor în timp real. Aceasta este de obicei o platformă SaaS găzduită în cloud sau un server local. Dacă se prăbușește, camioanele nu pot fi repartizate eficient. Grupați toate componentele de management al flotei într-o singură intrare de activ.
Bascule și sisteme de cântărire
Sisteme electronice de cântărire la amplasamente, care înregistrează greutățile materialelor la intrare și la ieșire pentru facturare și conformitate de reglementare. Adesea conectate la sistemele ERP. Pot include controlere industriale mai vechi. Grupați sistemul de bascule (hardware plus software) ca un singur activ.
Sistemul ERP și de facturare
Sistemul de business central care gestionează relațiile cu clienții, contractele, facturarea, urmărirea materialelor și raportarea de reglementare. Frecvent SAP Business One, DATEV sau soluții specifice sectorului, precum RECY sau Wastebox. Compromiterea acestui sistem afectează veniturile, datele clienților și raportarea de reglementare. O singură intrare de activ.
Controalele instalațiilor de sortare și procesare
Dacă firma dumneavoastră exploatează instalații de sortare, instalații de compostare sau instalații de valorificare energetică a deșeurilor, probabil aveți sisteme SCADA sau sisteme de control industrial care gestionează procesele fizice. Acestea sunt adesea sisteme mai vechi, cu funcții de securitate limitate. Ele reprezintă o categorie distinctă de risc deoarece controlează echipamente fizice. Grupați pe instalație.
Stații de lucru și IT de birou
Laptopuri, desktopuri și dispozitive mobile utilizate de personalul de birou, dispeceri și conducere. Aplicații de birou standard (Microsoft 365, e-mail, gestionarea documentelor). Grundschutz permite gruparea dispozitivelor identice: "45 de laptopuri Windows standard" reprezintă o singură intrare de activ, nu 45.
Infrastructura de rețea
Routere, switch-uri, firewall-uri și conexiuni VPN care leagă birourile, depourile și amplasamentele instalațiilor. Includeți conexiunile la internet și orice legături site-to-site. Dacă firma dumneavoastră are mai multe locații, rețeaua fiecărui amplasament poate fi o intrare grupată. Rețeaua este ceea ce conectează toate celelalte: compromiterea ei afectează toate celelalte active.
1. Înregistrați-vă la BSI
Finalizați-vă înregistrarea conform §33 BSIG prin portalul BSI. Aceasta este cea mai vizibilă obligație și are propria dispoziție de sancționare (până la 500.000 EUR). Durează aproximativ 30 de minute și vă consemnează imediat ca o entitate care își abordează obligațiile. Faceți asta înaintea oricărui alt lucru.
2. Construiți-vă inventarul de active
Enumerați sistemele care susțin serviciile dumneavoastră de colectare, procesare și eliminare a deșeurilor. Folosiți cele șase categorii de mai sus ca punct de plecare. Pentru fiecare activ, notați ce face, cine îl gestionează (intern sau furnizor) și ce se întâmplă dacă este indisponibil timp de 24 de ore. Acest inventar devine fundația pentru tot ce urmează.
3. Configurați raportarea incidentelor
Definiți ce se consideră un incident semnificativ pentru firma dumneavoastră și stabiliți procesul de raportare către BSI în termenele impuse (24h/72h/1 lună). Desemnați cine ia decizia de raportare, cine depune raportul și cum îi contactați în afara programului de lucru. Nu aveți nevoie de un centru de operațiuni de securitate: aveți nevoie de un lanț telefonic clar și de un proces documentat.
4. Revizuiți controalele de acces
Auditați cine are acces la sistemele dumneavoastră critice, în special managementul flotei, ERP și orice sisteme de control al instalațiilor. Implementați autentificarea cu mai mulți factori pentru accesul de la distanță și conturile administrative. Eliminați accesul foștilor angajați. Aceasta este adesea zona cu cele mai multe rezultate ușor de obținut: multe companii de deșeuri au parole partajate, fără MFA, și conturi de foști angajați încă active.
5. Documentați relațiile cu furnizorii
Majoritatea companiilor de deșeuri externalizează funcții IT importante: găzduire în cloud, întreținere ERP, software de management al flotei. Documentați cine sunt acești furnizori, ce acces au la sistemele dumneavoastră și ce angajamente de securitate își asumă. Acesta este începutul procesului dumneavoastră de securitate a lanțului de aprovizionare conform §30(2)(4) BSIG. Dacă furnizorul dumneavoastră IT este compromis, datele și serviciile dumneavoastră sunt în pericol.
Companiile de deșeuri au un profil de risc unic. Spre deosebire de o companie de software, unde aproape totul este digital, operațiunile de deșeuri implică procese fizice: camioane pe drumuri, materiale în mișcare, echipamente la amplasamente. Un atac cibernetic asupra managementului flotei are consecințe imediate în lumea fizică. Această dimensiune de tehnologie operațională înseamnă că evaluarea dumneavoastră a riscurilor trebuie să ia în considerare atât sistemele IT, cât și orice control industrial.
Majoritatea companiilor de deșeuri externalizează masiv. Multe funcționează cu o echipă IT internă mică (sau fără personal IT dedicat deloc) și se bazează pe furnizori externi pentru tot, de la e-mail la ERP și la managementul flotei. Conform NIS2, puteți externaliza operațiunile, dar nu și răspunderea: §30 BSIG face firma dumneavoastră responsabilă pentru măsurile de securitate chiar și atunci când le furnizează un furnizor. Acest lucru face din managementul furnizorilor cea mai importantă pârghie de conformitate.
Partea pozitivă: mediile IT ale companiilor de deșeuri sunt de regulă simple. O companie de deșeuri de 100 de persoane are poate 6 până la 10 grupuri de sisteme distincte, comparativ cu 30 sau mai multe pentru o bancă sau un spital de dimensiune similară. Aceasta înseamnă că efortul de conformitate este proporțional: vorbim de săptămâni de muncă concentrată, nu de un program de mai mulți ani. Standardul BSI "adecvat și proporțional" lucrează în favoarea dumneavoastră aici.
Întrebări frecvente
Compania noastră de deșeuri intră chiar în domeniul de aplicare al NIS2?
Dacă firma dumneavoastră activează în colectarea, tratarea sau eliminarea deșeurilor și are 50 sau mai mulți angajați sau cel puțin 10 milioane EUR cifră de afaceri anuală, aproape sigur intrați în domeniul de aplicare ca entitate importantă conform anexei II a NIS2. Definiția sectorului acoperă întregul lanț de gestionare a deșeurilor. Dacă sunteți aproape de prag, verificați dacă firmele conectate din grup vă împing peste limită: NIS2 folosește definiția IMM a UE, care ține cont de întreprinderile afiliate.
Externalizăm tot IT-ul. Ni se aplică totuși NIS2?
Da, integral. NIS2 se aplică entității care furnizează serviciul de gestionare a deșeurilor, indiferent cine gestionează IT-ul. Puteți externaliza munca, dar nu și responsabilitatea legală (§30 BSIG). În practică, aceasta înseamnă că furnizorul dumneavoastră IT devine cel mai critic furnizor al dumneavoastră: documentați relația, includeți cerințe de securitate cibernetică în contract și verificați dacă au măsuri de securitate adecvate. Dacă ei sunt compromiși, obligația dumneavoastră de raportare se declanșează, nu a lor.
Cum arată un inventar de active pentru o companie de deșeuri?
Mai simplu decât credeți. O companie tipică de deșeuri de 100 de persoane are aproximativ 10 până la 15 intrări de active grupate: sistem de management al flotei, sistem de bascule, ERP/facturare, infrastructură de rețea pe amplasament, stații de lucru standard (grupate, de exemplu "45 de laptopuri Windows"), e-mail/colaborare (Microsoft 365) și, eventual, SCADA sau controale ale instalației de sortare. Grundschutz permite explicit gruparea activelor identice, deci nu aveți nevoie de o poziție pentru fiecare laptop.
Cât durează conformitatea NIS2 pentru o companie de dimensiunea noastră?
Pentru o companie de deșeuri de 100 de persoane care pornește de la zero, anticipați 3 până la 6 luni pentru a atinge o bază solidă: înregistrarea la BSI (săptămâna 1), inventarul de active și evaluarea riscurilor (săptămânile 2 până la 6), procesul de raportare a incidentelor (săptămânile 4 până la 8), îmbunătățirile controlului accesului (săptămânile 6 până la 12), documentarea politicilor (continuu). Nu trebuie să fiți perfecți din prima zi: BSI evaluează traiectoria și buna-credință. După configurarea inițială, efortul continuu constă în principal în revizuiri anuale și în răspunsul la incidente.
- Directiva (UE) 2022/2555 (NIS2) - anexa II, sectorul 4: ape uzate și gestionarea deșeurilor
- BSIG - §28 (domeniul de aplicare), §30 (măsuri de securitate cibernetică), §33 (înregistrare), §38 (răspunderea conducerii)
- BSI - ghid NIS2 specific pe sector și documentația portalului de înregistrare (2025)
- IT-Grundschutz Kompendium - OPS.1.2.5 (Fernwartung), IND.1 (Prozessleit- und Automatisierungstechnik)
- BDE Bundesverband der Deutschen Entsorgungs-, Wasser- und Kreislaufwirtschaft - documente de poziție privind NIS2