KRITIS-Dachgesetz und NIS-2: Handlungsempfehlungen für Unternehmen
Der Ukraine-Krieg, die immer häufiger auftretenden Sabotageakte in Deutschland, die Zeitenwende in der Europäischen Sicherheitsarchitektur – all das sind gegenwärtige Themen, die den Schutzbedarf der Kritischen Infrastrukturen in den Fokus rücken. Die Bedrohungslage hat sich deutlich verschärft, und was früher als unwahrscheinliches Worst-Case-Szenario galt, ist heute bittere Realität. Angriffe auf Versorgungsnetze, Kommunikationsinfrastrukturen oder logistische Knotenpunkte können massive Auswirkungen auf unsere Volkswirtschaft sowie auf die innere Stabilität des Staates haben. Ein Beitrag von Stefan Erdweg, Geschäftsführer der Unternehmensberatung 3-core in Bonn.
Mit der bevorstehenden Einführung des KRITIS-DachG und der NIS-2-Richtlinie stehen viele Unternehmen, die bislang nicht unter die Klassifizierung als KRITIS-Betreiber fielen, vor völlig neuen Herausforderungen. Diese Gesetze fordern nicht nur klassische KRITIS-Sektoren wie z.B. die Energieerzeugung, Wasserversorgung oder Telekommunikation zu umfassenden Anpassungen ihrer Sicherheitsstrategien, sondern erweitern den Geltungsbereich auf eine Vielzahl von Branchen. Was bisher oft intrinsisch motiviert oder oberflächlich durchgeführt wurde – nämlich die systematische und integre Implementierung und Überprüfung von Business Continuity Management (BCM), Krisenmanagement und physischen Sicherheitsstrukturen – wird bald verpflichtend. Unternehmen, die diese Anforderungen nicht rechtzeitig umsetzen, riskieren nicht nur regulatorische Strafen, sondern auch massive Sicherheitslücken, die im Krisenfall schnell zu unkontrollierbaren Situationen führen können.
Bereits jetzt ist klar: Wenn diese Regulierungen in Kraft treten, wird der Bedarf an qualifizierten Fachkräften im Bereich BCM, Krisenmanagement und physischer Sicherheit massiv steigen. Unternehmen, die erst dann mit der Implementierung beginnen, könnten feststellen, dass sie zu spät kommen. Doch es gibt gute Nachrichten: Es ist nicht notwendig, auf den letzten Moment zu warten. Bereits heute können Unternehmen viele der nötigen Schritte einleiten, um den künftigen Anforderungen gerecht zu werden – und zwar ohne den Druck eines unmittelbar bevorstehenden Gesetzes. Das bedeutet: Strukturen und Prozesse können in Ruhe aufgebaut und getestet werden, anstatt unter dem Zwang der kurzfristigen Umsetzung.
Ein kluger Ansatz, der uns immer wieder im Beratungsalltag begegnet, ist die frühzeitige Etablierung von Sicherheitsstrukturen und Notfallplänen. Schon jetzt kann vieles erledigt werden, und wer dies vorausschauend erledigt, spart sich später nicht nur Stress, sondern auch erhebliche Kosten.
Regulierungen erweitern den Geltungsbereich deutlich
Das KRITIS-DachG und die NIS-2-Richtlinie erweitern den Geltungsbereich der Klassifizierung als kritische Infrastruktur deutlich. Bislang galten die strengsten Anforderungen vor allem für große Unternehmen in klassischen Sektoren wie Energie, Wasser oder Telekommunikation. Mit den neuen Regulierungen werden mehr Unternehmen in verschiedenen Branchen, einschließlich Gesundheitswesen, Logistik und IT, als KRITIS klassifiziert. Dies bringt eine neue Ebene von Verantwortlichkeiten mit sich. Unternehmen müssen nicht nur ihre physischen Sicherheitsmaßnahmen verbessern, sondern auch umfassende Krisenmanagement- und BCM-Prozesse etablieren. Die Harmonisierung der Europäischen Standards stellt eine besondere Herausforderung dar, da Unternehmen nun länderübergreifend agieren müssen.
Unzureichende Prüfung von Notfall- und Krisenplänen
Eine häufige Aussage, die wir in unserem Beratungsalltag immer wieder hören, lautet: „Hier ist noch nie etwas passiert.“ Oder: „Unsere Sicherheitsvorkehrungen sind solide, wir sind gut vorbereitet.“ Doch diese Aussagen beruhen oft auf Annahmen, die genauer Prüfung nicht standhalten. Gerade im Bereich der physischen Sicherheit und des Krisenmanagements verlassen sich viele auf Maßnahmen, die nie wirklich auf die Probe gestellt wurden. Sicherheit und Krisenmanagement werden in vielen Unternehmen als lästige Pflichtübungen betrachtet, die im Alltag wenig Relevanz haben – bis es zu spät ist.
Ein zentrales Problem, das wir immer wieder beobachten, ist die unzureichende Prüfung von Notfall- und Krisenplänen. Unternehmen neigen dazu, auf dem Papier gutaussehende Strukturen zu haben, die in der Praxis jedoch nie getestet wurden. Die Frage, die sich jeder Manager stellen sollte, lautet: Haben Sie Ihre Sicherheitsmaßnahmen jemals unter realen Bedingungen getestet? Sind Ihre Alarmprozesse tatsächlich effizient, und wie gut ist die Zusammenarbeit zwischen den verschiedenen Abteilungen in einem Notfall? Wenn die Antwort auf diese Fragen unklar ist, wird es höchste Zeit, das zu ändern. Denn: Wer sich keine Prävention leistet, muss sich die Krisen leisten können.
Engpässe bei Fachkräften und Sicherheitssystemen
Wir beobachten immer wieder, dass Unternehmen die Zeit unterschätzen, die es braucht, um belastbare BCM-Strukturen aufzubauen oder ein professionelles Sicherheitskonzept zu implementieren. Diese Prozesse erfordern nicht nur den Zugang zu den richtigen Fachkräften, sondern auch umfassende Planungs- und Umsetzungsphasen. Oft wird davon ausgegangen, dass solche Strukturen schnell implementiert werden können, doch in der Praxis sind mehrere Monate nötig, um diese Maßnahmen effektiv umzusetzen und zu testen. Wer erst mit der Umsetzung beginnt, wenn die gesetzlichen Anforderungen greifen, läuft Gefahr, wertvolle Zeit zu verlieren und dadurch die eigene Krisenresilienz zu gefährden.
In unserem Beratungsalltag haben wir immer wieder beobachtet, dass Unternehmen die Zeit unterschätzen, die benötigt wird, um nicht nur die richtigen Fachkräfte mit der entsprechenden Expertise und Know-how zu finden, sondern auch die passende Infrastruktur aufzubauen. Besonders im Bereich der physischen Sicherheit gibt es lange Bestellzeiten für Technologien, die für die Absicherung von Kritischen Infrastrukturen unerlässlich sind. Professionelle Sicherheitszäune und Überwachungstechnologien, die derartige Anlagen absichern, sind nicht nur teuer, sondern auch in der Beschaffung zeitintensiv. Dies führt zu einem weiteren Problem: Wenn der Bedarf gleichzeitig in vielen Unternehmen entsteht, werden die ohnehin langen Lieferzeiten noch weiter ansteigen.
Frühe Vorbereitung schafft Resilienz
Unternehmen, die vorausschauend handeln, können bereits jetzt viele Maßnahmen ergreifen, um den kommenden Anforderungen gerecht zu werden. Ein wichtiger Schritt ist der Aufbau von Governance-Strukturen und klaren Prozessabläufen. Dies betrifft nicht nur das Business Continuity Management (BCM) und Krisenmanagement, sondern auch die Integration von Alarm- und Notfallplänen, die reibungslos ineinandergreifen müssen. Besonders entscheidend ist es, bestehende Strukturen nicht nur zu evaluieren, sondern auch regelmäßig zu testen – unangekündigt und praxisnah. Nur so kann sichergestellt werden, dass diese Strukturen im Ernstfall tatsächlich greifen.
Stellen Sie sich vor, ein Unternehmen vertraut auf seine Krisenplanung und ist überzeugt, gut vorbereitet zu sein. Die Sicherheitspläne sind ausgearbeitet, und es gibt regelmäßige Schulungen für das Personal. Doch bei Eintritt einer realen Krise – sei es ein Cyberangriff oder ein großflächiger Stromausfall – scheitern die Prozesse. Notfallmaßnahmen greifen nicht, weil sie nie unter realen Bedingungen getestet wurden.
In unserer Beratungspraxis stoßen wir oft auf ungetestete Sicherheitsstrukturen. Unangekündigte Übungen, bei denen nicht nur die physischen Sicherheitssysteme, sondern auch die Alarmprozesse, das Notfallmanagement, das Krisenmanagement und die BCM-Prozesse überprüft werden, sind unerlässlich. Diese Tests müssen in der Praxis zeigen, ob alle theoretischen Annahmen wirklich funktionieren.
Stresstests zeigen oft unerwartete Schwachstellen
Wir führen regelmäßig Stresstests mit Krisenstäben und Notfallstäben durch, die weit über theoretische Überprüfungen hinausgehen und oft unerwartete Schwachstellen aufzeigen. Bei einem typischen Stresstest werden reale Krisenszenarien und Notfallszenarien simuliert – zum Beispiel ein Cyberangriff, Brände, Sabotagen, Demonstrationen oder ein physisches Eindringen. Häufig zeigen sich dabei organisatorische und technische Optimierungspotenziale: Alarmanlagen lösen nicht korrekt aus, oder Mitarbeiter wissen nicht, wie Systeme genau bedient werden sollen.
Besonders in Stresssituationen zeigt sich oft, dass Prozesse und Interaktionen in der Praxis anders ablaufen als geplant. Ein Stolperstein ist teilweise auch die Alarmierung externer Einsatzkräfte wie der Polizei. Auf großen, weitverzweigten Geländen kommt es oft zu Missverständnissen darüber, wo genau die Polizei eintreffen soll, was wertvolle Zeit kosten kann. Da solche Szenarien in theoretischen Übungen selten Beachtung finden, kommt es hier immer wieder zu spannenden Erkenntnissen auf allen Seiten.
In einem unserer Tests führte beispielsweise eine Alarmierung zu Verzögerungen, weil unstimmig war, wer wen alarmieren bzw. weiter alarmieren soll. Eine kleine Änderung im Kommunikationsablauf konnte dieses Problem beheben. Ein weiteres Beispiel betraf Zutrittsprozesse, die bei einem Test nicht funktionierten, da solche Prozesse selten unter Stressbedingungen geprüft werden. Diese und ähnliche Schwächen können durch zusätzliche Schulungen und technische Anpassungen schnell behoben werden.
Fazit
Die neuen Regelungen des KRITIS-DachG und der NIS-2-Richtlinie sind ein Appell an viele Unternehmen, die sich bislang in Bezug auf Business Continuity Management, Krisenmanagement und physische Sicherheit weniger proaktiv vorbereitet haben. Es ist keine Frage mehr, ob, sondern wann die Implementierung der organisatorischen Resilienz startet. Unternehmen, die frühzeitig die notwendigen Schritte einleiten, werden nicht nur die gesetzlichen Anforderungen erfüllen, sondern auch ihre Krisenresilienz und Sicherheit erheblich verbessern und Schäden verschiedenster Art reduzieren. Wer sich keine Prävention leistet, muss sich die Krisen leisten können – das lässt sich heute noch vermeiden.
