Das KRITIS-Dachgesetz (KRITIS-DachG): die neuen Anforderungen an Resilienz-Managementsysteme und Business Continuity Management

Was ist die EU RCE-Directive |EU 2022/2557?

Die EU RCE-Directive bzw. die CER-Richtlinie zum Schutz kritischer Einrichtungen (EU 2022/2557) wurde Ende 2022 verabschiedet. Sie reguliert die Resilienz bei Kritischen Infrastrukturen (Critical Entities) in der EU und fordert Ausfallsicherheit von deren Betreibern. Mit ihrem Inkrafttreten wurden die EU-Mitgliedsstaaten dazu verpflichtet, die Vorgaben bis spätestens Mitte Oktober 2024 in nationales Recht umzusetzen. In Deutschland wird diese nationale Umsetzung durch das KRITIS-Dachgesetz (KRITIS-DachG) realisiert. 

Die wichtigsten Inhalte des KRITIS-Dachgesetzes (KRITIS-DachG)

Das KRITIS-DachG verpflichtet Betreiber aus initial elf KRITIS-Sektoren u.a. zur Erstellung von Resilienzplänen. Diese sind in einem zwischen BBK und BSI abgestimmten Zeitraum ab der Registrierung erstmalig zu erstellen und im Anschluss daran gegenüber dem BBK zweijährlich (z.B. durch Audits) nachzuweisen. Folgende Sektoren werden betroffen sein:

• Energie
• Transport und Verkehr
• Finanz- und Versicherungswesen
• Gesundheitswesen
• Trinkwasser
• Abwasser
• Ernährung
• Informationstechnik und Telekommunikation
• Weltraum
• Öffentliche Verwaltung
• Siedlungsabfallentsorgung
• (Kultur und Medien)
• (Bildung und Betreuung)

Kernelemente des zu initiierenden betrieblichen Resilienzmanagements sind:

• Einrichtung eines betrieblichen Risiko- und Krisenmanagements
• Durchführung von Risikoanalysen und -bewertungen
• Erstellung von Resilienzplänen
• Umsetzung geeigneter Maßnahmen (technisch, personell, organisatorisch)
  

Integraler Bestandteil des betrieblichen bzw. organisationalen Resilienz-Managements werden Business Continuity Managementsysteme (BCMS) sein. Diese können anhand des BCMS-Stufenmodells reifegradabhängig implementiert und als Managementsystem mit anderen Disziplinen synchronisiert werden.

Aufbau eines wirksamen Resilienz-Managements durch ein Business Continuity Managementsystem (BCMS)

Der im Juni 2023 publizierte BSI-Standard 200-4 stellt ein BCMS-Stufenmodell zur Verfügung, das auf der Grundlage mehrerer Kriterien drei BCMS-Reifegrade enthält:

• Reaktiv-BCMS 
• Aufbau-BCMS
• Standard-BCMS

Geclustert werden Business Continuity-Strategien (BC-Strategien) in die Phasen Notfallvorsorge und Notfallbewältigung. Sie dienen in Unternehmen und Organisationen dazu, zeitkritische Geschäftsprozesse und Ressourcen präventiv methodisch zu identifizieren und im Rahmen einer Business Impact Analyse (BIA) zu bewerten. Durch diese Methodik lassen sich Maßnahmenkaskaden generieren, die eine Unterbrechung auf ein geringstmögliches Maß reduzieren und kontextsensitiv (szenariobasiert) standardisierte Maßnahmen zur Geschäftsfortführung und zum Wiederanlauf bzw. zur Wiederherstellung initiieren.

Für die operativ-taktische Ereignisbewältigung stehen Unternehmen und Organisationen zwei aufbau- und ablauforganisatorische Formen (Allgemeine Aufbauorganisation und Besondere Aufbauorganisation) zur Verfügung. Je nach Eskalationsstufe sind diese mit zuvor festgelegten Weisungs- und Handlungsvollmachten in der Leitlinie BCMS auszustatten.

Das Resilienz-Management fungiert als übergeordnet orchestrierende Dachdisziplin: Sie orchestriert alle an der betrieblichen Gesamtresilienzstrategie beteiligten Organisationseinheiten und Managementsysteme und soll deren Wirksamkeit durch die Erstellung eines angemessenen und wirksamen Resilienzplans nachweisen.

Neben dem Business Continuity Managementsystem (BCMS) bilden Krisenmanagementsysteme gemäß ISO 22361 sowie Informationssicherheitsmanagementsysteme gemäß ISO 27001 weitere Kernelemente des Resilienz-Managements. Diese sind organisations- und sektorenspezifisch durch weitere Disziplinen zu ergänzen.

Download: Whitepaper über das KRITIS-DachG und die Auswirkungen auf das BCMS

Unser Whitepaper gibt einen nicht nur einen aktuellen Einblick zu den perspektivischen Anforderungen des KRITIS-Dachgesetzes (KRITIS-DachG) sowie der reifegradorientierten Planung von Business Continuity Managementsystemen (BCMS). Sie erhalten auch einen holistischen Überblick über Anforderungen an die zu initiierende Resilienzplanung sowie ein Spotlight-Update zur grundsätzlichen Planung von Krisenmanagementsystemen entlang des novellierten normativen Standards ISO 22361, welcher unter anderem die Erstellung von spezifischen Krisenmanagementplänen (KMP) im Kontext der Gesamtresilienzstrategie von Unternehmen (Resilienzplanung) vorsieht.

Laden Sie hier das Whitepaper herunter und erfahren Sie alle wichtigen Aspekte zum KRITIS-Dachgesetz im Detail. Bei weiteren Fragen Ihrerseits kontaktieren Sie uns gerne zum Thema. 

IT-SiG 2.0, EU NIS 2 und EU RCE - Erhöhung der Resilienz im Kontext der Cybersicherheit

Unternehmen sämtlicher Branchen geraten zunehmend in den Fokus von Cyberangriffen. Die Gesetzgebung begegnet diesen Herausforderungen durch Regulierungen auf nationaler und europäischer Ebene: Neben dem bestehenden deutschen IT-Sicherheitsgesetz 2.0 wurden auf europäischer Ebene die EU NIS 2 Directive sowie EU RCE verabschiedet, die bis spätestens  Oktober 2024 in die nationale Gesetzgebung überführt werden sollen. In diesem Kontext liegen bereits Referentenentwürfe des NIS 2-Umsetzungsgesetzes (NIS 2 UmsuCG) sowie des KRITIS-Dachgesetzes (KRITIS-DachG) vor.

Konsequenz für bisher nicht regulierte Unternehmen
Eine Vielzahl von Unternehmen wird zukünftig gemäß EU NIS 2 sowie EU RCE verpflichtet und haftbar gemacht, Mindestanforderungen an Cybersicherheit und Resilienz einzuhalten. Die Zahl der regulierten Unternehmen wird dadurch stark ansteigen.