Logo von PREVISEC, einer Software für Incident Management und Krisenmanagement

Vorab: Bei der nachfolgenden Ausführung beziehen wir uns auf den Entwurf, der hier abgerufen werden kann:
Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen
(verabschiedeter Regierungsentwurf)

Überblick

Hier zunächst ein Überblick über die Regelungen, die das KRITIS-Dachgesetz in den Artikeln 1-10 trifft:

  • Die Bundesregierung muss eine nationale Resilienzstrategie verabschieden, die als übergeordnete Leitlinie dient.
  • Zentrale Begriffe und Definitionen wie „kritische Dienstleistungen“ oder „kritische Anlagen“ werden präzisiert, um Klarheit für alle Beteiligten zu schaffen.
  • Der Geltungsbereich wird festgelegt – also welche Sektoren und Organisationen betroffen sind.
  • Es wird geregelt, welche Behörden auf Bundes- und Landesebene verantwortlich sind und wie sie zusammenarbeiten.
  • Betreiber müssen ihre kritischen Dienstleistungen und Anlagen identifizieren und registrieren.
  • Regelungen für Einrichtungen der Bundesverwaltung.
  • Die zuständigen Behörden erhalten Aufsichts- und Kontrollrechte.
  • Zudem werden europäische Bezüge geschaffen, etwa für grenzüberschreitende Anlagen und die Zusammenarbeit mit der EU.

Folgende Ziele werden im Entwurf deutlich: Das Gesetz sorgt für Transparenz, klare Verantwortlichkeiten und eine gemeinsame Strategie – und es verpflichtet Betreiber, ihre Risiken und Strukturen systematisch zu erfassen.

Genau hier setzt PREVISEC an: Die Plattform unterstützt Unternehmen und Behörden dabei, diese Anforderungen effizient umzusetzen – von der Risikoanalyse über die Dokumentation bis hin zur geordneten Zusammenarbeit im Krisenfall. Welche Themen das konkret betrifft und wie es funktioniert beleuchten wir hier.

Risikoanalyse und -bewertung

Ein zentraler Baustein ist § 11, der sich mit nationalen Risikoanalysen und Risikobewertungen befasst:

  • Jedes Bundes- und Landesministerium ist verpflichtet, für die kritischen Dienstleistungen in seinem Zuständigkeitsbereich systematisch Risikoanalysen und Bewertungen durchzuführen.
  • Für die Bundesverwaltung übernimmt das Bundesministerium des Innern diese Aufgabe, wobei es auf die fachlichen Einschätzungen anderer Behörden zurückgreift.
  • Ausgenommen sind nur Bereiche, die vom Auswärtigen Amt oder vom Verteidigungsministerium verantwortet werden.

Kurz gesagt: Der Staat muss für alle kritischen Dienstleistungen strukturiert prüfen, welche Risiken bestehen und wie diese zu bewältigen sind.

Klar, in das Risikomanagement gehören auch immer Risiken, die noch nie eingetreten sind. Aber das Gesetz fordert auch ganz konkret die Berücksichtigung von „6. einschlägige, gemäß § 18 gemeldete Informationen über Vorfälle.“
Zudem ist allgemein ein übergreifender Blick auf und Verständnis von Risiken gefordert.

Hier hilft die Art und Weise, wie PREVISEC Vorfälle erfasst, klassifiziert und in Analysen oder Berichten Clustern kann – übrigens natürlich auch in Unternehmen!
Der 360-Grad-Gedanke des Allgefahrenansatzes kommt in der praktischen Umsetzung auf der Plattform perfekt zur Geltung: Zentral und transparent ausgespielte Ereignisse werden multipel klassifiziert und mit entsprechenden Prozessen hinterlegt. So können ganz unterschiedliche Perspektiven einfach miteinander verknüpft werden.

Über die entsprechenden Darstellungen und Filtermöglichkeiten, die durch weitere Keywords zur Kontextualisierung ergänzt werden können, profitieren Stakeholder und Analysten beim Blick auf Risiken.

Resilienzpflichten der Betreiber kritischer Anlagen; Resilienzplan

Auszug aus dem Gesetzestext:

Was liefert PREVISEC für die Umsetzung dieser Anforderungen?

 

 

(1) Der Betreiber kritischer Anlagen ist verpflichtet, nach Maßgabe der
Absätze 2 und 3 Maßnahmen zur Gewährleistung seiner Resilienz zu treffen, um (…)

3. auf Vorfälle zu reagieren, sie abzuwehren und die negativen Auswirkungen solcher Vorfälle zu begrenzen und

Die digitale Planung und revisionssichere Umsetzung von Maßnahmen im Vorfalls- und Krisenmanagement hält der Prüfung auf Erfüllung dieser Verpflichtung stand.

Das Incident Management bietet effiziente Mechanismen um auf Vorfälle unter dem Allgefahrenansatz konzertiert zu reagieren.

4. nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung zu gewährleisten. (…)

Ein Teil der geplanten Maßnahmen sollte im Sinne des BCM eine Wiederherstellung sein. Die erforderlichen Schritte lassen sich koordinieren, umsetzen und dokumentieren.

3. zum Zweck der Zielerreichung nach Absatzes 1 Nummer 3 zählen:
a) Risiko- und Krisenmanagementverfahren und -protokolle und

Mit dem digitalen Krisenraum unterstützt PREVISEC professionelles Krisenmanagement und liefert alle Werkzeuge für effektive Stabsarbeit.

b) vorgegebene Abläufe im Alarmfall

(…)

Hinter jedes Risiko (Ereignis, Vorfall,..) lassen sich Alarme konfigurieren, um die Reaktionsfähigkeit sicherzustellen und eine schnelle Bewertung und Bewältigung einzuleiten.

6. das Personal für die unter den in Absatz 1 Nummer 1 bis 4 sowie in Nummer 5 genannten Maßnahmen durch Informationsmaterialien, Schulungen und Übungen vertraut zu machen.

Essentielle Inhalte sind direkt auf der Plattform integriert. Die Abläufe sollten auch unter Nutzung der Plattform trainiert werden.

(4) Der Betreiber kritischer Anlagen muss die Maßnahmen nach Absatz 1 in einem Resilienzplan darstellen und diesen anwenden. Aus dem Resilienzplan müssen die den Maßnahmen zugrunde liegenden Erwägungen hervorgehen. Auf die Risikoanalyse und Risikobewertung des Betreibers ist Bezug zu nehmen. Der Resilienzplan ist bei Bedarf sowie nach Durchführung einer Risikoanalyse und Risikobewertung des Betreibers kritischer Anlagen zu aktualisieren.

Es erscheint valide, im Resilienzplan auf geplante Maßnahmen in PREVISEC  zu verweisen und/oder diese als Export in den Plan zu integrieren. Die Erstellung lässt sich sogar automatisieren.

Das Dashboard von PREVISEC auf Mobilgeräten und einem Bildschirm

Lernen Sie unsere Lösung PREVISEC kennen:

Jetzt Produkt-tour starten