Nicht zuletzt durch die Sabotageakte auf die Infrastruktur der Deutschen Bahn hat der Ruf nach einem ganzheitlichen Resilienzmanagement im Bereich kritischer Infrastrukturen wieder mehr an Resonanz gewonnen. Das KRITIS-Dachgesetz (Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen) wird dazu perspektivisch die gesetzliche Grundlage bilden.
Als nationale Umsetzung der Richtlinie über die Resilienz kritischer Einrichtungen (EU RCE-Directive | EU 2022/2557) definiert es Verpflichtungen für Betreiber kritischer Anlagen in primär 11 Sektoren, die voraussichtlich bis zum Ablauf der Umsetzungsfrist zum 01.01.2026 umzusetzen sind.
Zentrale Instrumente für den Betrieb und den Nachweis der Angemessenheit und Wirksamkeit des organisatorischen Resilienzmanagements werden dabei der Resilienzplan und zweijährig durchzuführende Audits bilden.
Parallel zum Gesetzesvorhaben des KRITIS-Dachgesetzes wurde im Juni 2023 der neue BSI-Standard 200-4 als konkrete Umsetzungshilfe zur Implementierung von reifegradabhängigen Business Continuity Managementsystemen (BCMS) veröffentlicht, was insofern in diesem Kontext als relevant zu bewerten ist, als dass Business Continuity Managementsysteme (BCMS) künftig einen integralen Bestandteil der Dachdisziplin Resilienzmanagement darstellen und im Resilienzplan abzubilden sind.
Der BSI-Standard 200-4 identifiziert für das organisatorische Resilienzmanagement drei Kerndisziplinen: Business Continuity, Informationssicherheit und Krisenmanagement, wenngleich im Rahmen des Umbrella-Ansatzes darüber hinaus weitere Fachdisziplinen (z.B. Werk- bzw. Perimeterschutz, Risikomanagement) Bestandteil des Resilienzmanagements sein werden.
Ausschlaggebend für die Klassifizierung als kritische Anlage wird exklusiv die nach § 15 KRITIS-DachG zu erstellende Rechtsverordnung werden.
Anforderungen an Betreiber kritischer Anlagen
Im Sinne der Erhöhung der Kohärenz zwischen der bereits bestehenden Gesetzeslage auf Grundlage des Gesetzes über das Bundesamt in der Informationssicherheit (BSIG) und dem KRITIS-Dachgesetz (KRITIS-DachG) sind eingangs die Begriffe „Kritische Infrastruktur“ und „Kritische Anlage“ zu unterscheiden.
Kritische Infrastrukturen
Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der wirtschaftlichen Tätigkeit, der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Kritische Anlagen
Kritische Anlagen sind Anlagen, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für wirtschaftliche Tätigkeiten, die öffentliche Sicherheit oder Ordnung eintreten würden.
Eine Anlage gilt dann als kritische Anlage, wenn sie die auf Basis der noch zu erstellenden Rechtsverordnung definierten Schwellenwerte in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser und Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, öffentliche Verwaltung oder Siedlungsabfallentsorgung zuzuordnen ist.
Risikoanalysen und Risikobewertungen
Auf der Grundlage staatlicher Risikoanalysen und Risikobewertungen werden Betreiber kritischer Anlagen perspektivisch dazu verpflichtet sein, organisationsbezogene (Kontext der Organisation) Risikoanalyen und -bewertungen durchzuführen. Diese organisationsbezogenen Risikoanalysen und -bewertungen sind erstmalig neun Monate nach der Registrierung als kritische Anlage und im Anschluss daran fortlaufend im maximal vierjährigen Rhythmus durchzuführen.
Sofern Betreiber kritischer Anlagen auf Grundlage anderer öffentlich-rechtlicher Vorschriften bereits gleichwertige Risikoanalysen und -bewertungen durchgeführt haben, die der Anforderungslage des KRITIS-DachG entsprechen, können diese durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes teilweise oder ganz anerkannt werden.
Registrierung kritischer Anlagen
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) wird als für die physische Sicherheit fachzuständiges Lagezentrum (national zuständige Behörde für die Resilienz kritischer Anlagen) und als Aufsichtsbehörde fungieren, um behördlicherseits einen Single Point of Contact einzurichten. Folglich bildet das BBK auch die fachzuständige Behörde für die Registrierung kritischer Anlagen durch die Betreiber.
Diese sind eigenständig dazu verpflichtet, die Anlage spätestens bis zum ersten Werktag, der auf die erstmalige oder wiederholte Klassifizierung als kritische Anlage folgt, über ein durch BBK und Bundesamt für Sicherheit in der Informationstechnik gemeinsam betriebenes Registrierungsportal digital zu registrieren.
Auf Basis der Registrierungen, die bei Unterlassen durch die Betreiber auch durch das BBK in Kooperation mit der zuständigen Aufsichtsbehörde selbstständig vorgenommen werden können, erstellt das BBK eine Übersichtsliste aller Betreiber kritischer Anlagen, die ebenfalls maximal im vierjährigen Rhythmus aktualisiert wird. Als betreiberseitig besondere Herausforderung wird die Benennung einer Kontaktstelle oder einer Person mit vergleichbarer Aufgabenstellung, die jederzeit (24/7) erreichbar ist, ebenfalls Bestandteil des Resilienzmanagements sein.
Resilienzmaßnahmen der Betreiber kritischer Anlagen
Betreiber kritischer Anlagen haben sicherzustellen, dass sie geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz (Resilienzmanagement) sicherstellen. Die Grundlage dieser Maßnahmen sind übergeordnet die Ergebnisse der sowohl staatlich als auch organisationsspezifisch durchgeführten Risikoanalysen und -bewertungen.
Alle etablierten Maßnahmen zur Steigerung der Resilienz sind durch die Betreiber kritischer Anlagen in einem Resilienzplan zu dokumentieren. Der Resilienzplan ist dem BBK zu einem nach erstmaliger Erstellung festgelegtem Zeitpunkt alle zwei Jahre nachzuweisen. Die vorgesehene Nachweisführung der Resilienzpläne durch die Betreiber kritischer Anlagen hat auf geeignete Weise zu erfolgen.
Üblicherweise erfolgt die Nachweisführung der Angemessenheit und Wirksamkeit artverwandter Disziplinen und Managementsysteme (z. B. Business Continuity Managementsysteme & Informationssicherheitsmanagementsysteme) durch die Durchführung von Audits (interne Audits oder externe Audits durch unabhängige Drittparteien).
Konkret hat die Nachweisführung der im Resilienzmanagement vorgehaltenen Maßnahmen durch die Übermittlung der Auditergebnisse (Auditbericht) sowie der im Rahmen des Audits aufgedeckten Mängel durch die Betreiber kritischer Anlagen an das BBK zu erfolgen. Im Rahmen der tiefergehenden Überprüfung der vorgelegten Audit-Ergebnisse wird dem BBK die Möglichkeit eingeräumt, weiterführende Dokumente anzufordern. Dies sind insbesondere die dem Audit zugrundeliegenden Dokumentationen (Dokumenten-Input) sowie bei aufgedeckten Mängeln ein geeigneter Mängelbeseitigungsplan, gegebenenfalls mit konkreter Nachweisführung der Mängelbeseitigung.
Darüber hinaus kann das BBK als fachzuständige Behörde im Rahmen der Audits organisationsspezifisch konkrete Vorgaben bezüglich der Ausgestaltung und der Methodik des Audit-Verfahrens festlegen, die auch personelle Aspekte in Bezug auf zu erbringende Nachweise der fachlichen und organisatorischen Eignung des eingesetzten Prüfpersonals und der prüfenden Stelle enthalten.
Business Continuity Management
Als integraler Bestandteil der organisatorischen Resilienz werden von den Betreibern kritischer Anlagen betriebliche Kontinuitätsstrategien (Business Continuity Managementsysteme) gefordert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu im Juni 2023 den BSI-Standard 200-4 (Business Continuity Management) als konkrete Umsetzungshilfe für die Implementierung von Business Continuity Managementsystemen veröffentlicht, und damit auch erstmalig ein reifegradabhängiges BCMS-Stufenmodell.
Bestehend aus den Reifegraden Reaktiv-, Aufbau- und Standard-BCMS wird den Organisationen hiermit ein ressourcenadaptierter Ansatz (personell, organisatorisch, finanziell) zur Einrichtung und zum Betrieb von BCMS zur Verfügung gestellt. Sofern die Einrichtung und der Betrieb eines Business Continuity Managementsystems durch gesetzliche und/oder regulatorische Anforderungen vorgegeben ist (zutreffend bei Betreibern kritischer Anlagen gemäß KRITIS-Dachgesetz), entfällt allerdings bereits der Reifegrad des Reaktiv-BCMS, da dieser einen bewusst geringen Prozess- und Methodikumfang, im Sinne einer rudimentären Absicherung der zeitkritischsten Geschäftsprozesse, anwendet. In diesem Fall ist der Einstieg über den Reifegrad des Aufbau-BCMS möglich, sofern durch dieses alle sektorspezifisch regulierten zeitkritischen Geschäftsprozesse angemessen und wirksam abgesichert sind.
Im Rahmen der horizontalen (BCMS-Ausweitung auf alle zeitkritischen Geschäftsprozesse) und vertikalen Entwicklung (Reifegradsteigerung des BCMS hin zu einem Standard-BCMS) des Business Continuity Managementsystems kann ein kontinuierlicher Aktualisierungs- und Prüfzyklus etabliert werden.
Gegliedert in die Prozessphasen Notfallvorsorge und Notfallbewältigung wird bereits durch die Implementierung eines BCMS die Vorhaltung von Notfalldokumenten gewährleistet, die in das Resilienzmanagement als Dachdisziplin und in die Nachweisführung in den Resilienzplänen integriert werden können.
Obligatorisch sind durch den Betrieb eines BCMS bereits folgende Notfalldokumente vorhanden:
- Notfallvorsorgekonzept
- Notfallhandbuch
- Geschäftsfortführungspläne
- Wiederanlauf- und Wiederherstellungspläne
- Kontextsensitive Handlungsleitfäden (Checklisten) zur Ereignisbewältigung
- Krisenkommunikationsplanung
- Notfallkontaktliste
- Stabsdienstordnung
Fazit und Ausblick
Mit Inkrafttreten des KRITIS-Dachgesetzes (KRITIS-DachG) werden die rund 2.000 Betreiber kritischer Anlagen in der Bundesrepublik Deutschland mit neuen verpflichtenden Vorgaben in Bezug auf die Erhöhung der physischen Widerstandsfähigkeit konfrontiert werden.
Vorgesehenen ist ein holistischer Maßnahmen-Mix mit konkreten Vorgaben aus den Bereichen Krisen- und Risikomanagement, Business Continuity Management, Personal und physische Sicherheit. Ergänzend zu den elf primär vorgesehenen Sektoren können die Mitgliedsstaaten für die nicht mehr erfassten Sektoren „Bildung und Betreuung“ und „Medien und Kultur“ im Rahmen ihrer Zuständigkeiten gesonderte Resilienzmaßnahmen, inklusive deren Nachweisführung beschließen.
Die Meldung von Sicherheitsvorfällen durch die Betreiber kritischer Anlagen hat unverzüglich an eine von BBK und BSI zu etablierende gemeinsame Kontaktstelle zu erfolgen, dabei besteht für die Erstmeldung ein Zeitfenster von maximal 24 Stunden nach Detektion des Vorfalls sowie ein separates Zeitfenster für die Abgabe einer ausführlichen Berichterstattung maximal einen Monat nach dem Vorfall.
Crisis Prevention 3/2023
Tim Neubert
E-Mail: tneubert@deloitte.de
Inka Schmidt
E-Mail: inschmidt@deloitte.de