Die EU RCE-Directive bzw. die CER-Richtlinie zum Schutz kritischer Einrichtungen (EU 2022/2557) wurde Ende 2022 verabschiedet. Sie reguliert die Resilienz bei Kritischen Infrastrukturen (Critical Entities) in der EU und fordert Ausfallsicherheit von deren Betreibern. Mit ihrem Inkrafttreten wurden die EU-Mitgliedsstaaten dazu verpflichtet, die Vorgaben bis spätestens Mitte Oktober 2024 in nationales Recht umzusetzen. In Deutschland wird diese nationale Umsetzung durch das KRITIS-Dachgesetz (KRITIS-DachG) realisiert.
Das KRITIS-DachG verpflichtet Betreiber aus initial elf KRITIS-Sektoren u.a. zur Erstellung von Resilienzplänen. Diese sind in einem zwischen BBK und BSI abgestimmten Zeitraum ab der Registrierung erstmalig zu erstellen und im Anschluss daran gegenüber dem BBK zweijährlich (z.B. durch Audits) nachzuweisen. Folgende Sektoren werden betroffen sein:
Kernelemente des zu initiierenden betrieblichen Resilienzmanagements sind:
Integraler Bestandteil des betrieblichen bzw. organisationalen Resilienz-Managements werden Business Continuity Managementsysteme (BCMS) sein. Diese können anhand des BCMS-Stufenmodells reifegradabhängig implementiert und als Managementsystem mit anderen Disziplinen synchronisiert werden.
Umsetzung eines modularen Resilienzmanagements gemäß KRITIS Dachgesetz
Der im Juni 2023 publizierte BSI-Standard 200-4 stellt ein BCMS-Stufenmodell zur Verfügung, das auf der Grundlage mehrerer Kriterien drei BCMS-Reifegrade enthält:
Geclustert werden Business Continuity-Strategien (BC-Strategien) in die Phasen Notfallvorsorge und Notfallbewältigung. Sie dienen in Unternehmen und Organisationen dazu, zeitkritische Geschäftsprozesse und Ressourcen präventiv methodisch zu identifizieren und im Rahmen einer Business Impact Analyse (BIA) zu bewerten. Durch diese Methodik lassen sich Maßnahmenkaskaden generieren, die eine Unterbrechung auf ein geringstmögliches Maß reduzieren und kontextsensitiv (szenariobasiert) standardisierte Maßnahmen zur Geschäftsfortführung und zum Wiederanlauf bzw. zur Wiederherstellung initiieren.
Für die operativ-taktische Ereignisbewältigung stehen Unternehmen und Organisationen zwei aufbau- und ablauforganisatorische Formen (Allgemeine Aufbauorganisation und Besondere Aufbauorganisation) zur Verfügung. Je nach Eskalationsstufe sind diese mit zuvor festgelegten Weisungs- und Handlungsvollmachten in der Leitlinie BCMS auszustatten.
Das Resilienz-Management fungiert als übergeordnet orchestrierende Dachdisziplin: Sie orchestriert alle an der betrieblichen Gesamtresilienzstrategie beteiligten Organisationseinheiten und Managementsysteme und soll deren Wirksamkeit durch die Erstellung eines angemessenen und wirksamen Resilienzplans nachweisen.
Neben dem Business Continuity Managementsystem (BCMS) bilden Krisenmanagementsysteme gemäß ISO 22361 sowie Informationssicherheitsmanagementsysteme gemäß ISO 27001 weitere Kernelemente des Resilienz-Managements. Diese sind organisations- und sektorenspezifisch durch weitere Disziplinen zu ergänzen.
Unser Whitepaper gibt einen nicht nur einen aktuellen Einblick zu den perspektivischen Anforderungen des KRITIS-Dachgesetzes (KRITIS-DachG) sowie der reifegradorientierten Planung von Business Continuity Managementsystemen (BCMS). Sie erhalten auch einen holistischen Überblick über Anforderungen an die zu initiierende Resilienzplanung sowie ein Spotlight-Update zur grundsätzlichen Planung von Krisenmanagementsystemen entlang des novellierten normativen Standards ISO 22361, welcher unter anderem die Erstellung von spezifischen Krisenmanagementplänen (KMP) im Kontext der Gesamtresilienzstrategie von Unternehmen (Resilienzplanung) vorsieht.
Laden Sie hier das Whitepaper herunter und erfahren Sie alle wichtigen Aspekte zum KRITIS-Dachgesetz im Detail. Bei weiteren Fragen Ihrerseits kontaktieren Sie uns gerne zum Thema.
Unternehmen sämtlicher Branchen geraten zunehmend in den Fokus von Cyberangriffen. Die Gesetzgebung begegnet diesen Herausforderungen durch Regulierungen auf nationaler und europäischer Ebene: Neben dem bestehenden deutschen IT-Sicherheitsgesetz 2.0 wurden auf europäischer Ebene die EU NIS 2 Directive sowie EU RCE verabschiedet, die bis spätestens Oktober 2024 in die nationale Gesetzgebung überführt werden sollen. In diesem Kontext liegen bereits Referentenentwürfe des NIS 2-Umsetzungsgesetzes (NIS 2 UmsuCG) sowie des KRITIS-Dachgesetzes (KRITIS-DachG) vor.
IT-SiG 2.0, EU NIS 2 und EU RCE - Erhöhung der Resilienz im Kontext der Cybersicherheit
Konsequenz für bisher nicht regulierte Unternehmen
Eine Vielzahl von Unternehmen wird zukünftig gemäß EU NIS 2 sowie EU RCE verpflichtet und haftbar gemacht, Mindestanforderungen an Cybersicherheit und Resilienz einzuhalten. Die Zahl der regulierten Unternehmen wird dadurch stark ansteigen.