Cybervize - Cybersecurity Beratung

Resilienzmaßnahmen: der All-Gefahren-Ansatz

KRITIS & CERCEOCISOBCM-VerantwortlicheLeitung physische SicherheitKrisenstab

Kernaussage

Resilienz kritischer Einrichtungen ist mehr als Cybersicherheit. Der All-Gefahren-Ansatz (All-Hazards) verlangt, kritische Anlagen gegen das gesamte relevante Gefahrenspektrum abzusichern: Naturgefahren, technisches und menschliches Versagen, Sabotage und Terror sowie hybride Bedrohungen. Diese Logik trägt die CER-Richtlinie (Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen) und ihre nationale Umsetzung.

Für die Leitungsebene gehören physische Sicherheit, Personal- und Zutrittssicherheit, Notfall- und Krisenmanagement sowie Lieferketten- und Abhängigkeitsresilienz in ein gemeinsames Steuerungsmodell. Das Gesetz beschreibt das Was und Wozu; Normen wie ISO 22301, ISO 31000 und der IT-Grundschutz liefern das Wie.

Problem in der Praxis

In vielen Organisationen ist Sicherheit historisch getrennt organisiert: IT, Werkschutz, Personalwesen und Einkauf optimieren jeweils ihren Ausschnitt, niemand das Zusammenspiel der Gefahren auf eine konkrete kritische Anlage. Ein Stromausfall, ein Hochwasser, ein Innentäter oder der Ausfall eines Spezialzulieferers können denselben Versorgungsprozess treffen. Sind Risikoanalyse, Objektschutz, Notfallpläne und Lieferantensteuerung nicht verbunden, entstehen blinde Flecken dort, wo Gefahren sich überlagern.

Hinzu kommt eine regulatorische Doppelstruktur: Das BSIG (im NIS2-Kontext) adressiert die Cyber- und IT-Sicherheit, die physische und organisatorische All-Gefahren-Resilienz dagegen die CER-Richtlinie und das KRITIS-Dachgesetz. Viele Betreiber sind von beiden Regimen erfasst; wer sie getrennt managt, erzeugt Doppelarbeit und Lücken zugleich.

CISO-Einordnung

Der All-Gefahren-Ansatz ist primär eine Frage der Steuerungslogik, nicht der Einzelmaßnahme. Drei Fragen geben die Richtung vor: Welche Anlagen sind kritisch, und welche Gefahrenarten treffen sie real? Welche Abhängigkeiten bestehen nach innen (Personal, Standort, Technik) und nach außen (Lieferanten, Versorger, Dienstleister)? Welche Maßnahme behandelt welche Gefahr, wer ist verantwortlich, und wie wird im Störungsfall entschieden, eskaliert und gemeldet?

KRITIS-Dachgesetz und CER-Richtlinie sind regulatorische Pflicht, kein Zertifizierungsschema. ISO 31000 strukturiert das Risikomanagement, ISO 22301 das Notfall- und Kontinuitätsmanagement, der IT-Grundschutz liefert mit Bausteinen zu Notfallmanagement (BCM) und physischer Sicherheit/Infrastruktur (INF) die Umsetzungshilfe. Diese Normen dienen nur als Referenz, nicht als Wortlautquelle.

Umsetzungsperspektive

Ein tragfähiges Resilienzprogramm lässt sich entlang weniger ineinandergreifender Bausteine aufbauen:

  • Risikoanalyse nach All-Gefahren-Logik als Grundlage, systematisch und wiederkehrend je kritischer Anlage (ISO 31000).
  • Physische Sicherheit und Zutrittssicherheit: Objekt- und Perimeterschutz, abgestufte Zonen, Zutrittssteuerung, Detektion.
  • Personalsicherheit: Eignung, Sensibilisierung und, für sensible Funktionen, Zuverlässigkeitsüberprüfungen senken das Innentäterrisiko.
  • Notfall- und Krisenmanagement: Krisenstab, Alarmierungs- und Eskalationswege, Notfallpläne, Redundanz/Ersatzversorgung, geübter Wiederanlauf (ISO 22301).
  • Lieferketten- und Abhängigkeitsresilienz: kritische Lieferanten, Single Points of Failure und Interdependenzen identifizieren und mit Ausweich-, Redundanz- oder Bevorratungsstrategien hinterlegen.
  • Melde- und Nachweisprozesse: erhebliche Störungen erkennen, bewerten, fristgerecht melden; Wirksamkeit dokumentiert nachweisen.

Diese Bausteine sollten an vorhandene Managementsysteme (ISMS, BCM) andocken statt eine Parallelwelt aufzubauen; vieles lässt sich wiederverwenden.

Typische Fehler

  1. Resilienz wird mit Cybersicherheit gleichgesetzt; physische und personelle Gefahren bleiben unterbelichtet.
  2. Risikoanalyse, Objektschutz, Notfallplan und Lieferantensteuerung werden getrennt geführt und nie zusammengezogen.
  3. Lieferketten- und Abhängigkeitsrisiken werden nicht bis zum kritischen Einzelpunkt durchdacht.
  4. Notfall- und Krisenpläne existieren auf Papier, werden aber nicht geübt.
  5. Nachweise entstehen erst auf Nachfrage der Behörde statt aus dem laufenden Betrieb.

Risiken und Trade-offs

Ein zu eng gefasstes Resilienzprogramm übersieht Gefahrenarten und erzeugt trügerische Sicherheit; ein zu breites bindet Ressourcen, ohne die wesentlichen Risiken spürbar zu senken. Die Priorisierung muss der tatsächlichen Kritikalität folgen.

Ein zweiter Trade-off betrifft Redundanz und Kosten: Ersatzversorgung, doppelte Lieferquellen und Vorhaltung erhöhen die Widerstandsfähigkeit, kosten aber Geld und Komplexität. Das ist eine Management-, keine rein technische Entscheidung. Drittens droht regulatorische Doppelarbeit, weil sich Cyber- (BSIG/NIS2) und physisches Regime (CER/KRITIS-Dachgesetz) bei Governance und Nachweisen überschneiden.

Entscheidungspunkte

  • Welche Anlagen sind kritisch, und ab welcher Schwelle? Primäres Quantitätskriterium ist die Zahl versorgter Personen je Anlage; Detailschwellen und Sektor-Zuschnitt sind an der geltenden nationalen Rechtsverordnung zu verifizieren.
  • Wird Resilienz in bestehende Managementsysteme (ISMS, BCM) integriert oder separat geführt?
  • Welche Funktionen erfordern Zuverlässigkeitsüberprüfungen, und wie wird das datenschutzkonform organisiert?
  • Welche Lieferanten- und Versorgungsabhängigkeiten werden mit welcher Redundanzstrategie abgesichert?
  • Wer führt im Krisenfall, und wie wird die Meldekette zur Behörde sichergestellt?

Praktische Empfehlungen

  1. Führen Sie eine integrierte All-Gefahren-Risikoanalyse je kritischer Anlage ein und wiederholen Sie diese in festem Turnus; das KRITIS-Dachgesetz sieht eine wiederkehrende Risikobewertung vor (mindestens alle vier Jahre, bei Bedarf häufiger).
  2. Verbinden Sie physische Sicherheit, Personalsicherheit und Notfallmanagement über eine verantwortliche Resilienzfunktion.
  3. Identifizieren Sie kritische Lieferanten und Single Points of Failure und hinterlegen Sie konkrete Ausweich- oder Bevorratungsoptionen.
  4. Üben Sie Krisen- und Wiederanlaufszenarien regelmäßig und dokumentieren Sie die Lehren.
  5. Nutzen Sie Synergien beider Regime: Wo zulässig, können Behörden auf Nachweise nach BSIG oder branchenspezifische Sicherheitsstandards (B3S) zurückgreifen, um Doppelnachweise zu vermeiden.
  6. Verankern Sie die Verantwortung auf Leitungsebene und sichern Sie die 24-Stunden-Meldefähigkeit für erhebliche Störungen ab.

Relevante Normreferenzen

  • Richtlinie (EU) 2022/2557 (CER-Richtlinie) vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen, zur Aufhebung der Richtlinie 2008/114/EG; ABl. L 333 vom 27.12.2022. Das exakte Inkrafttretensdatum ist an der amtlichen Quelle (EUR-Lex) zu verifizieren.
  • KRITIS-Dachgesetz (nationale Umsetzung der CER-Richtlinie, physische Resilienz kritischer Anlagen); geltendes Bundesrecht (Gesetz vom 11.03.2026, BGBl. 2026 I Nr. 66, in Kraft seit 17.03.2026; Ausnahme: Paragraf 14 Absatz 3 bis 5 ab 01.01.2030; amtliche Quelle gesetze-im-internet.de/kritisdachg).
  • ISO 22301: Referenz für Business-Continuity- und Notfallmanagement (reference-only).
  • ISO 31000: Referenz für Risikomanagement (reference-only).
  • IT-Grundschutz (BSI): Referenz für Notfallmanagement (BCM) und physische Sicherheit/Infrastruktur (INF).

Häufige Fragen

Was bedeutet All-Gefahren-Ansatz?+

Die Absicherung kritischer Anlagen gegen das gesamte relevante Gefahrenspektrum statt nur gegen einzelne Bedrohungen wie Cyberangriffe.

Wie hängt das mit NIS2 zusammen?+

NIS2/BSIG adressieren Cyber- und IT-Sicherheit; CER-Richtlinie und KRITIS-Dachgesetz adressieren physische und organisatorische Resilienz. Viele Betreiber sind von beiden erfasst.

Welche Normen helfen bei der Umsetzung?+

ISO 31000 (Risikomanagement), ISO 22301 (Notfall-/Kontinuitätsmanagement) und der IT-Grundschutz (BCM, physische Sicherheit). Sie liefern die Methode, ersetzen aber die rechtlichen Pflichten nicht.

Sind Fristen und Schwellen gesichert?+

Der Regel-Schwellenwert orientiert sich an der Zahl versorgter Personen je Anlage. Detailschwellen und einzelne Detailfristen sind an Gesetzestext und Rechtsverordnung zu verifizieren.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen KRITIS & CER prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: kritis-003.