Cybervize - Cybersecurity Beratung

KRITIS-Resilienz-Roadmap für den CISO

KRITIS & CERCEOCOOCISOBCM-VerantwortlicheBetriebs- und Anlagenleitung

Kernaussage

Die physische Resilienz kritischer Anlagen ist kein Cyber-Thema und kein einmaliges Compliance-Projekt, sondern eine dauerhafte Steuerungsaufgabe entlang einer Roadmap: Betroffenheit klären, registrieren, Risiken nach dem All-Gefahren-Ansatz bewerten, Resilienz- und Kontinuitätsmaßnahmen umsetzen, Störungen melden und alles nachweisbar machen.

Rechtsgrundlage sind die CER-Richtlinie (EU) 2022/2557 und ihre nationale Umsetzung im KRITIS-Dachgesetz. Diese Pflichten sind als wiederholbarer Regelkreis zu führen, nicht als Aktenberg, der erst bei der ersten Behördenanfrage entsteht.

Problem in der Praxis

Viele Betreiber haben stark in Cyber-Resilienz nach NIS2 beziehungsweise BSIG investiert und übersehen, dass die CER-Linie eine eigene, physische All-Gefahren-Logik mitbringt: Naturgefahren, technisches und menschliches Versagen, Sabotage, Terror und hybride Bedrohungen, nicht nur Angriffe auf die IT.

Das führt zu drei Mustern. Erstens wird die Betroffenheit nicht sauber geklärt. Zweitens werden Registrierung und Fristen unterschätzt, obwohl sie an Stichtag und Einstufung gebunden sind. Drittens existieren Notfall- und Kontinuitätspläne auf Papier, sind aber nicht geübt. Tritt dann eine erhebliche Störung ein, fehlt der eingeübte Meldeprozess, und der Bericht muss unter Zeitdruck rekonstruiert werden.

CISO-Einordnung

Der CISO sollte die KRITIS-Resilienz nicht als zweite Compliance-Insel neben dem ISMS führen, sondern als physisch-organisatorische Erweiterung des Steuerungsmodells. In Deutschland gelten zwei komplementäre Ebenen, die nicht vermischt werden dürfen: Cyber-/IT-Sicherheit über BSIG und NIS2 sowie physische All-Gefahren-Resilienz über CER-Richtlinie und KRITIS-Dachgesetz. Viele Betreiber sind von beiden Regimen erfasst.

Das KRITIS-Dachgesetz ist regulatorische Pflicht, kein Zertifizierungsschema: Es sagt, was und wozu zu tun ist. Das Wie liefern Normen wie ISO 22301 (BCM) und ISO 31000 (Risikomanagement) sowie die BSI-Bausteine zu Notfallmanagement und Infrastruktur.

Umsetzungsperspektive

Eine tragfähige Roadmap lässt sich in sechs Etappen führen.

  1. Betroffenheit klären. Primäres Quantitätskriterium ist ein Regel-Schwellenwert von 500.000 versorgten Personen je Anlage, ergänzt um qualitative Einzelfallkriterien wie Interdependenzen, Marktanteil und Versorgungsbedeutung. Sektorale Detailschwellen unterhalb des Regelwerts ergeben sich aus untergesetzlicher Rechtsverordnung und sind dort zu prüfen.

  2. Registrierung und Stand. Sie erfolgt über die gemeinsame Stelle von BBK und BSI, spätestens drei Monate nach Einstufung und frühestens ab dem 17.07.2026. Das KRITIS-Dachgesetz ist geltendes Bundesrecht (Gesetz vom 11.03.2026, BGBl. 2026 I Nr. 66, in Kraft seit 17.03.2026; Ausnahme: Paragraf 14 Absatz 3 bis 5 tritt erst am 01.01.2030 in Kraft; Quelle: gesetze-im-internet.de/kritisdachg); der konkrete Sektor-Zuschnitt ist weiterhin am Gesetzestext zu bestätigen.

  3. Risikoanalyse aufsetzen. Verlangt wird eine systematische All-Gefahren-Bewertung, regelmäßig zu wiederholen, mindestens alle vier Jahre. Kursierende Werte zur erstmaligen Frist nach Einstufung stehen so nicht gesichert im Gesetz und sind am Gesetzestext zu verifizieren. Methodisch trägt hier ISO 31000.

  4. Resilienz- und BCM-Maßnahmen umsetzen. Gefordert sind technische und organisatorische Maßnahmen nach dem All-Gefahren-Ansatz: Objekt- und Zutrittsschutz, Notfall- und Krisenmanagement, Redundanz, Ausfallsicherheit und Ersatzversorgung, Personalsicherheit einschließlich Zuverlässigkeitsüberprüfungen sowie Wiederanlauf und Wiederherstellung. Hier zahlt ein nach ISO 22301 geführtes BCM unmittelbar ein.

  5. Meldeprozess einüben. Erhebliche Störungen sind unverzüglich zu melden, die Erstmeldung spätestens binnen 24 Stunden, der ausführliche Bericht binnen eines Monats. Meldewege, Rollen und Vorlagen müssen die 24-Stunden-Frist auch nachts und am Wochenende halten.

  6. Nachweis führen. Umsetzung und Wirksamkeit sind nachzuweisen, mit Verantwortung auf Leitungsebene; Nachweisturnus und -tiefe sind am Gesetzestext abzugleichen. Die belastbarsten Nachweise entstehen als Nebenprodukt des Regelbetriebs.

Typische Fehler

  1. CER-Resilienz wird mit NIS2-Cyber verwechselt, sodass die physische All-Gefahren-Dimension fehlt.
  2. Die Betroffenheit wird angenommen statt belegt.
  3. Fristen werden an unbestätigten Sekundärquellen statt an der amtlichen Fundstelle ausgerichtet.
  4. Notfall- und Kontinuitätspläne existieren, werden aber nie geübt.
  5. Der Meldeprozess ist nicht 24/7-tauglich.
  6. Nachweise werden kurz vor einer Prüfung erzeugt statt im Betrieb gesammelt.

Risiken und Trade-offs

Wer zu eng plant, schützt die Anlage, vergisst aber Interdependenzen entlang Lieferkette und Versorgung. Wer zu breit plant, überfordert Organisation und Budget und verliert Akzeptanz.

Ein zweiter Trade-off liegt zwischen Doppelaufwand und Synergie: Behörden können bestehende Nachweise teilweise nutzen, etwa Teile der nach BSIG vorgelegten Belege oder branchenspezifische Sicherheitsstandards. Cyber- und physische Resilienz sollten daher gemeinsam gesteuert werden, ohne die rechtlich getrennten Regime zu vermischen. Drittens besteht ein Quellenrisiko: Mehrere Detailfristen und der genaue Sektor-Zuschnitt sind erst am Gesetzestext und an der Rechtsverordnung verbindlich.

Entscheidungspunkte

  • Welche Anlagen stufen wir als kritisch ein, und wie belegen wir das?
  • Wer verantwortet Registrierung, Risikoanalyse, Maßnahmen, Meldung und Nachweis auf Leitungsebene?
  • Führen wir CER-Resilienz und NIS2-Cyber integriert oder getrennt?
  • Welche BCM-Reife brauchen wir, um die 24-Stunden-Meldung sicher zu halten?

Praktische Empfehlungen

  1. Führen Sie ein anlagenbezogenes Betroffenheits- und Fristenregister und verifizieren Sie alle Termine an der amtlichen Quelle.
  2. Verankern Sie die Registrierung als feste Aufgabe mit Owner, ausgerichtet am frühesten Termin 17.07.2026 oder an der Einstufung.
  3. Führen Sie die All-Gefahren-Risikoanalyse nach ISO 31000 mit festem Turnus (mindestens vier Jahre).
  4. Bauen Sie Resilienzmaßnahmen auf einem nach ISO 22301 geführten BCM auf und üben Sie Notfall- und Krisenabläufe.
  5. Machen Sie den Meldeprozess 24/7-tauglich, mit Vorlagen für Erst- und Abschlussmeldung.
  6. Erzeugen Sie Nachweise im Regelbetrieb und berichten Sie Wirksamkeit an die Leitungsebene.

Relevante Normreferenzen

  • Richtlinie (EU) 2022/2557 (CER): EU-Rechtsgrundlage für die Resilienz kritischer Einrichtungen, frei über EUR-Lex.
  • KRITIS-Dachgesetz (KRITIS-DachG): nationale Umsetzung der CER-Richtlinie; geltendes Bundesrecht (Gesetz vom 11.03.2026, BGBl. 2026 I Nr. 66, in Kraft seit 17.03.2026; Ausnahme: Paragraf 14 Absatz 3 bis 5 ab 01.01.2030; amtliche Quelle gesetze-im-internet.de/kritisdachg).
  • ISO 22301: Referenz für Business Continuity Management.
  • ISO 31000: Referenz für Risikomanagement.
  • IT-Grundschutz (BSI): Referenz für Notfall-/Krisenmanagement und physische Sicherheit/Infrastruktur.
  • NIST CSF: konzeptionelle Mapping-Brücke (Govern, Identify, Protect, Detect, Respond, Recover).

Häufige Fragen

Ist KRITIS-Resilienz dasselbe wie NIS2?+

Nein. NIS2 beziehungsweise BSIG adressiert Cyber-/IT-Sicherheit, CER und KRITIS-Dachgesetz die physische All-Gefahren-Resilienz. Viele Betreiber sind von beidem erfasst.

Ab wann müssen wir registrieren?+

Über die gemeinsame Stelle von BBK und BSI spätestens drei Monate nach Einstufung, frühestens ab dem 17.07.2026. Das KRITIS-Dachgesetz selbst ist in Kraft seit 17.03.2026 (Gesetz vom 11.03.2026, BGBl. 2026 I Nr. 66).

Wie schnell muss eine Störung gemeldet werden?+

Unverzüglich; Erstmeldung spätestens binnen 24 Stunden, ausführlicher Bericht binnen eines Monats.

Welche Normen helfen?+

ISO 22301 (BCM), ISO 31000 (Risikomanagement) und die BSI-Bausteine liefern das Wie; das Gesetz liefert das Was.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen KRITIS & CER prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: kritis-008.