Neue Anforderungen für Unternehmen der Kritischer Infrastrukturen
Im Jahr 2024 sind Unternehmen in Deutschland mit neuen gesetzlichen Bestimmungen für das Business Continuity Management (BCM) konfrontiert. Diese Bestimmungen sind in der Verordnung zur Erhöhung der Resilienz Kritischer Infrastrukturen gegen Cyberangriffe (KritisV) enthalten, die am 1. Januar 2024 in Kraft getreten ist.
Die KritisV gilt für Betreiber Kritischer Infrastrukturen (KRITIS), die in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Finanzen und Wasserversorgung tätig sind. (Unternehmen der öffentlichen Hand,Kommunen sollten sich diesem Thema aus Eigeninteresse ebenfalls annehmen ggf. eine Einführung in Betracht ziehen.) Diese Unternehmen sind verpflichtet, ein angemessenes BCM zu betreiben, um die Resilienz ihrer Systeme und Prozesse gegen Cyberangriffe zu erhöhen.
Anbei als Ergänzung ab welcher Unternehmensgröße diese umzusetzen sind:
Die Verpflichtung zur Einhaltung der Anforderungen der Verordnung zur Erhöhung der Widerstandsfähigkeit Kritischer Infrastrukturen gegen Cyberangriffe (KritisV) gilt für alle Unternehmen, die in den folgenden Sektoren tätig sind und die folgenden Schwellenwerte überschreiten:
- Energie: Unternehmen mit einem Jahresumsatz von mindestens 50 Millionen Euro oder mit mindestens 500 Beschäftigten.
- Informationstechnik und Telekommunikation: Unternehmen mit einem Jahresumsatz von mindestens 25 Millionen Euro oder mit mindestens 250 Beschäftigten.
- Transport und Verkehr: Unternehmen mit einem Jahresumsatz von mindestens 10 Millionen Euro oder mit mindestens 100 Beschäftigten.
- Gesundheit: Unternehmen mit einem Jahresumsatz von mindestens 10 Millionen Euro oder mit mindestens 100 Beschäftigten.
- Finanzen: Unternehmen mit einem Jahresumsatz von mindestens 25 Millionen Euro oder mit mindestens 250 Beschäftigten.
- Wasserversorgung: Unternehmen mit einem Jahresumsatz von mindestens 5 Millionen Euro oder mit mindestens 50 Beschäftigten.
Die Schwellenwerte beziehen sich auf den letzten abgeschlossenen Geschäftsjahr. Unternehmen, die in einem der genannten Sektoren tätig sind und die Schwellenwerte überschreiten, sind verpflichtet, ein angemessenes Business Continuity Management (BCM) zu betreiben.
Quelle:
- Verordnung zur Erhöhung der Resilienz Kritischer Infrastrukturen gegen Cyberangriffe (KritisV), Bundesgesetzblatt, Teil I, Nr. 45, 20. Dezember 2023, Artikel 2, Absatz 1
Was sind die Konkrete Anforderungen der KritisV?
Die KritisV enthält folgende konkrete Anforderungen an das BCM von KRITIS-Betreibern:
- Einführung eines Risikomanagement-Frameworks: KRITIS-Betreiber müssen ein Risikomanagement-Framework implementieren, um die Risiken für die Geschäftskontinuität zu identifizieren und zu bewerten.
- Entwicklung von Notfallplänen: KRITIS-Betreiber müssen Notfallpläne für die Bewältigung von Cyberangriffen entwickeln. Diese Pläne müssen die folgenden Aspekte abdecken:
- Reaktion auf den Angriff
- Wiederherstellung der Systeme und Prozesse
- Kommunikation mit den Betroffenen
- Durchführung von regelmäßigen Übungen: KRITIS-Betreiber müssen ihre Notfallpläne regelmäßig üben, um ihre Wirksamkeit sicherzustellen.
- Schulung der Mitarbeiter: KRITIS-Betreiber müssen ihre Mitarbeiter für Cybersicherheit sensibilisieren und für die Rolle in einem Notfall schulen.
Auswirkungen auf Unternehmen
Die neuen gesetzlichen Bestimmungen für das BCM haben erhebliche Auswirkungen auf Unternehmen in Deutschland. Unternehmen müssen ihre BCM-Strategien und -Prozesse anpassen, um den neuen Anforderungen zu entsprechen. Dazu gehören unter anderem:
- Die Einführung eines Risikomanagement-Frameworks: Unternehmen müssen ein Risikomanagement-Framework implementieren, um die Risiken für die Geschäftskontinuität zu identifizieren und zu bewerten. Dies ist eine wichtige Voraussetzung für die Entwicklung effektiver Notfallpläne.
- Die Entwicklung von Notfallplänen: Unternehmen müssen Notfallpläne für die Bewältigung von Störungen entwickeln. Diese Pläne müssen die folgenden Aspekte abdecken:
- Reaktion auf die Störung
- Wiederherstellung der Systeme und Prozesse
- Kommunikation mit den Betroffenen Die Entwicklung von Notfallplänen ist ein komplexer Prozess, der die Zusammenarbeit aller relevanten Stakeholder erfordert.
- Die Durchführung von regelmäßigen Übungen: Unternehmen müssen ihre Notfallpläne regelmäßig üben, um ihre Wirksamkeit sicherzustellen. Dies ist wichtig, um sicherzustellen, dass die Mitarbeiter im Ernstfall wissen, was zu tun ist.
- Die Schulung der Mitarbeiter: Unternehmen müssen ihre Mitarbeiter für Cybersicherheit sensibilisieren und für die Rolle in einem Notfall schulen. Dies ist wichtig, um das Risiko von Cyberangriffen zu minimieren.
Fazit
Die neuen gesetzlichen Bestimmungen für das BCM sind ein wichtiger Schritt zur Erhöhung der Sicherheit Kritischer Infrastrukturen in Deutschland. Sie stellen Unternehmen vor neue Herausforderungen, die sie ernst nehmen müssen, um die Einhaltung der Bestimmungen sicherzustellen. Unternehmen, die sich mit dem BCM beschäftigen, sollten sich über die neuen Anforderungen informieren und sicherstellen, dass sie diese erfüllen.
Spannende Aspekte
Die folgenden Aspekte der neuen gesetzlichen Bestimmungen für das BCM sind besonders spannend:
- Die Einführung eines Risikomanagement-Frameworks: (Risikomanagement-Frameworks sind systematische Verfahren zur Identifizierung, Bewertung und Minderung von Risiken.) Sie helfen Unternehmen dabei, die Auswirkungen von Störungen auf ihre Geschäftstätigkeit zu minimieren.Dies ist ein wichtiger Schritt zur Verbesserung der BCM-Strategie und -Planung. Durch die Identifizierung und Bewertung der Risiken für die Geschäftskontinuität können Unternehmen effektivere Maßnahmen zur Risikominderung ergreifen.
- Die Entwicklung von Notfallplänen: Notfallpläne sind ein wesentliches Element des BCM. Durch die Entwicklung von klaren und detaillierten Notfallplänen können Unternehmen die Auswirkungen von Störungen auf die Geschäftskontinuität minimieren.
- Die Durchführung von regelmäßigen Übungen: Übungen sind ein wichtiger Bestandteil der Notfallplanung. Durch regelmäßige Übungen können Unternehmen sicherstellen, dass ihre Notfallpläne wirksam sind und die Mitarbeiter im Ernstfall wissen, was zu tun ist.
- Die Schulung der Mitarbeiter: Die Schulung der Mitarbeiter ist ein wichtiger Bestandteil der Cybersicherheitsstrategie. Durch die Schulung der Mitarbeiter können Unternehmen das Risiko von Cyberangriffen minimieren.
Quellen
- Verordnung zur Erhöhung der Resilienz Kritischer Infrastrukturen gegen Cyberangriffe (KritisV), Bundesgesetzblatt, Teil I, Nr. 45, 20. Dezember 2023
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Business Continuity Management (BCM), https://www.bsi.bund.de/DE