KRITISCHE INFRASTRUKTUR (KRITIS) 35 DSD 2 | 2023 Krisenmanagement als Herausforderung Von Prof. Dr. AchimWortmann und Prof. Dr. André Röhl „Safe-Coach kann dabei helfen, schnelle und fundierte Entscheidungen zu treffen.“ Prof. Dr. AchimWortmann Die Systematik der Kritischen Infrastrukturen wurde deutlich verändert. Verstärkt sind nun auch KMU betroffen, die nun ein Krisenmanagement implementieren müssen. Ende 2022 traten mit der NIS2-Richtlinie und der CER-Richtlinie zwei EU-Richtlinien in Kraft, welche die Systematik der Kritischen Infrastrukturen (KRITIS) sowie Tiefe und Umfang der verbindlichen Auflagen deutlich verändern werden. Während aktuell von den in Deutschland als KRITIS bezeichneten Unternehmen und Organisationen weniger als 2.000 tatsächlich reguliert werden, kann man davon ausgehen, dass in der Umsetzung der Richtlinien durch neue Sektoren und eine neue Identifizierungslogik nicht nur die Anzahl der KRITIS an sich deutlich ansteigt – einige Schätzungen gehen von bis zu 40.000 neuen KRITIS aus –, sondern auch die Verbindlichkeit der umzusetzenden Maßnahmen sich erhöht. Deutlich mehr Unternehmen gehören jetzt zu KRITIS Und auch wenn die konkrete Ausgestaltung in Deutschland noch aussteht, wird die sinnvolle Abkehr von der bisherigen Schwellenwertlogik zur Folge haben, dass viele tendenziell kleinere Unternehmen – KMU – ohne ein etabliertes Sicherheitsmanagement entsprechende Auflagen werden umsetzen müssen. Hierbei werden Investitionen in die Sicherheit von IT-Systemen und in Sicherheitstechnik, vor allem aber eine organisatorische Grundlage für die Wahrnehmung der entsprechenden Aufgaben notwendig sein. Die CERRichtlinie fordert dabei recht allgemein, dass KRITIS in der Lage sein müssen, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen.“ Einem Modell organisationaler Resilienz folgend ergibt sich daraus zum einen, dass KRITIS sowohl die Widerstands- als auch die Bewältigungsfähigkeit sicherstellen müssen. Zum anderen ergibt sich daraus aber auch die unabdingbare Notwendigkeit, ein funktionierendes Krisenmanagement als Scharnier zwischen Widerstands- und Bewältigungsfähigkeit sicherzustellen. Der Begriff des Krisenmanagements sollte dabei weit gefasst werden. Er beinhaltet nicht nur die Krisenstabsarbeit nach Ausbruch einer Krise, sondern auch die imVorfeld notwendigen Aktivitäten zur Krisenerkennung sowie zur Ausbildung und In-Übung-Haltung. Aktueller Stand des Krisen- managements in Deutschland In zwei explorativ angelegten Studien unmittelbar vor Ausbruch beziehungsweise zu Beginn der Coronapandemie gaben 2019/2020 etwa 75 Prozent der befragten Unternehmen an, dass sie über ein organisiertes Krisenmanagement verfügten. Und tatsächlich lässt sich nach drei Jahren feststellen, dass viele Unternehmen gut durch die zwischenzeitlich als größte gesellschaftliche Krise nach 1945 bezeichnete Pandemie gekommen sind. Allerdings lohnt es sich einmal, genauer hinzuschauen, wie es um das Krisenmanagement in deutschen Unternehmen bestellt ist. Zunächst kann festgehalten werden, dass in den Umfragen immerhin jedes vierte Unternehmen angab, keine Vorkehrungen für einen Krisenfall getroffen zu haben. Gerade die Pandemie hat jedoch gezeigt, wie groß die Abhängigkeiten von Unternehmen untereinander sind und wie unzureichend sich diesemit Regulierungen zu„kritischen Dienstleistungen“ absichern lassen. Es kommt mithin auf jede Organisation an, und das Glas wäre mit 75 Prozent eben nicht voll. Als Nächstes stellt sich die Frage, wie gut eigentlich die jeweilige Krisenorganisation in den betreffenden Unternehmen funktioniert. Begleitende Fragestellungen deuteten darauf hin, dass viele Professor für Wirtschaftspsychologie und Projektverantwortlicher „Safe-Coach“ an der NBS Northern Business School Hamburg und im Institut für Human Resource Management und Organisationspsychologie (HRO) Leiter des Studiengangs Sicherheitsmanagement an der NBS Northern Business School Hamburg und wissenschaftlicher Leiter des Deutschen Instituts für Sicherheit und Krisenvorsorge (DISK) Die Erstveröffentlichung des Beitrags erfolgte in der Ausgabe 05/2023 der Zeitschrift PROTECTOR. www.sicherheit.info Wir bedanken uns für die Abdruckgenehmigung. Prof. Dr. AchimWortmann Prof. Dr. André Röhl
RkJQdWJsaXNoZXIy Mjc4MQ==