Der Schutz kritischer Infrastrukturen und die Resilienz kritischer Einrichtungen

Zum letzten Mal aktualisiert am

1. Einleitung

Im Zentrum des nationalen Sicherheit steht die Wahrung der lebenswichtigen Interessen und grundlegenden Bedürfnisse des Landes und der Bevölkerung durch die Aufrechterhaltung lebenswichtiger gesellschaftlicher Funktionen.

Die für diese Funktionen erforderlichen wesentlichen Dienste beruhen auf kritischen Infrastrukturen, die von kritischen Einrichtungen betrieben werden. Ihre Nichtverfügbarkeit kann schwerwiegende Störungen oder sogar eine Krise verursachen und Gesellschaft, Wirtschaft oder die Sicherheit des Landes beeinträchtigen.

Diese miteinander vernetzten und voneinander abhängigen Infrastrukturen sind vielfältigen Risiken ausgesetzt – natürlichen, technologischen, menschlichen oder cyberbezogenen Risiken –, die ihre Funktionsfähigkeit oder Kontinuität beeinträchtigen können.

Vor diesem Hintergrund beruht die Resilienz kritischer Einrichtungen auf einem ganzheitlichen Ansatz, der darauf abzielt, Störungen vorzubeugen, ihre Auswirkungen zu begrenzen und die Kontinuität wesentlicher Dienste auch in Krisensituationen sicherzustellen.

Sie stellt somit eine zentrale Säule der nationalen Sicherheit dar und trägt unmittelbar zur Aufrechterhaltung lebenswichtiger gesellschaftlicher Funktionen sowie zum Schutz der lebenswichtigen Interessen und grundlegenden Bedürfnisse des Landes und der Bevölkerung bei.

2. Referenzrahmen

2.1. Nationaler Kontext

Auf nationaler Ebene ist die Resilienz kritischer Einrichtungen Bestandteil des nationalen Sicherheitskonzepts. Das Hochkommissariat für nationale Sicherheit übernimmt eine zentrale Koordinierungsrolle im Rahmen eines gesamtstaatlichen Ansatzes unter Einbindung der zuständigen Behörden, sektoralen und funktionalen Behörden sowie der betroffenen kritischen Einrichtungen.

2.2. Europäischer Kontext

Auf Ebene der European Union schafft die CER-Richtlinie einen gemeinsamen All-Gefahren-Ansatz, ergänzt durch Anforderungen im Bereich der Cybersicherheit. Ziel ist es, die Kontinuität wesentlicher Dienste im Binnenmarkt sicherzustellen.

2.3. NATO-Kontext

Im Rahmen der NATO unterstützt die Resilienz kritischer Infrastrukturen die zivile Vorsorge – verstanden als Fähigkeit, die Kontinuität staatlicher Funktionen, die Erbringung wesentlicher Dienste für die Bevölkerung sowie die zivile Unterstützung militärischer Operationen sicherzustellen – und trägt damit zur nationalen und kollektiven Resilienz bei.

3. Governance und Strategie

Die Governance der Resilienz kritischer Einrichtungen basiert auf einem strukturierten Rahmen, der sich aus der CER-Richtlinie ergibt und durch das nationale Gesetz vom 5. Mai 2026 über die Resilienz kritischer Einrichtungen umgesetzt wurde. Dieser Rahmen wird durch die Nationale Resilienzstrategie sowie die Strategie zur Stärkung der Resilienz kritischer Einrichtungen konkretisiert. Er basiert auf einem mehrjährigen strategischen Zyklus, der Risikoanalysen, die Erfassung kritischer Einrichtungen, die Umsetzung von Resilienzmaßnahmen sowie Unterstützungs- und Aufsichtsmaßnahmen umfasst.

Die Strategie zur Stärkung der Resilienz kritischer Einrichtungen bildet den nationalen Umsetzungsrahmen der CER-Richtlinie. Sie definiert die strategischen Ziele, Prioritäten, Governance-Strukturen, Prozesse zur Risikobewertung, die Erfassung kritischer Einrichtungen sowie die Modalitäten für Unterstützung, Aufsicht und Koordinierung mit anderen relevanten Rahmenwerken, insbesondere im Bereich der Cybersicherheit.

Eine eigene Seite erläutert diese Strategie im Detail.

4. Risikobewertung und Erfassung

Die Risikobewertung identifiziert Bedrohungen, Schwachstellen, Abhängigkeiten und Wechselwirkungen, die die Erbringung wesentlicher Dienste beeinträchtigen können. Sie umfasst Risiken natürlichen, technologischen, menschlichen oder vorsätzlichen Ursprungs und stützt sich insbesondere auf sektorale Risikobewertungen sowie auf die Analyse gemeldeter Vorfälle.

Die Erfassung dient der Identifizierung von Einrichtungen, deren Infrastrukturversagen im Sinne des nationalen Sicherheitskonzepts eine Krise verursachen könnte. Sie basiert auf einer Analyse potenzieller Störwirkungen, anhand derer Umfang, Dauer und Tragweite bewertet werden können. Die Kritikalitätskriterien spiegeln somit das mit diesen Auswirkungen verbundene Krisenpotenzial wider.

5. Sicherheits- und Resilienzmaßnahmen

Kritische Einrichtungen setzen angemessene und verhältnismäßige technische, organisatorische und sicherheitsbezogene Maßnahmen um, um ihre Resilienz zu gewährleisten. Diese Maßnahmen umfassen insbesondere die Prävention von Vorfällen, den Schutz von Infrastrukturen, die Personalsicherheit, Schulung und Sensibilisierung, Krisenmanagement, Betriebskontinuität, Wiederherstellung sowie Cybersicherheit.

Im Rahmen ihrer jeweiligen Zuständigkeiten gewährleisten die zuständigen CER-Behörden und die zuständigen NIS2-Behörden sowie die sektoralen und funktionalen Behörden gegebenenfalls die Umsetzung, Koordinierung und Unterstützung der erforderlichen Maßnahmen zur Aufrechterhaltung der Kontinuität wesentlicher Dienste.

6. Unterstützung, Aufsicht und Zusammenarbeit

Die Unterstützung kritischer Einrichtungen umfasst Sensibilisierung für Risiken, die Bereitstellung von Leitfäden, die Organisation von Schulungen und Übungen sowie die Förderung von Netzwerken zum Austausch bewährter Verfahren und zur Entwicklung einer Resilienzkultur.

Die Aufsicht basiert auf einem verhältnismäßigen und vertrauensbasierten Ansatz, der Begleitung, Kontrolle und Koordinierung zwischen den zuständigen Behörden kombiniert, einschließlich der Abstimmung zwischen den CER- und NIS2-Rahmenwerken.

Die Resilienz kritischer Infrastrukturen beruht schließlich auf einer engen Zusammenarbeit auf nationaler, europäischer und internationaler Ebene, einschließlich regionaler Rahmenwerke, der NATO sowie Akteuren aus Forschung und Innovation.

7. Normung und Resilienz

Die Normung bleibt im Wesentlichen ein marktgetriebener Prozess. Die Behörden fördern die Anwendung einschlägiger europäischer und internationaler Normen, um eine kohärente und strukturierte Umsetzung von Sicherheits- und Resilienzmaßnahmen zu unterstützen.

Normen zu Business Continuity Management, Krisenmanagement, organisatorischer Resilienz, Risikomanagement und Cybersicherheit stellen anerkannte Referenzrahmen zur Stärkung der Resilienz kritischer Einrichtungen dar.