Youtube Linkedin Mail-bulk
    Jetzt Mitglied werden!
    Meilenstein 3

    Ausführlicher Bericht

    Spätestens einen Monat nach der Kenntnisnahme des Vorfalls ist ein detaillierter Bericht mit Angaben zu Ursachen und Auswirkungen einzureichen.

    Zurück zur Timeline Übersicht

    Meilenstein 3 - Ausführlicher Bericht

    Nach der ersten Alarmierung folgt die fundierte Aufarbeitung des Ereignisses. Dieser Bericht dient der detaillierten Analyse und bildet die Grundlage für die behördliche Bewertung des Vorfalls.

    Themenbereich Inhalte & Anforderungen User Story & Kriterium
    Frist &
    Dokumentation
    • Frist: Ein ausführlicher Bericht muss spätestens einen Monat nach Kenntnisnahme des Vorfalls eingereicht werden.
    • Umfang: Der Bericht muss präzise Angaben zur Art des Vorfalls, dessen tiefgreifenden Ursachen (Root Cause) und den konkreten Auswirkungen enthalten.
    		 User Story: Als Incident Manager benötige ich ausreichend Zeit für eine fundierte Fehleranalyse, muss aber den detaillierten Abschlussbericht pünktlich liefern.

    Kriterium: Die Root-Cause-Analyse (RCA) ist abgeschlossen und ein formeller Post-Mortem-Bericht liegt der Behörde fristgerecht vor.
    Analyse &
    Zeitliche Einordnung
    • Nutzer- und Gebietsanalyse: Übermittlung detaillierter Informationen zur Anzahl und zum Anteil der betroffenen Nutzer sowie zum geografischen Gebiet.
    • Zeitliche Einordnung: Verbindliche Angaben zur tatsächlichen (oder bei Fortbestehen zur erwarteten) Dauer der Beeinträchtigung.
    		 User Story: Als Datenanalyst muss ich das exakte Schadensausmaß nach dem Vorfall verifizieren, um die gesetzlichen Transparenzanforderungen belastbar zu erfüllen.

    Kriterium: Finale, bereinigte Metriken zu Ausfalldauer, Geografie und Nutzeranteil sind im Abschlussbericht dokumentiert.
    Behördliches
    Feedback
    • Rückkanal: Auf Basis des Berichts kann das BBK sachdienliche Folgeinformationen, wie spezifische Handlungsempfehlungen oder sektorale Warnungen, an den Betreiber senden.
    		 User Story: Als Sicherheitsverantwortlicher möchte ich aus dem externen Feedback des BBK lernen, um unsere Schutzmaßnahmen künftig zielgerichteter anzupassen.

    Kriterium: Behördliche Handlungsempfehlungen werden strukturiert ausgewertet und in den kontinuierlichen Verbesserungsprozess (KVP) des Resilienzplans übernommen.

    Fristen & Meilensteine im Überblick

    Meilenstein Frist / Datumsgrenze User Story & Kriterium
    Registrierungsstart Frühestens ab dem 17.07.2026
    (§ 8 KRITIS-DachG)    		 User Story: Als Betreiber möchte ich den frühestmöglichen Registrierungsstart nutzen, um den Zugang zum behördlichen Portal rechtzeitig einzurichten.
    Kriterium: Portalzugang ist erfolgreich angelegt und verifiziert.
    Registrierungsfrist
    (Bestand)    		 Endet am 17.10.2026 User Story: Als Bestandseinrichtung muss ich die harte Meldefrist wahren, um gesetzliche Sanktionen zu vermeiden.
    Kriterium: Vollständige Registrierung der Einrichtung ist vor Stichtag abgeschlossen.
    Registrierung
    (Neuanlagen)    		 Binnen 3 Monaten nach Feststellung der Betroffenheit User Story: Als neuer Betreiber möchte ich einen klaren Prozess haben, um nach Feststellung der KRITIS-Relevanz fristgerecht zu handeln.
    Kriterium: Registrierung ist als fester Schritt im Inbetriebnahme-Prozess verankert.
    Erste Risikoanalyse Spätestens 9 Monate nach der Registrierung User Story: Als Risikomanager muss ich die initiale Analyse fristgerecht beenden, um die fundierte Basis für alle weiteren Resilienzmaßnahmen zu legen.
    Kriterium: Gefährdungsanalyse ist vollständig dokumentiert und vom Management abgenommen.
    Umsetzung
    Resilienzmaßnahmen    		 Erstmals 10 Monate nach der Registrierung User Story: Als technischer Leiter muss ich die Umsetzung der definierten Maßnahmen steuern, um die physische Härtung der Anlage nachzuweisen.
    Kriterium: Resilienzplan ist implementiert und die Maßnahmen sind operativ wirksam.
    Inzidenz-Meldung Erstmeldung spätestens 24 Stunden nach Kenntnisnahme User Story: Als Mitglied des Krisenteams muss ich bei Vorfällen sofort handlungsfähig sein, um die 24-Stunden-Frist für das initiale Lagebild zu erfüllen.
    Kriterium: Initiale Vorfallmeldung ist erfolgreich an das BSI/BBK abgesetzt.
    Ausführlicher
    Vorfallbericht    		 Spätestens 1 Monat nach der Kenntnisnahme des Vorfalls User Story: Als Incident Manager benötige ich Zeit für eine Ursachenanalyse, muss aber den gesetzlichen Monatsbericht pünktlich einreichen.
    Kriterium: Detaillierter Post-Mortem-Bericht inklusive Abstellmaßnahmen liegt der Behörde vor.
    Regelmäßiger
    Review-Zyklus    		 Mindestens alle 4 Jahre
    (Risikoanalyse & Resilienzplan)    		 User Story: Als Geschäftsführung möchte ich einen festen Audit-Zyklus etablieren, um sicherzustellen, dass unsere Resilienz dauerhaft dem Stand der Technik entspricht.
    Kriterium: Re-Zertifizierung und Prüfung des Plans sind als wiederkehrende Aufgabe im ISMS terminiert.

    Hilfreiche Ressourcen und Verlinkungen

    1. Normen & Standards

    ▶ DIN SPEC 14027
    Beschreibung: Bietet Anforderungen zur Stärkung der physischen Resilienz von Organisationen und dient als fachliche Orientierung.

    🔗 Link: Zu DIN Media (DIN SPEC 14027)

    User Story: Als Sicherheitsverantwortlicher möchte ich die aktuellen Anforderungen kennen, um meine Organisation gezielt nach fachlichen Orientierungen auszurichten.

    • Kriterium: Das Dokument ist beschafft und den zuständigen Planern zugänglich.
    • Kriterium: Eine initiale Gap-Analyse (Soll/Ist-Abgleich) der Prozesse wurde durchgeführt.
    ▶ Nationale Wirtschaftsschutzstrategie
    Beschreibung: Das zentrale Strategiepapier des BMI zur Absicherung der deutschen Wirtschaft gegen Spionage, Sabotage und kriminelle Übergriffe.

    🔗 Link: Zur Nationalen Wirtschaftsschutzstrategie (PDF)

    User Story: Als Risikomanager möchte ich die nationale Strategie einbeziehen, um unser Bedrohungsmodell an die aktuelle staatliche Gefährdungslage anzupassen.

    • Kriterium: Die Strategie wurde analysiert und relevante Handlungsempfehlungen für das Unternehmen wurden identifiziert.
    • Kriterium: Interne Sicherheitskonzepte wurden mit den Zielen der Wirtschaftsschutzstrategie abgeglichen.
    ▶ VfS FAQ zum KRITIS-Dachgesetz
    Beschreibung: Praxisnahe Fragen und Antworten rund um das KRITIS-Dachgesetz und die Anforderungen an Betreiber.

    🔗 Link: Zu den VfS KRITIS-FAQ

    User Story: Als Betreiber möchte ich Antworten auf gängige Praxisfragen erhalten, um Unklarheiten bei der Gesetzesauslegung effizient zu beseitigen.

    • Kriterium: Die FAQ werden regelmäßig zur Klärung interner Fragestellungen herangezogen.
    • Kriterium: Erkenntnisse aus den FAQ fließen direkt in die interne Maßnahmenplanung ein.
    ▶ Planungshandbuch „Physische Sicherheit“
    Beschreibung: Speziell der Band „Perimetersicherung“ bietet konkrete Hilfe für die technische Umsetzung der Anforderungen.

    🔗 Link: Zu den VfS-Publikationen & Handbüchern

    User Story: Als technischer Planer möchte ich konkrete bauliche Vorgaben erhalten, um unsere Liegenschaften normgerecht abzusichern.

    • Kriterium: Der Band „Perimetersicherung“ liegt der technischen Planungsabteilung vor.
    • Kriterium: Aktuelle Schutzmaßnahmen am Perimeter wurden gegen die Empfehlungen des Handbuchs evaluiert.

    2. Organisationen & Behörden

    ▶ BMI (Bundesministerium des Innern und für Heimat)
    Beschreibung: Federführendes Ministerium für das KRITIS-Dachgesetz und zuständig für die strategische Ausrichtung der inneren Sicherheit.

    🔗 Link: Zum BMI: Kritische Infrastrukturen

    User Story: Als Compliance-Verantwortlicher möchte ich die strategischen Leitlinien des Ministeriums kennen, um die langfristige Konformität sicherzustellen.

    • Kriterium: Strategische Veröffentlichungen des BMI werden im Management-Review berücksichtigt.
    • Kriterium: Die gesetzlichen Rahmenbedingungen werden kontinuierlich auf Aktualisierungen durch das Ministerium überwacht.
    ▶ BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)
    Beschreibung: Die zuständige Behörde für die Koordination und Prüfung der Resilienzpläne.

    🔗 Link: Zum BBK: Kritische Infrastrukturen

    User Story: Als Betreiber möchte ich die behördlichen Anforderungen exakt kennen, um eine erfolgreiche Prüfung unserer Resilienzpläne sicherzustellen.

    • Kriterium: Die aktuellen Leitfäden des BBK zur Resilienzplanung wurden systematisch gesichtet.
    • Kriterium: Ein interner Resilienzplan ist erstellt und orientiert sich strikt an den BBK-Vorgaben.
    ▶ BSI (Bundesamt für Sicherheit in der Informationstechnik)
    Beschreibung: Betreiber des gemeinsamen Meldeportals für IT- und physische Vorfälle.

    🔗 Link: Zum BSI: Kritische Infrastrukturen

    User Story: Als Meldepflichtiger möchte ich das gemeinsame Meldeportal reibungslos bedienen können, damit bei Vorfällen keine wertvolle Zeit verloren geht.

    • Kriterium: Zugänge und Rollenberechtigungen für das Meldeportal sind unternehmensweit eingerichtet.
    • Kriterium: Die interne 24/7-Meldekette ist definiert und mindestens einmal erfolgreich getestet.
    ▶ VfS (Verband für Sicherheitstechnik e.V.)
    Beschreibung: Bietet Unterstützung durch den Arbeitskreis KRITIS und stellt praxisnahes Orientierungswissen bereit.

    🔗 Link: Zum VfS: Themenschwerpunkt KRITIS

    User Story: Als Sicherheitsfachkraft möchte ich mich vernetzen, um von Best Practices des Arbeitskreises KRITIS zu profitieren.

    • Kriterium: Orientierungswissen und Publikationen des AK KRITIS werden als Maßstab genutzt.
    • Kriterium: Eine Mitgliedschaft oder Entsendung eines Mitarbeiters in den Verband wurde evaluiert.

    Kontakt

    • Eulenkrugstraße 7, 22359 Hamburg
    • +49 40 21970010
    • info@vfs-hh.de

    Mitgliedschaft im Verband

    Ihr Vorteil

    Wir informieren umfassend und produktunabhängig über neue Entwicklungen in der Sicherheitstechnik. Dabei stehen die Bedürfnisse der Anwender/Nutzer im Vordergrund. Aktuelle Entwicklungen bei Bedrohungsszenarien, technischer Fortschritt bei der Entwicklung sicherheitstechnischer Anlagen, gültige Richtlinien und organisatorische Abhängigkeiten bestimmen die Inhalte unserer Informationsveranstaltungen.

    Mehr Erfahren
    Copyright © 2026 Verband für Sicherheitstechnik e.V.
    All rights reserved.

    Nützliches

    Kontaktinformationen

    Impressum

    Datenschutz

    Kontakt

    Linkedin