Youtube Linkedin Mail-bulk
    Jetzt Mitglied werden!
    Meilenstein 3

    Betreiberseitige Risikoanalyse (§ 12 KRITISDachG)

    Spätestens neun Monate nach der Registrierung ist die erste systematische Risikoanalyse zu erstellen und dem BBK zu meldenDiese muss Gefährdungen, Verwundbarkeiten und Abhängigkeiten erfassen.

    Zurück zur Timeline Übersicht

    Meilenstein 3: Betreiberseitige Risikoanalyse (§ 12 KRITISDachG)

    Die Risikoanalyse ist kein Selbstzweck, sondern bildet das methodische Fundament für Ihr gesamtes Resilienzmanagement. Sie dient der systematischen Bestimmung von Risiken , die gesetzlich als Kombination aus Schadensausmaß und Eintrittswahrscheinlichkeit definiert sind.

    Themenbereich Inhalte & Anforderungen User Story & Kriterium
    Frist &
    Methodik
    • Frist: Spätestens 9 Monate nach der Registrierung muss die erste Risikoanalyse erstellt und dem BBK gemeldet werden.
    • Methodische Grundlage: Die interne Analyse muss zwingend auf den nationalen Risikoanalysen aufbauen, die das BBK zur Verfügung stellt.
    		 User Story: Als Risikomanager brauche ich eine verbindliche methodische Basis, um die Analyse fristgerecht und behördenkonform abzuschließen.

    Kriterium: Nationale BBK-Risikoanalysen sind als Grundlage dokumentiert und die 9-Monats-Frist ist eingehalten.
    All-Gefahren-Ansatz &
    Erfassung
    • Breites Spektrum: Berücksichtigung von Naturgefahren, technischem Versagen, menschlichem Fehlverhalten, hybriden Bedrohungen und Terrorismus.
    • Systematik: Detaillierte Dokumentation von Gefährdungen und den daraus resultierenden Verwundbarkeiten.
    		 User Story: Als Sicherheitsbeauftragter möchte ich Bedrohungen ganzheitlich (360-Grad-Blick) erfassen, um keine blinden Flecken in der Prävention zu haben.

    Kriterium: Die Gefährdungsmatrix deckt alle vom Gesetzgeber geforderten Risikokategorien lückenlos ab.
    Abhängigkeiten &
    Kaskadeneffekte
    • Eigene Abhängigkeit: Analyse der Abhängigkeit von anderen KRITIS-Betreibern (auch international).
    • Fremde Abhängigkeit: Bewertung der Abhängigkeit Dritter von der eigenen Dienstleistung.
    • Besonderheit: Maritime Infrastrukturen müssen gesondert in der Analyse berücksichtigt werden.
    		 User Story: Als Supply-Chain-Verantwortlicher muss ich kritische Knotenpunkte kennen, um Kaskadeneffekte in der Lieferkette frühzeitig abzufedern.

    Kriterium: Kritische Pfade zu Vorlieferanten und Abnehmern (inklusive maritimer Berührungspunkte) sind identifiziert und bewertet.
    Ziel der
    Analyse
    • Investitionsgrundlage: Ergebnisse münden in eine dokumentierte Risikobewertung. Diese dient als Basis für die Priorisierung von Schutzmaßnahmen und konkrete Investitionsentscheidungen.
    		 User Story: Als Geschäftsführung benötige ich eine belastbare und priorisierte Auswertung, um Budgets für Schutzmaßnahmen strategisch richtig allokieren zu können.

    Kriterium: Risikobewertung liegt als formell freigegebenes Dokument für das Investitions-Controlling vor.

    Fristen & Meilensteine im Überblick

    Meilenstein Frist / Datumsgrenze User Story & Kriterium
    Registrierungsstart Frühestens ab dem 17.07.2026
    (§ 8 KRITIS-DachG)    		 User Story: Als Betreiber möchte ich den frühestmöglichen Registrierungsstart nutzen, um den Zugang zum behördlichen Portal rechtzeitig einzurichten.
    Kriterium: Portalzugang ist erfolgreich angelegt und verifiziert.
    Registrierungsfrist
    (Bestand)    		 Endet am 17.10.2026 User Story: Als Bestandseinrichtung muss ich die harte Meldefrist wahren, um gesetzliche Sanktionen zu vermeiden.
    Kriterium: Vollständige Registrierung der Einrichtung ist vor Stichtag abgeschlossen.
    Registrierung
    (Neuanlagen)    		 Binnen 3 Monaten nach Feststellung der Betroffenheit User Story: Als neuer Betreiber möchte ich einen klaren Prozess haben, um nach Feststellung der KRITIS-Relevanz fristgerecht zu handeln.
    Kriterium: Registrierung ist als fester Schritt im Inbetriebnahme-Prozess verankert.
    Erste Risikoanalyse Spätestens 9 Monate nach der Registrierung User Story: Als Risikomanager muss ich die initiale Analyse fristgerecht beenden, um die fundierte Basis für alle weiteren Resilienzmaßnahmen zu legen.
    Kriterium: Gefährdungsanalyse ist vollständig dokumentiert und vom Management abgenommen.
    Umsetzung
    Resilienzmaßnahmen    		 Erstmals 10 Monate nach der Registrierung User Story: Als technischer Leiter muss ich die Umsetzung der definierten Maßnahmen steuern, um die physische Härtung der Anlage nachzuweisen.
    Kriterium: Resilienzplan ist implementiert und die Maßnahmen sind operativ wirksam.
    Inzidenz-Meldung Erstmeldung spätestens 24 Stunden nach Kenntnisnahme User Story: Als Mitglied des Krisenteams muss ich bei Vorfällen sofort handlungsfähig sein, um die 24-Stunden-Frist für das initiale Lagebild zu erfüllen.
    Kriterium: Initiale Vorfallmeldung ist erfolgreich an das BSI/BBK abgesetzt.
    Ausführlicher
    Vorfallbericht    		 Spätestens 1 Monat nach der Kenntnisnahme des Vorfalls User Story: Als Incident Manager benötige ich Zeit für eine Ursachenanalyse, muss aber den gesetzlichen Monatsbericht pünktlich einreichen.
    Kriterium: Detaillierter Post-Mortem-Bericht inklusive Abstellmaßnahmen liegt der Behörde vor.
    Regelmäßiger
    Review-Zyklus    		 Mindestens alle 4 Jahre
    (Risikoanalyse & Resilienzplan)    		 User Story: Als Geschäftsführung möchte ich einen festen Audit-Zyklus etablieren, um sicherzustellen, dass unsere Resilienz dauerhaft dem Stand der Technik entspricht.
    Kriterium: Re-Zertifizierung und Prüfung des Plans sind als wiederkehrende Aufgabe im ISMS terminiert.

    Hilfreiche Ressourcen und Verlinkungen

    1. Normen & Standards

    ▶ DIN SPEC 14027
    Beschreibung: Bietet Anforderungen zur Stärkung der physischen Resilienz von Organisationen und dient als fachliche Orientierung.

    🔗 Link: Zu DIN Media (DIN SPEC 14027)

    User Story: Als Sicherheitsverantwortlicher möchte ich die aktuellen Anforderungen kennen, um meine Organisation gezielt nach fachlichen Orientierungen auszurichten.

    • Kriterium: Das Dokument ist beschafft und den zuständigen Planern zugänglich.
    • Kriterium: Eine initiale Gap-Analyse (Soll/Ist-Abgleich) der Prozesse wurde durchgeführt.
    ▶ Nationale Wirtschaftsschutzstrategie
    Beschreibung: Das zentrale Strategiepapier des BMI zur Absicherung der deutschen Wirtschaft gegen Spionage, Sabotage und kriminelle Übergriffe.

    🔗 Link: Zur Nationalen Wirtschaftsschutzstrategie (PDF)

    User Story: Als Risikomanager möchte ich die nationale Strategie einbeziehen, um unser Bedrohungsmodell an die aktuelle staatliche Gefährdungslage anzupassen.

    • Kriterium: Die Strategie wurde analysiert und relevante Handlungsempfehlungen für das Unternehmen wurden identifiziert.
    • Kriterium: Interne Sicherheitskonzepte wurden mit den Zielen der Wirtschaftsschutzstrategie abgeglichen.
    ▶ VfS FAQ zum KRITIS-Dachgesetz
    Beschreibung: Praxisnahe Fragen und Antworten rund um das KRITIS-Dachgesetz und die Anforderungen an Betreiber.

    🔗 Link: Zu den VfS KRITIS-FAQ

    User Story: Als Betreiber möchte ich Antworten auf gängige Praxisfragen erhalten, um Unklarheiten bei der Gesetzesauslegung effizient zu beseitigen.

    • Kriterium: Die FAQ werden regelmäßig zur Klärung interner Fragestellungen herangezogen.
    • Kriterium: Erkenntnisse aus den FAQ fließen direkt in die interne Maßnahmenplanung ein.
    ▶ Planungshandbuch „Physische Sicherheit“
    Beschreibung: Speziell der Band „Perimetersicherung“ bietet konkrete Hilfe für die technische Umsetzung der Anforderungen.

    🔗 Link: Zu den VfS-Publikationen & Handbüchern

    User Story: Als technischer Planer möchte ich konkrete bauliche Vorgaben erhalten, um unsere Liegenschaften normgerecht abzusichern.

    • Kriterium: Der Band „Perimetersicherung“ liegt der technischen Planungsabteilung vor.
    • Kriterium: Aktuelle Schutzmaßnahmen am Perimeter wurden gegen die Empfehlungen des Handbuchs evaluiert.

    2. Organisationen & Behörden

    ▶ BMI (Bundesministerium des Innern und für Heimat)
    Beschreibung: Federführendes Ministerium für das KRITIS-Dachgesetz und zuständig für die strategische Ausrichtung der inneren Sicherheit.

    🔗 Link: Zum BMI: Kritische Infrastrukturen

    User Story: Als Compliance-Verantwortlicher möchte ich die strategischen Leitlinien des Ministeriums kennen, um die langfristige Konformität sicherzustellen.

    • Kriterium: Strategische Veröffentlichungen des BMI werden im Management-Review berücksichtigt.
    • Kriterium: Die gesetzlichen Rahmenbedingungen werden kontinuierlich auf Aktualisierungen durch das Ministerium überwacht.
    ▶ BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)
    Beschreibung: Die zuständige Behörde für die Koordination und Prüfung der Resilienzpläne.

    🔗 Link: Zum BBK: Kritische Infrastrukturen

    User Story: Als Betreiber möchte ich die behördlichen Anforderungen exakt kennen, um eine erfolgreiche Prüfung unserer Resilienzpläne sicherzustellen.

    • Kriterium: Die aktuellen Leitfäden des BBK zur Resilienzplanung wurden systematisch gesichtet.
    • Kriterium: Ein interner Resilienzplan ist erstellt und orientiert sich strikt an den BBK-Vorgaben.
    ▶ BSI (Bundesamt für Sicherheit in der Informationstechnik)
    Beschreibung: Betreiber des gemeinsamen Meldeportals für IT- und physische Vorfälle.

    🔗 Link: Zum BSI: Kritische Infrastrukturen

    User Story: Als Meldepflichtiger möchte ich das gemeinsame Meldeportal reibungslos bedienen können, damit bei Vorfällen keine wertvolle Zeit verloren geht.

    • Kriterium: Zugänge und Rollenberechtigungen für das Meldeportal sind unternehmensweit eingerichtet.
    • Kriterium: Die interne 24/7-Meldekette ist definiert und mindestens einmal erfolgreich getestet.
    ▶ VfS (Verband für Sicherheitstechnik e.V.)
    Beschreibung: Bietet Unterstützung durch den Arbeitskreis KRITIS und stellt praxisnahes Orientierungswissen bereit.

    🔗 Link: Zum VfS: Themenschwerpunkt KRITIS

    User Story: Als Sicherheitsfachkraft möchte ich mich vernetzen, um von Best Practices des Arbeitskreises KRITIS zu profitieren.

    • Kriterium: Orientierungswissen und Publikationen des AK KRITIS werden als Maßstab genutzt.
    • Kriterium: Eine Mitgliedschaft oder Entsendung eines Mitarbeiters in den Verband wurde evaluiert.

    Kontakt

    • Eulenkrugstraße 7, 22359 Hamburg
    • +49 40 21970010
    • info@vfs-hh.de

    Mitgliedschaft im Verband

    Ihr Vorteil

    Wir informieren umfassend und produktunabhängig über neue Entwicklungen in der Sicherheitstechnik. Dabei stehen die Bedürfnisse der Anwender/Nutzer im Vordergrund. Aktuelle Entwicklungen bei Bedrohungsszenarien, technischer Fortschritt bei der Entwicklung sicherheitstechnischer Anlagen, gültige Richtlinien und organisatorische Abhängigkeiten bestimmen die Inhalte unserer Informationsveranstaltungen.

    Mehr Erfahren
    Copyright © 2026 Verband für Sicherheitstechnik e.V.
    All rights reserved.

    Nützliches

    Kontaktinformationen

    Impressum

    Datenschutz

    Kontakt

    Linkedin