Youtube Linkedin Mail-bulk
    Jetzt Mitglied werden!
    Meilenstein 1

    Kontinuierliches Resilienzmanagement

    Das Gesetz verlangt ein dauerhaftes und zyklisches Vorgehen statt punktueller EinzelmaßnahmenResilienz wird so zur unternehmerischen Selbstverpflichtung.

    Zurück zur Timeline Übersicht

    Meilenstein 1 - Kontinuierliches Resilienzmanagement

    Resilienz wird durch das KRITIS-Dachgesetz von einer rein regulatorischen Pflicht zu einer dauerhaften unternehmerischen Strategie. Es geht nicht mehr um punktuelle Einzelmaßnahmen, sondern um die Etablierung eines lebendigen Systems.

    Themenbereich Inhalte & Anforderungen User Story & Kriterium
    Zyklischer Prozess &
    Verankerung
    • Regelprozess: Gesetzliche Pflicht zur Einrichtung eines regelmäßigen und strukturierten Resilienzmanagementprozesses (§ 13 KRITIS-DachG).
    • Dauerhafte Verpflichtung: Statt einmaliger Checklisten wird ein dauerhaftes Vorgehen verlangt, das tief in der Unternehmensorganisation verankert ist.
    		 User Story: Als Management-Beauftragter möchte ich Resilienz als kontinuierlichen Prozess etablieren, um die fortlaufende Gesetzeskonformität im Alltag sicherzustellen.

    Kriterium: Ein Managementsystem für physische Resilienz ist implementiert und als fester Regelbetrieb in die Unternehmensorganisation integriert.
    Selbstverpflichtung &
    Maßnahmenpflicht
    • Selbstverpflichtung: Resilienz gilt als unternehmerische, gesellschaftliche und persönliche Pflicht zur Gewährleistung der Versorgungssicherheit.
    • Konkrete Handlung: Es gilt eine ausdrückliche Zielvorgabe mit konkreter Maßnahmenpflicht, die über eine rein formale Organisationspflicht hinausgeht.
    		 User Story: Als technischer Leiter möchte ich klare Handlungsaufträge aus den Vorgaben ableiten, um echten physischen Schutz statt reiner Papiersicherheit zu schaffen.

    Kriterium: Die Geschäftsführung hat Budgets sowie Zuständigkeiten für die faktische Umsetzung operativer und baulicher Schutzmaßnahmen freigegeben.
    Strategischer
    Wettbewerbsvorteil
    • Marktpositionierung: Unternehmen, die Resilienz frühzeitig in ihre Prozesse integrieren, steigern ihre Robustheit sowie Glaubwürdigkeit und sichern sich einen substanziellen Wettbewerbsvorteil.
    		 User Story: Als Vertriebsleiter möchte ich die nachgewiesene Resilienz unserer Anlagen nutzen, um das Vertrauen von Kunden und Partnern in unsere Lieferfähigkeit zu stärken.

    Kriterium: Die erfolgreich umgesetzte KRITIS-Compliance wird als Qualitätsmerkmal in der Unternehmenskommunikation und bei Vertragsverhandlungen eingesetzt.

    Fristen & Meilensteine im Überblick

    Meilenstein Frist / Datumsgrenze User Story & Kriterium
    Registrierungsstart Frühestens ab dem 17.07.2026
    (§ 8 KRITIS-DachG)    		 User Story: Als Betreiber möchte ich den frühestmöglichen Registrierungsstart nutzen, um den Zugang zum behördlichen Portal rechtzeitig einzurichten.
    Kriterium: Portalzugang ist erfolgreich angelegt und verifiziert.
    Registrierungsfrist
    (Bestand)    		 Endet am 17.10.2026 User Story: Als Bestandseinrichtung muss ich die harte Meldefrist wahren, um gesetzliche Sanktionen zu vermeiden.
    Kriterium: Vollständige Registrierung der Einrichtung ist vor Stichtag abgeschlossen.
    Registrierung
    (Neuanlagen)    		 Binnen 3 Monaten nach Feststellung der Betroffenheit User Story: Als neuer Betreiber möchte ich einen klaren Prozess haben, um nach Feststellung der KRITIS-Relevanz fristgerecht zu handeln.
    Kriterium: Registrierung ist als fester Schritt im Inbetriebnahme-Prozess verankert.
    Erste Risikoanalyse Spätestens 9 Monate nach der Registrierung User Story: Als Risikomanager muss ich die initiale Analyse fristgerecht beenden, um die fundierte Basis für alle weiteren Resilienzmaßnahmen zu legen.
    Kriterium: Gefährdungsanalyse ist vollständig dokumentiert und vom Management abgenommen.
    Umsetzung
    Resilienzmaßnahmen    		 Erstmals 10 Monate nach der Registrierung User Story: Als technischer Leiter muss ich die Umsetzung der definierten Maßnahmen steuern, um die physische Härtung der Anlage nachzuweisen.
    Kriterium: Resilienzplan ist implementiert und die Maßnahmen sind operativ wirksam.
    Inzidenz-Meldung Erstmeldung spätestens 24 Stunden nach Kenntnisnahme User Story: Als Mitglied des Krisenteams muss ich bei Vorfällen sofort handlungsfähig sein, um die 24-Stunden-Frist für das initiale Lagebild zu erfüllen.
    Kriterium: Initiale Vorfallmeldung ist erfolgreich an das BSI/BBK abgesetzt.
    Ausführlicher
    Vorfallbericht    		 Spätestens 1 Monat nach der Kenntnisnahme des Vorfalls User Story: Als Incident Manager benötige ich Zeit für eine Ursachenanalyse, muss aber den gesetzlichen Monatsbericht pünktlich einreichen.
    Kriterium: Detaillierter Post-Mortem-Bericht inklusive Abstellmaßnahmen liegt der Behörde vor.
    Regelmäßiger
    Review-Zyklus    		 Mindestens alle 4 Jahre
    (Risikoanalyse & Resilienzplan)    		 User Story: Als Geschäftsführung möchte ich einen festen Audit-Zyklus etablieren, um sicherzustellen, dass unsere Resilienz dauerhaft dem Stand der Technik entspricht.
    Kriterium: Re-Zertifizierung und Prüfung des Plans sind als wiederkehrende Aufgabe im ISMS terminiert.

    Hilfreiche Ressourcen und Verlinkungen

    1. Normen & Standards

    ▶ DIN SPEC 14027
    Beschreibung: Bietet Anforderungen zur Stärkung der physischen Resilienz von Organisationen und dient als fachliche Orientierung.

    🔗 Link: Zu DIN Media (DIN SPEC 14027)

    User Story: Als Sicherheitsverantwortlicher möchte ich die aktuellen Anforderungen kennen, um meine Organisation gezielt nach fachlichen Orientierungen auszurichten.

    • Kriterium: Das Dokument ist beschafft und den zuständigen Planern zugänglich.
    • Kriterium: Eine initiale Gap-Analyse (Soll/Ist-Abgleich) der Prozesse wurde durchgeführt.
    ▶ Nationale Wirtschaftsschutzstrategie
    Beschreibung: Das zentrale Strategiepapier des BMI zur Absicherung der deutschen Wirtschaft gegen Spionage, Sabotage und kriminelle Übergriffe.

    🔗 Link: Zur Nationalen Wirtschaftsschutzstrategie (PDF)

    User Story: Als Risikomanager möchte ich die nationale Strategie einbeziehen, um unser Bedrohungsmodell an die aktuelle staatliche Gefährdungslage anzupassen.

    • Kriterium: Die Strategie wurde analysiert und relevante Handlungsempfehlungen für das Unternehmen wurden identifiziert.
    • Kriterium: Interne Sicherheitskonzepte wurden mit den Zielen der Wirtschaftsschutzstrategie abgeglichen.
    ▶ VfS FAQ zum KRITIS-Dachgesetz
    Beschreibung: Praxisnahe Fragen und Antworten rund um das KRITIS-Dachgesetz und die Anforderungen an Betreiber.

    🔗 Link: Zu den VfS KRITIS-FAQ

    User Story: Als Betreiber möchte ich Antworten auf gängige Praxisfragen erhalten, um Unklarheiten bei der Gesetzesauslegung effizient zu beseitigen.

    • Kriterium: Die FAQ werden regelmäßig zur Klärung interner Fragestellungen herangezogen.
    • Kriterium: Erkenntnisse aus den FAQ fließen direkt in die interne Maßnahmenplanung ein.
    ▶ Planungshandbuch „Physische Sicherheit“
    Beschreibung: Speziell der Band „Perimetersicherung“ bietet konkrete Hilfe für die technische Umsetzung der Anforderungen.

    🔗 Link: Zu den VfS-Publikationen & Handbüchern

    User Story: Als technischer Planer möchte ich konkrete bauliche Vorgaben erhalten, um unsere Liegenschaften normgerecht abzusichern.

    • Kriterium: Der Band „Perimetersicherung“ liegt der technischen Planungsabteilung vor.
    • Kriterium: Aktuelle Schutzmaßnahmen am Perimeter wurden gegen die Empfehlungen des Handbuchs evaluiert.

    2. Organisationen & Behörden

    ▶ BMI (Bundesministerium des Innern und für Heimat)
    Beschreibung: Federführendes Ministerium für das KRITIS-Dachgesetz und zuständig für die strategische Ausrichtung der inneren Sicherheit.

    🔗 Link: Zum BMI: Kritische Infrastrukturen

    User Story: Als Compliance-Verantwortlicher möchte ich die strategischen Leitlinien des Ministeriums kennen, um die langfristige Konformität sicherzustellen.

    • Kriterium: Strategische Veröffentlichungen des BMI werden im Management-Review berücksichtigt.
    • Kriterium: Die gesetzlichen Rahmenbedingungen werden kontinuierlich auf Aktualisierungen durch das Ministerium überwacht.
    ▶ BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)
    Beschreibung: Die zuständige Behörde für die Koordination und Prüfung der Resilienzpläne.

    🔗 Link: Zum BBK: Kritische Infrastrukturen

    User Story: Als Betreiber möchte ich die behördlichen Anforderungen exakt kennen, um eine erfolgreiche Prüfung unserer Resilienzpläne sicherzustellen.

    • Kriterium: Die aktuellen Leitfäden des BBK zur Resilienzplanung wurden systematisch gesichtet.
    • Kriterium: Ein interner Resilienzplan ist erstellt und orientiert sich strikt an den BBK-Vorgaben.
    ▶ BSI (Bundesamt für Sicherheit in der Informationstechnik)
    Beschreibung: Betreiber des gemeinsamen Meldeportals für IT- und physische Vorfälle.

    🔗 Link: Zum BSI: Kritische Infrastrukturen

    User Story: Als Meldepflichtiger möchte ich das gemeinsame Meldeportal reibungslos bedienen können, damit bei Vorfällen keine wertvolle Zeit verloren geht.

    • Kriterium: Zugänge und Rollenberechtigungen für das Meldeportal sind unternehmensweit eingerichtet.
    • Kriterium: Die interne 24/7-Meldekette ist definiert und mindestens einmal erfolgreich getestet.
    ▶ VfS (Verband für Sicherheitstechnik e.V.)
    Beschreibung: Bietet Unterstützung durch den Arbeitskreis KRITIS und stellt praxisnahes Orientierungswissen bereit.

    🔗 Link: Zum VfS: Themenschwerpunkt KRITIS

    User Story: Als Sicherheitsfachkraft möchte ich mich vernetzen, um von Best Practices des Arbeitskreises KRITIS zu profitieren.

    • Kriterium: Orientierungswissen und Publikationen des AK KRITIS werden als Maßstab genutzt.
    • Kriterium: Eine Mitgliedschaft oder Entsendung eines Mitarbeiters in den Verband wurde evaluiert.

    Kontakt

    • Eulenkrugstraße 7, 22359 Hamburg
    • +49 40 21970010
    • info@vfs-hh.de

    Mitgliedschaft im Verband

    Ihr Vorteil

    Wir informieren umfassend und produktunabhängig über neue Entwicklungen in der Sicherheitstechnik. Dabei stehen die Bedürfnisse der Anwender/Nutzer im Vordergrund. Aktuelle Entwicklungen bei Bedrohungsszenarien, technischer Fortschritt bei der Entwicklung sicherheitstechnischer Anlagen, gültige Richtlinien und organisatorische Abhängigkeiten bestimmen die Inhalte unserer Informationsveranstaltungen.

    Mehr Erfahren
    Copyright © 2026 Verband für Sicherheitstechnik e.V.
    All rights reserved.

    Nützliches

    Kontaktinformationen

    Impressum

    Datenschutz

    Kontakt

    Linkedin