1. Herr Züche, alle reden über Resilienz. Was bedeutet der Begriff für Sie in der Unternehmenssicherheit?
Resilienz beginnt für mich mit einer sehr einfachen Frage: Was darf in einem Unternehmen nicht ausfallen? Das klingt banal, ist es aber nicht. Sobald man diese Frage ernsthaft stellt, landet man nicht mehr nur bei IT-Systemen, Personalplänen oder Maschinen. Man landet bei Menschen, Standorten, Lieferketten, Entscheidungswegen, Reputation und Vertrauen. Die Unternehmenssicherheit hat sich in den vergangenen Jahren stark verändert. Früher wurde sie oft mit reinem Werksschutz verbunden. Das ist weiterhin wichtig. Mittlerweile geht es aber um mehr. Es geht darum, ob ein Unternehmen unter Unsicherheit in einer unklaren Lage noch führen, produzieren, liefern und glaubwürdig kommunizieren kann. Resilienz ist deshalb kein Modewort. Sie ist die Fähigkeit, unter Druck nicht die Orientierung und Steuerung zu verlieren.
2. Warum muss das Thema auf die Vorstandsebene?
Auf Vorstandsebene werden die unternehmensentscheidenden Fragen geklärt und final entschieden. Wir erleben derzeit eine Welt, in der Unternehmen viel stärker von geopolitischen Entwicklungen betroffen sind als noch vor einigen Jahren. Der Krieg in der Ukraine und im Nahen Osten, Angriffe auf kritische Infrastruktur, Cyberkriminalität, Desinformation, politische Entscheidungen in den USA und China, wirtschaftlicher Druck, sozio-kultureller Wandel. All das bleibt nicht außerhalb der Werkstore. Wenn solche Themen nicht auf Vorstandsebene verstanden und gesteuert werden, reagiert das Unternehmen im Zweifel zu spät. Und in einer Krise ist Zeit immer die kritischste und teuerste Ressource. Die Unternehmenssicherheit, auch im Sinne eines integrierten Sicherheitsmanagement, kann diese Risiken analysieren, Szenarien vorbereiten, Lagen bewerten und Maßnahmen empfehlen. Aber nicht entscheiden, welches Risiko ein Unternehmen strategisch akzeptiert und schon gar nicht selbstständig entscheiden, beispielsweise welche Lieferketten Priorität oder neukonzipiert werden müssten. Aus diesem Grund muss die Unternehmenssicherheit diese Themen bei der Organisationsleitung adressieren.
3. Was verändert die aktuelle geopolitische Lage für Unternehmenssicherheit konkret?
Die aktuellen geopolitischen Situationen verändern vor allem den Blick auf Abhängigkeiten, politische als auch wirtschaftliche. Viele Unternehmen haben sehr lange nach reinen Effizienzkriterien geplant. Globale Lieferketten als just-in-time, schlanke Lagerhaltung, globale Diversifizierung der Standorte, hoch-spezialisierte Zulieferer. Das war wirtschaftlich sinnvoll. Aber jede Effizienz erzeugt auch Verwundbarkeit. Heute muss Unternehmenssicherheit fragen: Welche Route ist kritisch? Welcher Dienstleister ist nicht ersetzbar? Welcher Standort liegt in einem exponierten Umfeld? Welche Informationen wären für Wettbewerber, Kriminelle oder staatlich gelenkte Akteure interessant? Welche Führungskräfte oder Mitarbeitenden sind besonders vulnerabel? Aber auch, wie das Wetter ist. Das ist keine Dramatisierung. Es ist eine nüchterne Lagebeurteilung. Die neue Realität ist, dass Unternehmen von Krisen getroffen werden, obwohl sie selbst nichts falsch gemacht haben. Und wer nichts macht, macht nichts falsch ist dahingehend noch nie die beste Lösung gewesen. Wir erlebten, wie ein havariertes Schiff im Suez-Kanal Lieferengpässe zur Folge hatte. Wir sehen, wie die Schließung der Straße von Hormuz zu explodierenden Kosten führt. Deshalb braucht Unternehmenssicherheit heute einen viel breiteren Blick. Nicht ängstlich, nicht paraniod, aber hellwach mit dem richtigen Maß an situational awareness.
4. Was läuft in Krisen häufig schief und wie relevant ist Krisenmanagement heute?
Heutzutage ist es eine Kernfähigkeit moderner Unternehmen, auch bedingt durch regulatorische Anforderungen wie, zum Beispiel, die NIS2 oder das KRITS-Dachgesetz. Organisationen stehen gleichzeitig unter regulatorischem Druck und realen Bedrohungen durch Cyberangriffe, geopolitische Spannungen oder operativen Ausfällen. Oft wird zu lange in Zuständigkeiten gedacht. Ein Cyberangriff wird zunächst als IT-Thema behandelt. Ein Reputationsproblem als Kommunikationsthema. Ein Lieferantenengpass oder sogar Ausfall als Procurement-Thema. Ein Sicherheitsvorfall als Standortthema. Aber echte Krisen überschreiten diese Grenzen sehr schnell. Dann zeigt sich, ob ein Unternehmen wirklich vorbereitet ist. Moderne Krisen entwickeln eine enorme Eigendynamik. Wenn Unternehmen nur noch reagieren, verlieren sie schnell die Kontrolle über Kommunikation, Entscheidungen und Prioritäten. In der Krise rächt sich Unklarheit. Nicht immer laut, aber sehr konsequent. Entscheidungen dauern zu lange. Informationen kommen zu spät. Die erste Lagemeldung ist immer falsch. Teams arbeiten parallel statt gemeinsam. Nach innen entsteht Unsicherheit, nach außen der schöne Schein. Gute Krisenführung bedeutet nicht, immer sofort die perfekte Antwort zu haben. Gute Krisenführung bedeutet, auch unter Unsicherheit entscheidungsfähig zu bleiben und den Mut zur zweitbesten Entscheidung zu haben.
5. Wie gelingt eine Sicherheitskultur, ohne Angst zu erzeugen?
Menschen folgen selten gern Prozessen. Sie folgen Relevanz und Vertrauen. Ein Punkt, der in Unternehmen häufig unterschätzt wird, ist die sogenannte psychologische Reaktanz. Sobald Menschen das Gefühl haben, Kontrolle zu verlieren oder zu etwas gezwungen zu werden, entsteht innerer Widerstand selbst dann, wenn Maßnahmen als objektiv sinnvoll erachtet werden. Genau deshalb scheitern Sicherheits- oder Krisenprogramme nicht an der Technik, sondern an Kommunikation und Führung. Mitarbeiter müssen verstehen, warum Maßnahmen notwendig sind und welchen Beitrag sie selbst leisten können. Gute Resilienz entsteht nicht durch Angst oder Druck, sondern durch Beteiligung, Vertrauen und Orientierung. Und ehrlicherweise ist gute Stimmung und Vertrauen in Teams oft ein massiver Produktivitäts- und Stabilitätsfaktor. Gerade unter Druck entscheiden Motivation und Zusammenhalt häufig darüber, wie resilient eine Organisation wirklich ist. Eine andere Herausforderung ist, Sicherheit nicht nur als Sicherheitsproblem zu erklären. Vorstände denken nicht in Firewalls oder Notfallplänen. Sie denken in Geschäftsstabilität, Umsatz, Gewinn, Rentabilität, Lieferfähigkeit und Reputation, auch ihre eigene. Genau dort muss modernes Resilienz-Management ansetzen. Für mich ist Resilienz deshalb im Kern die Fähigkeit, die Lücke zwischen dem aktuellen Zustand eines Unternehmens und seiner gewünschten Stabilität zu schließen. Es sollten Lösungen adressiert werden und nicht nur Probleme, denn Vorbereitung ersetzt Angst durch Handlungsfähigkeit. Sicherheitskultur entsteht auch nicht durch 8 Minuten E-Learnings im Jahr. Sie entsteht, wenn Führungskräfte Sicherheit ernst nehmen, wenn Hinweise nicht wegmoderiert werden und wenn nach Vorfällen nicht zuerst Schuldige gesucht werden, sondern Ursachen. Klarheit ohne Angst ist der Kern.
6. Was wäre Ihre wichtigste Botschaft an Vorstände?
Warten Sie nicht auf die Krise, um zu lernen, woran Ihr Unternehmen wirklich hängt. Das ist vielleicht der freundlichste Weckruf, den man geben kann: Resilienz entsteht nicht, wenn der Krisenstab zusammenkommt. Sie entsteht viel früher dort, wo Vorstände entscheiden, welche Standorte, Menschen, Systeme und Lieferketten für das Überleben des Unternehmens unverzichtbar sind. Unternehmenssicherheit ist kein Randthema für schlechte Tage. Sie ist Teil guter Führung an jedem Tag. Denn in der Krise zeigt sich nicht, wie gut ein Unternehmen organisiert ist. Es zeigt sich, wie ernst seine Führung vorher hingesehen hat.
KRITIS-Betreiber werden gemäß §28 Abs. 1 Nr. 1 BSIG automatisch als besonders wichtige Einrichtungen eingestuft und haben damit zusätzlich die entsprechenden Pflichten nach dem BSI-Gesetz zu erfüllen –von verschärften Anforderungen an das Risikomanagement über Registrierungs-und Nachweispflichten bis hin zu den Meldepflichten nach NIS2. Beide Pflichtenprogramme müssen von Anfang an integriert gedacht und in einer gemeinsamen Compliance-Struktur zusammengeführt werden.
IncidentResponse: Meldepflichten und das 24-Stunden-Fenster
Ein besonders wichtiger Bestandteil ist nach §18 KRITIS-DachG die Ausweitung und Präzisierung der Meldepflichten bei sicherheitsrelevanten Vorfällen. Sicherheitsstörungen oder Beeinträchtigungen sind unverzüglich, in der Regel spätestens binnen 24 Stunden ab Kenntnis, an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu melden. Innerhalb eines Monats muss der Betreiber einen detaillierten Bericht mit weiterführenden Informationen vorlegen. Dabei unterstützt das BBK die Betreiber mit Folgeinformationen, um eine wirksame Reaktion auf den Vorfall zu ermöglichen. Diese detaillierte Meldepflicht wird vor dem Hintergrund des Anschlags in Berlin als notwendig erachtet, um schnelle und koordinierte Schutzmaßnahmen zu gewährleisten.
Mit dem Aufkommen KI-gestützter Angriffe und im Kontext des BSIG wird die zeitgerechte Einhaltung der Meldepflichten schwieriger. KI-Modelle sind in der Lage, Schwachstellen in IT-Infrastrukturen schneller und systematischer auszunutzen, als klassische Meldeprozesse mit manueller Erfassung, interner Eskalation und Freigabeschleifen überhaupt greifen können. Für KRITIS-Betreiber wächst damit das Bedürfnis, regulatorische Meldeprozesse nicht mehr nur organisatorisch, sondern auch technisch in die Sicherheitsarchitektur einzubetten –als eine Art Echtzeit-Compliance-Reaktion.
Spezialfall KI: Bedrohung und Schutzinstrument zugleich
KI verändert die Bedrohungslage für kritische Infrastrukturen grundlegend –in beide Richtungen. Auf der einen Seite beschleunigen KI-gestützte Angriffswerkzeuge die Ausnutzung von Sicherheitslücken erheblich: Modelle, die eigenständig Schwachstellen in Software und IT-Infrastrukturen identifizieren und binnen kürzester Zeit funktionsfähige Angriffsprogramme erstellen können, sind keine Zukunftsmusik mehr. Für KRITIS-Betreiber, deren Systeme häufig eng mit physischer Infrastruktur verknüpft sind, hat eine erfolgreiche Cyberattacke potenziell auch unmittelbare physische Konsequenzen. Genau das soll durch den All-Gefahren-Ansatz adressiert werden.
Auf der anderen Seite bietet KI erhebliches Potenzial zur Verteidigung: KI-gestützte Überwachungssysteme können Anomalien in Echtzeit erkennen, Angriffsmuster frühzeitig identifizieren und damit den Zeitraum bis zur Meldung und Reaktion deutlich verkürzen. Der verantwortungsvolle Einsatz solcher Werkzeuge wirft jedoch anspruchsvolle Fragen auf –von der Risikoklassifizierung nach dem EU AI Act über Beschaffungs-und Governance-Anforderungen bis hin zur Frage, welche Pflichten aus dem Zusammenspiel von AI Act, BSIG und KRITIS-DachGentstehen. EU AI Act, BSIG und KRITIS-DachGbilden dabei kein isoliertes Nebeneinander, sondern ein zusammenhängendes Anforderungsgeflecht, das Betreiber integriert im Blick behalten sollten.
Haftung und Sanktionen: Kumuliertes Risiko aus zwei Regelwerken
Die Dokumentationspflichten des KRITIS-DachGsorgen dafür, dass die Betreiber ihre getroffenen Maßnahmen nachvollziehbar nachweisen müssen und sich regelmäßig Prüfungen durch das BBK unterziehen müssen. Damit soll die Umsetzung der Sicherheitsverpflichtungen sichergestellt und eine lückenlose Kontrolle durch die zuständigen Behörden ermöglicht werden.
Eine weitere wichtige Neuerung sind die deutlich verschärften Sanktionen bei Verstößen gegen die gesetzlichen Pflichten. Nach §24 KRITIS-DachGgelten insbesondere bei Verstößen gegen die Meldepflicht Bußgelder zwischen 100.000 und 500.000 Euro.
Da KRITIS-Betreiber gemäß §28 Abs. 1 Nr. 1 BSIG stets als besonders wichtige Einrichtungen eingestuft werden, drohen parallel auch die Sanktionen des BSI-Gesetzes: Für besonders wichtige Einrichtungen sieht das BSIG Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor –in vielen Fällen damit das deutlich schärfere Sanktionsinstrument. KRITIS-Betreiber stehen damit vor einem kumulierten Haftungsrisiko aus beiden Regelwerken, dass eine integrierte Compliance-Strategie nicht nur sinnvoll, sondern unabdingbar macht.
Für Unternehmen, die als Betreiber kritischer Infrastrukturen in den gesetzlich geregelten Bereich fallen, bedeutet das Zusammenspiel von KRITIS-DachG und BSIG insbesondere eines: Physische Resilienz und Cybersicherheit werden gleichermaßen zur verbindlichen Betreiberpflicht –und damit zu einem verbindlichen Bestandteil der Unternehmensverantwortung, der nicht länger in das Ermessen des Betreibers gestellt ist. Betroffene Unternehmen müssen ihre Sicherheits-und Krisenmanagementstrukturen daher dringend überprüfen, überarbeiten und auf die Anforderungen beider Regelwerke ausrichten.
Engere Zusammenarbeit im Unternehmen notwendig
Das erfordert eine verbesserte Verzahnung der verschiedenen Fachbereiche im Unternehmen. Technik, IT, Betrieb, Personalmanagement, Sicherheit und Compliance sind aufgefordert, künftig noch enger zusammenzuarbeiten. Prozesse wie Risikoanalyse, Meldewege und Krisenkommunikation müssen formalisiert und standardisiert sowie Verantwortlichkeiten klar verankert werden. Zudem sind regelmäßige Schulungen und Übungen notwendig, um die Reaktionsfähigkeit bei sicherheitsrelevanten Vorfällen sicherzustellen.
Gerade die neu definierten Meldepflichten stellen einen zentralen operativen Faktor dar. Verzögerungen oder Versäumnisse beim Melden von Störungen ziehen empfindliche Bußgelder nach sich. Unternehmen müssen daher ihre Meldeprozesse optimieren und sicherstellen, dass sie Vorfälle rechtzeitig, vollständig und korrekt an das BBK oder/und das BSI melden.
Gleichzeitig unterstützt das BBK die Betreiber mit Folgeinformationen, was eine effektive Reaktion auf sicherheitsrelevante Ereignisse ermöglicht und damit zum Schutz der gesamten kritischen Infrastruktur beiträgt.
KRITIS-DachG, BSI-Gesetz und EU AI Act bilden gemeinsam die neue regulatorische Grundlage für den Schutz kritischer Infrastrukturen. Unternehmen sollten daher frühzeitig prüfen, von welchen dieser Regelwerke sie erfasst sind und wie sich die jeweiligen Anforderungen sinnvoll harmonisieren und in eine gemeinsame Compliance-Struktur integrieren lassen. Eine isolierte Betrachtung einzelner Regelwerke greift zu kurz –gefragt ist eine übergreifende Sicherheitsarchitektur, die IT-Sicherheit, physischen Schutz und den verantwortungsvollen KI-Einsatz zusammendenkt.
Das KRITIS-DachG markiert einen Meilenstein im Schutz kritischer Infrastruktur in Deutschland. Es rückt physische Schutzaspekte, die bisher neben der IT-Sicherheit weitgehend zurückstanden, in den Mittelpunkt. Hinzu tritt mit der KI eine neue Bedrohungsdimension, die zugleich Risiko und Chance ist: Sie erhöht den Angriffsdruck auf kritische Anlagen, bietet aber auch neue Möglichkeiten zur Absicherung –wenn sie verantwortungsvoll und regulatorisch eingebettet eingesetzt wird. Die neuen Betreiberpflichten sind mit strengen Fristen und erheblichen Sanktionen versehen. Unternehmen sind daher gut beraten, die neuen gesetzlichen Vorgaben frühzeitig zu prüfen und ihre Sicherheits-und Krisenmanagementprozesse zügig anzupassen. Dies leistet nicht nur einen wichtigen Beitrag zur Sicherstellung der Versorgungssicherheit, sondern mindert auch Haftungsrisiken und schützt vor hohen Bußgeldern.
PwC Legal begleitet Unternehmen, öffentliche Einrichtungen und KRITIS-Betreiber bei allen Fragen rund um die Umsetzung des KRITIS-DachGund des BSI-Gesetzes –von der Betroffenheitsanalyse über die Entwicklung integrierter Compliance-und Krisenmanagementstrukturen bis hin zur vertraglichen Absicherung in Liefer-und Betriebsführungsbeziehungen. Darüber hinaus beraten wir an der Schnittstelle von KRITIS-Regulierung und KI –von der Risikoklassifizierung nach dem EU AI Act bis zur Governancebeim Einsatz von KI-Sicherheitslösungen. Sprechen Sie uns gerne an.