Suche
Menü

Aktuelles

Die RKE-Richtlinie: Auswirkungen auf Unternehmen und Maßnahmen zur Vorbereitung

Die RKE-Richtlinie: Auswirkungen auf Unternehmen und Maßnahmen zur Vorbereitung

Die vergangenen Tage waren geprägt von Veranstaltungen und intensiven Austausch mit Kolleg:innen und Kollegen.  Sowohl das Präsenztreffen des Resilienzkompetenzzetrums (https://www.resilienzkompetenzzentrum.eu)  in Salzburg, die Wiener Gespräche von Alite (https://www.alite.at/wiener-gespraeche/) als auch der Tag der Kritischen Infrastruktur des KSÖ/BMI waren von diesem Thema beeinflusst.  

Mit der neuen RKE-Richtlinie (Richtlinie für Resilienz Kritischer Einrichtungen) der Europäischen Union wird ein bedeutender Schritt zur Stärkung der Widerstandsfähigkeit kritischer Einrichtungen unternommen. Diese Richtlinie, die voraussichtlich bis Ende 2024 in nationales Recht umgesetzt werden sollte, betrifft eine Vielzahl von Unternehmen in den Sektoren, die als „kritisch“ eingestuft werden, wie z.B. Energie, Transport, Finanzen, Gesundheit und Kommunikation. Unternehmen, die in diesen Bereichen tätig sind, müssen sich darauf einstellen, wesentliche Änderungen in ihren Sicherheits- und Risikomanagementpraktiken vorzunehmen. In diesem Blogbeitrag möchten wir die Auswirkungen der RKE-Richtlinie auf betroffene Unternehmen untersuchen  und zeigen, welche Maßnahmen man bereits jetzt ergreifen kann, um gut vorbereitet zu sein.

Was regelt die RKE-Richtlinie?

Die RKE-Richtlinie wurde ins Leben gerufen, um die Widerstandsfähigkeit von kritischen Einrichtungen gegenüber Bedrohungen wie Naturkatastrophen, Terror- oder Sabotageanschlägen zu verbessern. Die Europäische Union als multinationaler Staatenverbund reagiert auf die laufende Veränderung der wirtschaftlichen und politischen Bedrohungslage. Hinsichtlich der Thematik der hybriden Bedrohungen, Einsatz von sogenannten „Soft Agents“ und gezielter Desinformation wird in kommenden Beiträgen entsprechende Aufmerksamkeit geschenkt werden.

 Ziel dieser EU Richtline ist es, den fortlaufenden Betrieb dieser essenziellen Dienste/Einrichtungen in Krisensituationen sicherzustellen und deren Ausfall zu verhindern. Im Wesentlichen umfasst die Richtlinie folgende Kernpunkte:

Risikoanalyse: Unternehmen müssen eine detaillierte Risikobewertung ihrer kritischen Prozesse und Einrichtungen durchführen. Es handelt sich dabei um einen sogenannten „All Hazard Ansatz“ und nicht nur um reine unternehmerische Risiken.

Sicherheitsmaßnahmen: Es sind technische, baulich, elektronisch, personelle und organisatorische Maßnahmen zu implementieren, die den Schutz der Einrichtung und der Dienstleistungen gewährleisten.

Berichtspflichten: Unternehmen sind verpflichtet, erhebliche Zwischenfälle und Risiken an die zuständigen Behörden zu melden.

Zusammenarbeit und Koordination: Die Zusammenarbeit zwischen den Betreibern kritischer Einrichtungen und den Behörden soll verbessert werden, um eine schnelle und effektive Reaktion auf Bedrohungen zu ermöglichen.

Auswirkungen auf betroffene Unternehmen

Die Richtlinie bringt eine Reihe von Herausforderungen und Pflichten für Unternehmen mit sich, die als Betreiber kritischer Einrichtungen gelten. Hier sind einige der wichtigsten Auswirkungen:

  • Höhere Compliance-Kosten: Die Durchführung von Risikobewertungen und die Umsetzung von Sicherheitsmaßnahmen kann zu erheblichen zusätzlichen Kosten führen. Unternehmen müssen in Technologien investieren, um ihre Widerstandsfähigkeit zu verbessern, und möglicherweise Expert:innen einstellen, um die Anforderungen zu erfüllen. Denkbar ist auch hier die Auslagerung derartiger Bedarfe an Expert:innen.
  • Organisatorischer Wandel: Die Anforderungen der RKE-Richtlinie können strukturelle Änderungen innerhalb der Organisation erfordern. Dies betrifft vor allem das Risikomanagement, die Sicherheitsteams und die Führungsebene, die stärker in die Sicherheit und Resilienz des Unternehmens eingebunden werden müssen.
  • Erhöhte Rechenschaftspflicht: Mit der Einführung von Meldepflichten und der Notwendigkeit, Vorfälle zu dokumentieren, steigt die Transparenz und Rechenschaftspflicht gegenüber den Aufsichtsbehörden. Unternehmen müssen interne Prozesse entwickeln, um rechtzeitig und präzise Bericht zu erstatten.
  • Risiko von Sanktionen: Nicht-Einhaltung der Richtlinie könnte zu empfindlichen Strafen führen. Unternehmen, die ihre Sicherheitsanforderungen nicht rechtzeitig erfüllen, riskieren, sowohl finanzielle als auch Reputationsschäden zu erleiden.

Maßnahmen zur Vorbereitung auf die RKE-Richtlinie

Um die Herausforderungen der RKE-Richtlinie erfolgreich zu meistern, sollten Unternehmen frühzeitig strategische und operative Maßnahmen ergreifen. Hier sind einige Schritte, die jetzt schon gesetzt werden können:

  • Frühzeitige Risikoanalyse durchführen: Unternehmen sollten sofort mit der Identifizierung und Analyse der Risiken beginnen, die für ihre kritische Einrichtung bestehen. Eine gründliche Risikobewertung legt die Basis für alle weiteren Schritte und ermöglicht eine Priorisierung der erforderlichen Maßnahmen.
  • Sicherheitsstrategien überarbeiten: Bestehende Sicherheitsrichtlinien und -prozesse müssen auf die Anforderungen der RKE-Richtlinie abgestimmt werden. Das bedeutet, dass Sicherheitsstandards überprüft und, wenn nötig, angepasst werden sollten, um Resilienz gegenüber (hybride) Bedrohungen zu gewährleisten.
  • Mitarbeiterschulung und Bewusstseinsbildung: Der menschliche Faktor spielt eine entscheidende Rolle in der Sicherheitsstrategie. Regelmäßige Schulungen und Sensibilisierungskampagnen sind notwendig, damit alle Mitarbeiter:innen, insbesondere in sicherheitsrelevanten Positionen, die Bedeutung und die Anforderungen der RKE-Richtlinie verstehen.
  • Technische Lösungen evaluieren und implementieren: Es sollten frühzeitig Investitionen in Technologien vorgenommen werden, die die Resilienz der Einrichtung verbessern. Dazu gehören beispielsweise entsprechende physische Barrieren, Zutrittskontrollen, Perimeterschutz  oder Systeme zur Überwachung von Anomalien. Notfall- und Wiederherstellungspläne müssen regelmäßig getestet werden.
  • Zusammenarbeit mit Behörden und Partnern stärken: Eine der zentralen Anforderungen der RKE-Richtlinie ist die enge Zusammenarbeit mit Behörden und anderen Akteuren der kritischen Einrichtungen. Unternehmen sollten jetzt damit beginnen, Netzwerke aufzubauen oder bestehende Partnerschaften zu vertiefen, um im Ernstfall auf schnelle und effiziente Kommunikationswege zurückgreifen zu können.

Die Veranstaltungen der vergangenen Tage zeigen, dass die Thematik in Österreich sehr ernst genommen wird. Es bestehen bereits ausgezeichnete Netzwerke und profunde Konsortien welche sich intensiv mit dieser Thematik sowohl konzeptionell als auch operativ befassen.  Behörden, Unternehmen aber auch Forschung und Lehre rücken hier sehr nahe zusammen.

  • Compliance-Programme einrichten: Ein starkes Compliance-Programm ist notwendig, um die neuen Anforderungen zu erfüllen. Dies umfasst die Implementierung von Monitoring-Systemen, die regelmäßige Überprüfung der Einhaltung von Sicherheitsvorschriften sowie die Dokumentation und Meldung von Vorfällen.

Fazit: Rechtzeitiges proaktives Handeln zahlt sich aus

Die Umsetzung der RKE-Richtlinie stellt eine bedeutende Herausforderung für viele Unternehmen dar, bietet aber auch die Chance, die eigene Resilienz zu stärken und sich auf künftige Bedrohungen besser vorzubereiten. Unternehmen, die frühzeitig Maßnahmen ergreifen, um die Anforderungen zu erfüllen, werden nicht nur gesetzliche Sanktionen vermeiden, sondern auch ihre Position im Markt festigen, da sie als verlässliche und sichere Dienstleister gelten. Eine sorgfältige Planung,  holistische Risikoanalysen und der Einsatz moderner Technologien werden als  Schlüssel erachtet, um gut vorbereitet zu sein und die Anforderungen der RKE-Richtlinie erfolgreich zu meistern.

Haben Sie noch Fragen? Nehmen Sie einfach mit uns Kontakt auf. Ihr Anliegen wird zu 100% vertraulich behandelt!

Autor: S. Leitgeb, B.A., CSO der TRIAS Solutions GmbH, weist über 25 Jahre Berufserfahrung in diversen Sicherheitsbehörden des BMI auf und stellt nun seine umfangreiche Erfahrung und sein außergewöhnliches Knowhow Bedarfsträgern aus der Privatwirtschaft zur Verfügung.

Wirtschaftsschutz - TRIAS Solutions GmbH, Stimmungsbild, Arbeitsplatz und Papierstapel am Tisch

Weitere Beiträge

Alle
Hybride Gefahren

Schutz vor subtiler Manipulation – Die Risiken der Elicitierung verstehen

19. Dezember 2024
Hybride Gefahren

Verdeckte Einflussnahme: Die Causa “Nomma Zarubina”

4. Dezember 2024
Business Continuity Management

Spionagefall in Norwegen: 27-jähriger Sicherheitsdienstmitarbeiter unter Verdacht, sensible Informationen an Russland und den Iran weitergegeben zu haben

25. November 2024
Schließen
Um Ihnen die Bedienung unserer Seite so angenehm wie möglich zu gestalten, verwenden wir Cookies. Deren Einsatz hilft uns, Ihnen unser Service zur Verfügung stellen zu können.
Gelesen
Beginnen Sie mit der Eingabe, um die gewünschten Beiträge anzuzeigen.