Identifizierung und Priorisierung innerhalb von Kritischen Infrastrukturen - Vorgehensweise zur Umsetzung in Einrichtungen und Unternehmen

Die Seite wird erstellt Aaron Diehl
Staat und Politik
Deutsch
 
WEITER LESEN
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Identifizierung und Priorisierung innerhalb von Kritischen Infrastrukturen - Vorgehensweise zur Umsetzung in Einrichtungen und Unternehmen
Identifizierung und ­Priorisierung
innerhalb von Kritischen
­Infrastrukturen
Vorgehensweise zur Umsetzung in Einrichtungen und Unternehmen

               Stand

              01-2021

BBK. Gemeinsam handeln. Sicher leben.
Identifizierung und
­Priorisierung innerhalb von
 Kritischen Infrastrukturen
Vorgehensweise zur Umsetzung in Einrichtungen und Unternehmen

                      Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

Herausgeber:
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Provinzialstraße 93
53127 Bonn

Telefon:+49 (0) 228 99550-0
Telefax:+49 (0) 228 99550-1620
Internet: www.bbk.bund.de

Bildnachweis: Altmann G. 2012/pixabay.com

Ausgabe: V.01 – Living Guideline
Stand: Januar 2021
Living Guideline (01-2021) • Identifizierung und ­Priorisierung innerhalb von Kritischen Infrastrukturen• 3

Inhaltsverzeichnis
Vorwort                                                                                                                       4

Einführung5

1.   Szenariounabhängige Priorisierung                                                                                       6

2.    Szenarioabhängige Priorisierung                                                                                         8

3.    Lageangepasste Priorisierung                                                                                          10
4 • Identifizierung und ­Priorisierung innerhalb von Kritischen Infrastrukturen • Living Guideline (01-2021)

Vorwort
Die Bewältigung der Covid-19-Pandemie hat                             Die in der Lage gewonnenen Erkenntnisse wer-
Behörden in Bund und Ländern auch im Hinblick                         den nun in den oben genannten Bausteinen
auf den Schutz Kritischer Infrastrukturen vor be-                     ziel­gerichtet aufgearbeitet. Der so entstehende
sondere Herausforderungen gestellt. So mussten                        „Baukasten KRITIS: Krisenvorsorge und Krisen­
viele Anfragen von Unternehmen (z. B. zu ihrer                        bewältigung im Kontext Kritischer Infrastruk-
Zugehörigkeit zu den Kritischen Infrastrukturen),                     turen“ kann als Grundlage zum strukturierten
aber auch von Behörden (z. B. zur Auslegung von                       Austausch zum Schutz Kritischer Infrastrukturen
Begriffen) in kurzer Zeit beantwortet werden.                         genutzt werden. Mit der Erstellung des Bau­
                                                                      kastens und dem Rückgriff auf die Bau­stein­
Im Austausch mit Behörden und Unternehmen                             inhalte bei Bedarf wird auch ein Beitrag zur
über die aktuelle Lage haben sich vier teilweise                      Fort­entwicklung des Schutzes Kritischer Infra-
stark miteinander verbundene Bausteine mit                            strukturen insgesamt geleistet.
besonderer Relevanz für den Schutz Kritischer
Infrastrukturen herauskristallisiert:

1. K
    lärung von Begriffen und Erweiterung des
   „KRITIS-Vokabulars“
2. Identifizierung und Priorisierung von
   ­Kritischen Infrastrukturen und system­
    relevanten Einrichtungen
3. Formulierung spezifischer Anforderungen
    an die Bewältigung besonderer Lagen auf der
    Grundlage von Kernszenarien
4. Analyse von Potenzialen der Risiko­
    abschätzung und Entwicklung von Fähig­
    keiten zur Prognose im Kontext KRITIS
Living Guideline (01-2021) • Identifizierung und ­Priorisierung innerhalb von Kritischen Infrastrukturen • 5

Einführung
Im Rahmen der Krisenvorsorge und Krisenbe­                             Die im Folgenden dargestellte Vorgehensweise
wältigung kann auch innerhalb von Unternehmen                          leitet sich aus dem Baustein 2.2 „Priorisierung
und Einrichtungen der Kritischen Infrastrukturen                       im Kontext Kritischer Infrastrukturen“ ab, deren
ein erhöhter Bedarf zur Priorisierung entstehen.                       übergeordnetes Ziel die Priorisierung kritischer
Auf diese Weise können prioritäre Handlungs­                           Dienstleistungen darstellt. Somit werden analog
bedarfe erkannt und somit Entscheidungen über                          zu der in Baustein 2.2 dargelegten Vorgehensweise
die Planung und Umsetzung von Maßnahmen ziel-                          im Rahmen der innerbetrieblichen Priorisierung
gerichteter getroffen werden. Wichtige B
                                       ­ eispiele                      zunächst eine szenariounabhängige Priorisierung
aus der Covid-19-Pandemie sind die Verteilung                          (SzUP) zur Ermittlung der kritischen und innerbe-
von Schutzausrüstung oder der Zugang zu Imp-                           trieblichen Prozesse, Funktionen und Ressourcen
fungen, die eine Priorisierung durch Behörden und                      durchgeführt. Darauf aufbauend soll dann szena-
Unternehmen erfordern können.                                          rioabhängig anhand von Belastungs- und ergän-
                                                                       zenden Maßnahmekriterien eine verfeinerte und
Das nachfolgende Verfahren bietet speziell Unter-                      an das jeweilige Szenario angepasste Priorisierung
nehmen und Einrichtungen Kritischer Infrastruk-                        erreicht werden, um zielgerichtete Handlungs-
turen Kriterien an, mit deren Hilfe eine systema-                      bedarfe zu ermitteln und diese zeitgerecht um-
tische Priorisierung ihrer kritischen Prozesse1 und                    setzen zu können. Wie im Baustein 2.2 wird auch
innerbetrieblichen Unterstützungsprozesse (kurz:                       die Vorgehensweise zur Priorisierung innerhalb
innerbetriebliche Prozesse)2, Funktionen und den                       eines Unternehmens/einer Einrichtung mit einem
damit verbundenen personellen, materiellen oder                        Umsetzungsbeispiel für das Szenario „Pandemie“
organisatorischen Ressourcen vorgenommen wer-                          abgerundet.
den kann. Insbesondere bei begrenzten personellen
Ressourcen oder aber auch bei der Notwendigkeit
einer Beschränkung von personellen Ressourcen
durch ein gegebenes Szenario – wie der Pan­
demie –, sind Kriterien zur Priorisierung zwingend
erforderlich. In vielen Unternehmen/Einrichtun-
gen Kritischer Infrastrukturen wird bereits ein um-
fassendes Risikomanagement und/oder B     ­ usiness
Continuity Management (BCM) durchgeführt, auf
welches im Rahmen der Priorisierung aufgebaut
und bei Bedarf durch weitere Aspekte ergänzt
werden kann.

1	Als „kritische Prozesse“ werden im Folgenden alle Prozesse verstanden, die direkt an der Bereitstellung der kritischen Dienst­
   leistung beteiligt sind.
2	Als „innerbetriebliche Unterstützungsprozesse“ (kurz: „innerbetriebliche Prozesse“) gelten alle Prozesse, die nicht direkt zur Bereit-
   stellung der kritischen Dienstleistung beitragen, die aber deren Bereitstellung im Unternehmen/in der Einrichtung unterstützen.
6 • Identifizierung und ­Priorisierung innerhalb von Kritischen Infrastrukturen • Living Guideline (01-2021)

1. Szenariounabhängige Priorisierung
Mit einer szenariounabhängigen ­Priorisierung
kann das Unternehmen/die Einrichtung ­Prozesse,                          Hinweis:
Funktionen und Ressourcen identi­fizieren und                            Zu den innerbetrieblichen Prozessen können
priorisieren,                                                            beispielsweise auch Zugangskontrollen oder
                                                                         Bereiche des Gebäudemanagements zählen,
1. die
    	 für die Aufrechterhaltung der kritischen                          die für die Bereitstellung der kritischen Dienst-
   Dienstleistung(en) zwingend erforderlich sind                         leistung un­verzichtbar sind. Die Gewährleis-
                                                                         tung ihrer Betriebsfähigkeit ist jedoch nur in
   (kritische Prozesse) und
                                                                         dem Umfang relevant, der für die Aufrecht-
2. die
    	 für die generelle Gewährleistung der
                                                                         erhaltung der kritischen Dienstleistung(en)
   Betriebsfähigkeit des Unternehmens/der                                erforderlich ist.
   Einrichtung zwingend erforderlich sind
   ­(inner­betriebliche Prozesse).

Grundlage für eine Priorisierung ist daher zu-                        Die szenariounabhängige Identifizierung und
nächst die Identifizierung der kritischen Prozesse                    ­Priorisierung erfolgt anhand der in Tabelle 1a und
im Unternehmen/in der Einrichtung (Kritikali-                          1b aufgeführten Grundlagekriterien.
tätsanalyse), die vielfach bereits im Rahmen des
Risikomanagements bzw. des BCM3 durchgeführt                          Die Gesamtbetrachtung der Bewertungen der
wird und somit nur möglicherweise um die inner-                       einzelnen ­Kriterien führt zu einer Priorisierung.
betrieblich relevanten Prozessen sowie den jewei-                     Eine Gewichtung der Kriterien ist hierbei optional
ligen erforderlichen Funktionen und ­Ressourcen                       möglich.
ergänzt werden muss.

3	BMI (2011), Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement: Leitfaden für Unternehmen und Behörden;
   ISO 22301: 2019, Business Continuity Management (BCM)
Living Guideline (01-2021) • Identifizierung und ­Priorisierung innerhalb von Kritischen Infrastrukturen • 7

 Kriterium I:
 Aufrechterhaltung der kritischen Dienstleistung(en) des Unternehmens/der Einrichtung

 Grundlagekriterien                 Fragestellung

 Kriterium Ia                       Welche Prozesse sind für die Aufrechterhaltung der kritischen Dienstleistung(en) des
 Prozesse                           ­Unternehmens/der Einrichtung zwingend erforderlich? (Ergebnis der Kritikalitätsanalyse)

 Kriterium Ib                       Welche Funktionen müssen für die Aufrechterhaltung dieser kritischen Prozesse
 Funktionen                         zwingend erfüllt werden?

 Kriterium Ic                       Welche personellen, materiellen und organisatorischen Ressourcen werden zur Erfüllung
 Ressourcen                         dieser Funktionen benötigt?

 Kriterium II:
 Generelle Gewährleistung der Betriebsfähigkeit des Unternehmens/der Einrichtung

 Grundlagekriterien                 Fragestellung

 Kriterium IIa                      Welche Prozesse sind für die generelle Gewährleistung der Betriebsfähigkeit des
 Prozesse                           ­Unternehmens/der Einrichtung zwingend erforderlich? (Ergebnis der Kritikalitätsanalyse)

 Kriterium IIb                      Welche Funktionen müssen für die generelle Gewährleistung dieser innerbetrieblichen
 Funktionen                         Prozesse zwingend erfüllt werden?

 Kriterium IIc                      Welche personellen, materiellen und organisatorischen Ressourcen werden zur Erfüllung
 Ressourcen                         dieser Funktionen benötigt?

Tabelle 1a: Szenariounabhängige Identifizierung anhand von Grundlagekriterien

Ergebnis ist eine Liste der identifizierten                               Eine Priorisierung kann anhand des ­Kriteriums
­kritischen und innerbetrieblichen Prozesse,                              „Zeit“ erfolgen (vgl. Tabelle 1b). Der Fokus
 ­Funktionen und den zugehörigen Ressourcen,                              liegt ­dabei auf der Fragestellung wie lange ein
  die für die Aufrechterhaltung der kritischen                            Ausfall der entsprechenden kritischen/inner­
  ­Dienstleistung(en) sowie die Gewährleistung der                        betrieblichen Prozesse sowie der Funktionen und
   Betriebsfähigkeit zwingend erforderlich sind.                          Ressourcen maximal toleriert werden kann.

 Kriterium III:
 Zeit

 Grundlagekriterien                 Fragestellung                                                  Bewertung

 Kriterium IIIa                     Ab welcher Zeitspanne kann ein Ausfall der kritischen/         > 72 h       8 – 72 h     0–8h
 Prozesse                           innerbetrieblichen Prozesse nicht mehr toleriert werden?

 Kriterium IIIb                     Ab welcher Zeitspanne kann ein Ausfall der Funktionen,         > 72 h       8 – 72 h     0–8h
 Funktionen                         die für die Aufrechterhaltung der kritischen/innerbe-
                                    trieblichen Prozesse zwingend erforderlich sind, nicht
                                    mehr toleriert werden?

 Kriterium IIIc                     Ab welcher Zeitspanne kann ein Ausfall der Ressourcen,         > 72 h       8 – 72 h     0–8h
 Ressourcen                         die für die Aufrechterhaltung der kritischen/innerbe-
                                    trieblichen Prozesse bzw. deren Funktionen benötigt
                                    werden, nicht mehr toleriert werden?

Tabelle 1b: Szenariounabhängige Priorisierung anhand des Grundlagekriteriums „Zeit“
8 • Identifizierung und ­Priorisierung innerhalb von Kritischen Infrastrukturen • Living Guideline (01-2021)

2. Szenarioabhängige Priorisierung
Die szenarioabhängige Priorisierung ermöglicht                               stark verändern und somit Auswirkungen auf die
eine Vorfilterung kritischer und inner­betrieblicher                         Beanspruchung der kritischen und/ oder innerbe-
Prozesse, die in einem ausgewählten S   ­ zenario be-                        trieblichen Prozesse sowie der damit verbundenen
sonders betroffen und/oder gefordert sind. Damit                             Funktionen und den zugehöri­gen Ressourcen
liefert sie für jedes Szenario wichtige Anhaltspunk-                         haben. Darüber hinaus kann sich die Betroffenheit
te für eine effiziente Vorsorge und Vorbereitung.                            bzw. die Beanspruchung der ­kritischen und/oder
So können beispielsweise Ressourcen (Personal,                               innerbetrieblichen Prozesse im Unternehmen/in
­Material/technische Ausstattung, Logistik/Organi-                           der Einrichtung im zeitlichen Verlauf des Szenarios
sation) bedarfsgerecht in Bereichen bereitgestellt                           ändern bspw. durch die er­höhte Nachfrage nach
werden, die im ausgewählten Szenario besonders                               Produkten oder Dienstleistungen, die für die Kri-
betroffen und/oder gefordert sind. Die szenario-                             senbewältigung erforderlich sind.
abhängige Priorisierung wird sowohl anhand von
Belastungskriterien als auch ergänzend anhand                                Ausgangsbasis der Bewertung der Belastungskri-
maßnahme­bezogener Kri­terien durchgeführt, be-                              terien sind die in Kapitel 1 priorisierten Prozesse.
wirkt jedoch nicht den Ausschluss kritischer und/                            Es empfiehlt sich, bei der szenarioabhängigen
oder inner­betrieblicher Prozesse.                                           Priorisierung diese Vorauswahl um ggfs. notwen-
                                                                             digerweise zu ergänzende Prozesse zu überprüfen.
a) Szenarioabhängige Priorisierung anhand                                   Auf Basis der gemäß der Belastungskriterien (vgl.
   von Belastungskriterien                                                   Tabelle 2) ermittelten besonders durch ein Szena-
                                                                             rio betroffenen und/oder geforderten kritischen
Es ist möglich, dass kritische und/oder innerbetrieb-                        und innerbetrieblichen Prozesse kann die sze-
liche Prozesse durch das Szenario in ihrer Funk­tion                         nariounabhängig erstellte Liste somit szenario­
betroffen oder eingeschränkt sind. Zudem kann sich                           spezifisch angepasst und um eine Rangfolge oder
die Nachfrage nach der kritischen Dienstleistung                             Gruppierung ergänzt werden.

 Belastungskriterien                 Fragestellung                                                              Bewertung

 Kriterium 1                         Ist der kritische/innerbetriebliche Prozess durch das Szenario in          nein        ja
 Betroffenheit                       seiner Funktion betroffen oder eingeschränkt?

 Kriterium 2                         Ist der kritische/innerbetriebliche Prozess im Kontext                     nein        ja
 Beanspruchung                       des Szenarios besonders gefordert?

 Kriterium 3                        a) Verschärft sich die Betroffenheit des kritischen/inner­betrieblichen    nein        ja
 Zeit                                  Prozesses im zeitlichen Verlauf des Szenarios?

                                    b) Verschärft sich die Beanspruchung des kritischen/inner­                 nein        ja
                                       betrieblichen Prozesses im zeitlichen Verlauf des Szenarios?

                                    c) Welche Zeitspanne muss für die Wiederherstellung des kritischen/        0 – 72 h    72 h –
                                       innerbetrieblichen Prozesses im Falle eines Ausfalls angenommen                      PNR
                                       werden?

Tabelle 2: Szenarioabhängige Priorisierung anhand von Belastungskriterien
Living Guideline (01-2021) • Identifizierung und ­Priorisierung innerhalb von Kritischen Infrastrukturen • 9

b) Szenarioabhängige Priorisierung anhand von                           betroffene und/oder geforderte kritische/innerbe-
   Maßnahmekriterien                                                     triebliche Prozesse zu unterstützen.

Ergänzend zu den szenarioabhängigen Belastungs-                          Die Maßnahmekriterien beziehen sich auf folgen-
kriterien können weitere Kriterien für die Planung                       de Ressourcen:
und Umsetzung von Maßnahmen herangezogen
werden. Die Anwendung der Maßnahmekriterien                              • Personal,
ermöglicht es, Maßnahmen der Krisenvorsorge                              • Material/technische Ausstattung sowie
und Krisenbewältigung im Kontext KRITIS, die in                          • Logistik/Organisation.
einem spezifischen Szenario erforderlich werden
können, effektiver und ggfs. schneller umzusetzen.                       Maßnahmen zur Aufrechterhaltung der zuvor
Auf Basis der Bewertung können somit Entschei-                           priorisierten Prozesse/Funktionen sind folglich auf
dungen für personelle, technische oder organisa-                         diese Ressourcen ausgerichtet und mit spezifischen
torische Maßnahmen bspw. zur Ersatzversorgung                            Fragestellungen hinterlegt. Für jedes Szenario
oder zu Schutzausrüstung getroffen werden (siehe                         können weitere Maßnahmen und Fragestellungen
auch Tabelle 3). Denn aufgrund der unterschiedli-                        ergänzt werden. Diese können je nach Zugehö-
chen Belastungen in den jeweiligen Szenarien kann                        rigkeit der Unternehmen und Einrichtungen zu
beispielsweise die Nutzung von Redundanzen oder                          Sektoren und Branchen variieren und auf deren
die Umverteilung von personellen oder materiel-                          unterschiedlichen Bedarfe und Zielsetzungen aus-
len Ressourcen notwendig werden, um besonders                            gerichtet werden.

 Maßnahmekriterien                 Maßnahme                                 Fragestellung                            Bewertung
 ­(Ressourcen)

 Kriterium 4                       Beispiel Szenario Pandemie –             Ist die Ausübung der betreffenden        nein         ja
 Mensch/Personal                   Zuteilung von persönlicher               Funktion unvermeidbar mit phy-
                                   Schutzausrüstung (Beispiel: Aus-         sischer Präsenz im Unternehmen/
                                   gabe von FFP-2-Masken)                   in der Einrichtung verbunden?

                                                                            Ist die Ausübung der ­betreffenden       nein         ja
                                                                            Funktion unvermeidbar mit physi-
                                                                            schem Kontakt zu anderen Perso-
                                                                            nen (intern/extern) verbunden?

                                                                            weitere Fragestellungen […] oder         nein         ja
                                                                            Folgefragen […]

 Kriterium 5                       Beispiel Szenario Stromausfall –         Ist für die Aufrechterhaltung der        nein         ja
 Ressourcen/Technische             Ausstattung mit NEA                      kritischen/innerbetrieblichen
 Ausstattung                                                                Prozesse die Verfügbarkeit von
                                                                            elektrischem Strom erforderlich?

                                                                            Sind für die Aufrechterhaltung           nein         ja
                                                                            der kritischen/innerbetrieblichen
                                                                            Prozesse Produkte bzw. Dienst-
                                                                            leistungen externer Zulieferer
                                                                            erforderlich?

                                                                            weitere Fragestellungen […] oder         nein         ja
                                                                            Folgefragen […]

Tabelle 3: Szenarioabhängige Priorisierung anhand von Maßnahmekriterien und beispielhaften Maßnahmen sowie zugehörige Fragestellungen
10 • Identifizierung und ­Priorisierung innerhalb von Kritischen Infrastrukturen • Living Guideline (01-2021)

 Maßnahmekriterien                  Maßnahme                                  Fragestellung                            Bewertung
 ­(Ressourcen)

 Kriterium 6                        Beispiel Szenario Pandemie –              Ist Zugang zu bestimmten                 nein          ja
 Logistik/Organisation              Ausstellung von Zugangsberech-            ­Gebieten/Anlagen zur Aufrecht-
                                    tigungen                                  erhaltung der kritischen/inner-
                                                                              betrieblichen Prozesse zwingend
                                                                              erforderlich?

                                                                              Sind externe Zulieferer/Liefe-           nein          ja
                                                                              ranten durch das Szenario in
                                                                              der Erbringung ihrer Leistungen
                                                                              besonders beeinträchtigt?

                                                                              weitere Fragestellungen […] oder         nein          ja
                                                                              Folgefragen […]

Tabelle 3 Fortsetzung: Szenarioabhängige Priorisierung anhand von Maßnahmekriterien und beispielhaften Maßnahmen sowie zugehörige Fragestellungen

  Hinweis:
  Für jedes Maßnahmekriterium können beliebig viele Maßnahmen und zugehörige Fragestellungen
  ­ergänzt werden. Sofern z. B. die verfügbaren Mittel – etwa FFP2-Masken oder Notstromkapazitäten –
   nicht ausreichen, um alle Bedarfe abzudecken, können sich Folgefragen zur weiteren maßnahme­
   spezifischen Priorisierung anschließen.

Als Ergebnis der szenariounabhängigen Priori­                             erforderlichen Maßnahmen gemäß ­
sierung liegt den Einrichtungen und Unterneh-                             Tabelle 3. Mit Hilfe dieses iterativen ­Prozesses
men eine Übersicht von priorisierten kritischen                           liegt schluss­endlich eine Priorisierung der
Prozessen sowie innerbetrieblichen Unter­                                 ­kritischen und innerbetrieblichen Prozesse,
stützungsprozessen und Funktionen sowie den                                Funktionen und ­Ressourcen vor, die in einem
dazugehörigen Ressourcen vor. Diese bilden die                             ­spezifischen ­Szenario besondere Relevanz auf­
Grundgesamtheit für die szenarioabhängige Prio-                             weisen und ­somit bei der Umsetzung von
risierung mittels Belastungskriterien sowie für die                         ­Maßnahmen prio­ritär zu beachten sind.

3. Lageangepasste Priorisierung
Jede bereits durchgeführte szenario­abhängige                             lich überprüft und – wenn erforderlich – lage­
Prio­risierung sollte auch im Ereignisfall im                             angepasst um weitere Maßnahmen und/oder
Rahmen des Krisenmanagements kontinuier-                                  Frage­stellungen ergänzt werden.
Living Guideline (01-2021) • Identifizierung und ­Priorisierung innerhalb von Kritischen Infrastrukturen • 11

Identifizierung und Priorisierung in Unternehmen und Einrichtungen
Kritischer Infrastrukturen

    1 Szenariounabhängige Priorisierung (SzUP)

     Kriterium I Aufrechterhaltung der kritischen Dienstleistung(en)
     des Unternehmens/der Einrichtung
                                     Welche Prozesse sind für die Aufrechterhaltung der kritischen Dienstleistung(en)
       I a) Prozesse
                                     des Unternehmens/der Einrichtungen zwingend erforderlich? (Ergebnis der
                                     Kritikalitätsanalyse)

       I b) Funktionen Welche Funktionen müssen für die Aufrechterhaltung der kritischen Prozesse
                                     zwingend erfüllt werden?

                                     Welche personellen, materiellen und organisatorischen Ressourcen werden zur
       I c) Ressourcen               Erfüllung dieser ­Funktionen benötigt?

     Kriterium II Generelle Gewährleistung der Betriebsfähigkeit
     des Unternehmens/der Einrichtung
                                     Welche Prozesse sind für die generelle Gewährleistung der Betriebsfähig-
       II a) Prozesse
                                     keit des Unternehmens/der Einrichtung zwingend erforderlich? (Ergebnis der
                                     ­Kritikalitätsanalyse)
                                     Welche Funktionen müssen für die generelle Gewährleistung dieser inner­
       II b) Funktionen betrieblichen Prozesse zwingend erfüllt werden?

                                     Welche personellen, materiellen und organisatorischen Ressourcen werden zur
       II c) Ressourcen Erfüllung dieser Funktionen benötigt?

     Kriterium III Zeit
                                     Ab welcher Zeitspanne kann ein Ausfall der kritischen/innerbetrieblichen
       III a) Prozesse
                                     ­Prozesse nicht mehr toleriert werden?

                                     Ab welcher Zeitspanne kann ein Ausfall der Funktionen, die für die Aufrechter-
       III b) Funktionen haltung der kritischen/­innerbetrieblichen Prozesse zwingend erforderlich sind,
                                     nicht mehr toleriert werden?

                                     Ab welcher Zeitspanne kann ein Ausfall der Ressourcen, die für die Aufrecht-
       III c) Ressourcen erhaltung der kritischen/­innerbetrieblichen Prozesse bzw. deren Funktionen
                                     benötigt werden, nicht mehr toleriert werden?

Abbildung 1: Identifizierung und Priorisierung in Unternehmen und Einrichtungen Kritischer Infrastrukturen
12 • Identifizierung und ­Priorisierung innerhalb von Kritischen Infrastrukturen • Living Guideline (01-2021)

       Szenario
                           2 Szenarioabhängige Priorisierung (SzAP)

     2a Szenarioabhängige                                                  2b Ergänzende szenarioabhängige
        ­Priori­sierung anhand von                                            Priorisierung anhand von Maß-
         ­Belastungskriterien                                                 nahmekriterien (Ressourcen)
              Kriterium 1 Betroffenheit                                           Kriterium 4 Mensch/Personal
    Ist der kritische/innerbetriebliche Prozess durch                      z. B. Pandemie – Maßnahme „Zuteilung von PSA“
    das Szenario in seiner Funktion betroffen oder                         Ist die Ausübung der betreffenden Funktion unver-
    eingeschränkt?                                                         meidbar mit physischer Präsenz im Unternehmen/
                                                                           in der Einrichtung verbunden?
             Kriterium 2 Beanspruchung
    Ist der kritische/innerbetriebliche Prozess im                                    Kriterium 5 Ressourcen/­
    Kontext des Szenarios besonders gefordert?                                        Technische Ausstattung
                       Kriterium 3 Zeit                                    z. B. Stromausfall – Maßnahme „Ausstattung
                                                                           mit NEA“
    a) Verschärft sich die Betroffenheit des kritischen/                  Ist für die Aufrechterhaltung der kritischen/in-
        inner­betrieblichen Prozesses im zeitlichen Ver-                   nerbetrieblichen Prozesse die Verfügbarkeit von
        lauf des Szenarios?                                                elektrischem Strom erforderlich?
    b) Verschärft sich die Beanspruchung des
        ­kritischen/inner­betrieblichen Prozesses im                                     Kriterium 6 Logistik/­
         ­zeitlichen Verlauf des Szenarios?                                                  Organisation
    c) Welche Zeitspanne muss für die Wiederher-
       stellung des kritischen/innerbetrieblichen                           z. B. Pandemie – Maßnahme „Ausstellung von
       Prozesses im Falle eines Ausfalls angenommen                        ­Zugangsberechtigungen“
       werden?                                                             Ist Zugang zu bestimmten Gebieten/Anlagen zur
                                                                            Aufrechterhaltung der kritischen/innerbetrieb­
                                                                            lichen Prozesse zwingend erforderlich?

       Ereignis
                           3     Lageangepasste Priorisierung (LaP)
    Überprüfung der szenarioabhängigen Priorisierung in der Lage
    Falls erforderlich: Ergänzung weiterer lagespezifischer Fragestellungen

Abbildung 1 Fortsetzung: Identifizierung und Priorisierung in Unternehmen und Einrichtungen Kritischer Infrastrukturen
Living Guideline (01-2021) • Identifizierung und ­Priorisierung innerhalb von Kritischen Infrastrukturen • 13

Umsetzungsbeispiel

                Priorisierung im Kontext Kritischer Infrastrukturen
    Umsetzungsbeispiel für die Priorisierung in Unternehmen und Einrichtungen im
                                 Szenario „Pandemie“
     Welche Funktionen in einem Unternehmen sind bei der Ausgabe von persönli-
            cher ­Schutzausstattung (FFP2-Masken) prioritär zu behandeln?

                                                               Annahme
      Unternehmen XY ist unmittelbar an der Bereitstellung einer kritischen Dienstleistung (kDl) beteiligt. Es
      soll eine Identifizierung und Priorisierung der unternehmensinternen Prozesse mit Blick auf die Auf-
      rechterhaltung der kDl bei einem Pandemieszenario vorgenommen werden, bspw. für die Ausgabe von
      FFP2-Masken.

                                                                Schritt 1
      Unternehmen XY wendet die Grundlagekriterien der szenariounabhängigen Priorisierung auf die Liste
      der kritischen unternehmensinternen Prozesse an. Damit erhält das Unternehmen XY erste Anhalts-
      punkte, welche der Prozesse (sowie Funktionen und Ressourcen) für die Bereitstellung der kDl von
      besonderer Bedeutung sind und somit zu priorisieren sind: kritische Prozesse (die direkt an der Be-
      reitstellung der kDl beteiligt sind, Kriterium I a-c) und innerbetriebliche Unterstützungsprozesse (die
      die Umsetzung kritischer Prozesse ermöglichen, Kriterium II a-c) sowie deren maximal tolerierbare
      Ausfallzeit (Kriterium III a-c).

                                                                Schritt 2
      Unternehmen XY ergänzt die erste Bewertung der Prozesse und Funktionen um eine Bewertung anhand
      der Belastungskriterien für das Szenario „Pandemie“. Auf diesem Weg entsteht eine Übersicht über die
      Prozesse und Funktionen, die in einer pandemischen Lage eine spezifische Betroffenheit (Kriterium 1)
      oder Beanspruchung (Kriterium 2) aufweisen. Diese Übersicht enthält eine dem Szenario Pandemie
      angepasste Rangfolge der Prozesse und Funktionen aus Schritt 1, die als Arbeitsgrundlage für Schritt 3
      herangezogen wird.

                                                                Schritt 3
      Die Maßnahme „Ausgabe von FFP2-Masken“ ist auf den Schutz des Personals vor einer Infektion aus-
      gerichtet (Kriterium 4).
      Es stellt sich demnach zunächst für alle Funktionen die Frage:
      Ist die Ausübung der Funktion unvermeidbar mit physischem Kontakt zu anderen Personen verbunden?
      	Kontakte können z. B. zu anderen Mitarbeiterinnen und Mitarbeitern, Kundinnen und Kunden, dem Per-
        sonal von externen Dienstleistern oder Zulieferern, Passanten bzw. zufälligen Kontaktpersonen bestehen.
        Kontakte können z. B. durch telefonische Kontaktaufnahme, Arbeit von Zuhause aus, Wechselschich-
        ten in Gemeinschaftsbüros oder die Durchführung von Fernwartung vermieden oder eingeschränkt
        werden.
         Verbindung zu Maßnahmen zur Reduzierung von physischen Kontakten

Abbildung 2: Umsetzungsbeispiel für die Priorisierung im Szenario „Pandemie“
14 • Identifizierung und ­Priorisierung innerhalb von Kritischen Infrastrukturen • Living Guideline (01-2021)

                                                      Fortsetzung Schritt 3
     Um bei Bedarf den Adressantenkreis der Maßnahme weiter eingrenzen zu können (falls nur in begrenz-
     tem Umfang FFP2-Masken verfügbar sein sollten), können in Bezug auf die betreffenden Funktionen
     Folgefragen gestellt werden:
     Ist bekannt, dass die Funktion von Mitarbeitenden mit besonderen individuellen Risikofaktoren
     ­ausgeführt wird?
         (Mitarbeitende in einer relevanten Altersgruppe, mit bestimmten Vorerkrankungen, etc.)
     Geht die Ausübung der Funktion unumgänglich mit Kontakten mit besonders hoher Infektionsgefahr einher?
     	(Kontakte in nicht bzw. nur eingeschränkt kontrollierbaren Situationen z. B. im öffentlichen Raum;
        zu potentiell infektiösen ­Patientinnen und Patienten; in Situationen, in denen Abstandsregeln nicht
        ­eingehalten werden können; über längere Zeit in ­geschlossenen Räumen; etc.)

                                                                Ergebnis
     Im Ergebnis liegt Unternehmen XY eine Priorisierung von kritischen Prozessen und innerbetrieblichen
     Unterstützungsprozessen vor, die direkt oder indirekt an der Bereitstellung der kDl beteiligt sind
     (Schritt 1). Diese Übersicht stellt eine Rangfolge der o. g. Prozesse entsprechend ihrer Betroffenheit oder
     Beanspruchung in einer Pandemie dar (Schritt 2). Auf Basis dieser Liste wird für die Maßnahme „Ausgabe
     von FFP2-Masken“ ermittelt, ob die Ausübung der betreffenden Funktion mit einer Infektionsgefahr für
     das Personal einhergeht (Schritt 3). Bei Bedarf können sich Folgefragen nach individuellen Risikofakto-
     ren des Personals oder besonders hoher Infektionsgefahr anschließen. Auf Basis dieser Informationen
     kann ein Konzept zur Ausgabe von FFP2-Masken entwickelt werden, das unterschiedlichen Verfügbar-
     keiten von FFP2-Masken gerecht wird.

Abbildung 2 Fortsetzung: Umsetzungsbeispiel für die Priorisierung im Szenario „Pandemie“
www.bbk.bund.de
Sie können auch lesen
Priorisierung im Kontext Kritischer Infrastrukturen - Kriterien und Vorgehensweise - Bund.de
Priorisierung im Kontext Kritischer Infrastrukturen - Kriterien und Vorgehensweise - Bund.de
Lessons-learned: Krisenvorsorge und Krisenbewältigung COVID-19 im Kontext des Schutzes KRITIS
Lessons-learned: Krisenvorsorge und Krisenbewältigung COVID-19 im Kontext des Schutzes KRITIS
Identifizierung im Kontext Kritischer Infrastrukturen - Kriterien und Vorgehensweise - Bund.de
Identifizierung im Kontext Kritischer Infrastrukturen - Kriterien und Vorgehensweise - Bund.de
Themen & Termine 2021 - Entdecke die Kraft des Netzwerks - Wir sind DAS der Linie - für die Linie - C4B-Team
Themen & Termine 2021 - Entdecke die Kraft des Netzwerks - Wir sind DAS der Linie - für die Linie - C4B-Team
UWP-D16 UWP-D-Funkmikrofonset mit Taschensender und XLR-Anstecksender - pro.sony
UWP-D16 UWP-D-Funkmikrofonset mit Taschensender und XLR-Anstecksender - pro.sony
SCHLANK UND SCHLAU - MARKTNAH UND MOBIL - Welche Perspektiven haben multinationale Osteuropazentralen in Österreich? - BCG
SCHLANK UND SCHLAU - MARKTNAH UND MOBIL - Welche Perspektiven haben multinationale Osteuropazentralen in Österreich? - BCG
HXCU-FB80 4K-/HD-Kamerabasisstation für die Kamera HXC-FB80 - pro.sony
HXCU-FB80 4K-/HD-Kamerabasisstation für die Kamera HXC-FB80 - pro.sony
DFS-900M Kompakter 2D/3D-SD/HD- Videomischer - pro.sony
DFS-900M Kompakter 2D/3D-SD/HD- Videomischer - pro.sony
FW-75BZ30J 75"-HDR-BRAVIA Professional Display mit 4K-Ultra HD- Auflösung
FW-75BZ30J 75"-HDR-BRAVIA Professional Display mit 4K-Ultra HD- Auflösung
HDCU-3100 IP-fähige Kamerabasisstation der nächsten Generation - pro.sony
HDCU-3100 IP-fähige Kamerabasisstation der nächsten Generation - pro.sony
SOW-E Series Video-Management-Software für Netzwerke - Enterprise Edition - pro.sony
SOW-E Series Video-Management-Software für Netzwerke - Enterprise Edition - pro.sony
FW-75BZ30J 75"-HDR-BRAVIA Professional Display mit 4K-Ultra HD- Auflösung - pro.sony
FW-75BZ30J 75"-HDR-BRAVIA Professional Display mit 4K-Ultra HD- Auflösung - pro.sony
HXC-FB80 HD-Farb-Studiokamera mit drei 2/3" Exmor-CMOS-Sensoren - pro.sony
HXC-FB80 HD-Farb-Studiokamera mit drei 2/3" Exmor-CMOS-Sensoren - pro.sony
Klärung und Erweiterung des KRITIS-Vokabulars - Kriterien und Vorgehensweise - BBK. Gemeinsam handeln. Sicher leben - Bundesamt ...
Klärung und Erweiterung des KRITIS-Vokabulars - Kriterien und Vorgehensweise - BBK. Gemeinsam handeln. Sicher leben - Bundesamt ...
FW-65BZ30J 65"-HDR-BRAVIA Professional Display mit 4K-Ultra HD- Auflösung
FW-65BZ30J 65"-HDR-BRAVIA Professional Display mit 4K-Ultra HD- Auflösung
SYSTEMNAHE PROGRAMMIERUNG IN C (SPIC) - 20 NEBENLÄUFIGE PROZESSE - FRIEDRICH-ALEXANDER ...
SYSTEMNAHE PROGRAMMIERUNG IN C (SPIC) - 20 NEBENLÄUFIGE PROZESSE - FRIEDRICH-ALEXANDER ...
Manage Erweiterte Workplace-Management-Software - pro.sony
Manage Erweiterte Workplace-Management-Software - pro.sony
FW-65XD8501 65"-BRAVIA Professional 4K- LED-Farbdisplay - pro.sony
FW-65XD8501 65"-BRAVIA Professional 4K- LED-Farbdisplay - pro.sony
Cloud-Infrastrukturen - Last Call for Boarding - Cloud Computing als Erfolgsgarant für zukunftssichere IT
Cloud-Infrastrukturen - Last Call for Boarding - Cloud Computing als Erfolgsgarant für zukunftssichere IT
VPL-FHZ131L Projektor mit Laserlichtquelle mit 13.000 Lumen (Farbverfügbarkeit variiert je nach Land) - pro.sony
VPL-FHZ131L Projektor mit Laserlichtquelle mit 13.000 Lumen (Farbverfügbarkeit variiert je nach Land) - pro.sony
VPL-PHZ50 Projektor mit Laserlichtquelle und 5000 lm (5400 lm im Mittelpunkt)
VPL-PHZ50 Projektor mit Laserlichtquelle und 5000 lm (5400 lm im Mittelpunkt)
HSCU-300 Kompakte Kamerabasisstation für die Kameras des Typs HSC-300 - pro.sony
HSCU-300 Kompakte Kamerabasisstation für die Kameras des Typs HSC-300 - pro.sony
Microphone Array System Manager - MASM-1 A100 und Verwaltung des MAS- pro.sony
Microphone Array System Manager - MASM-1 A100 und Verwaltung des MAS- pro.sony
FW-49XD8001 49"-BRAVIA Professional 4K- LED-Farbdisplay - pro.sony
FW-49XD8001 49"-BRAVIA Professional 4K- LED-Farbdisplay - pro.sony
AWS-G500 Tragbares Produktionssystem für Live-Events, inklusive Videomischer, Audiomischer und hochwertigem LCD-Monitor.
AWS-G500 Tragbares Produktionssystem für Live-Events, inklusive Videomischer, Audiomischer und hochwertigem LCD-Monitor.
VPL-DX142 XGA-Desktop-Projektor mit 3.200 Lumen - pro.sony
VPL-DX142 XGA-Desktop-Projektor mit 3.200 Lumen - pro.sony
HDVF-EL70 7,4''-OLED-Sucher für Studiokameras - pro.sony
HDVF-EL70 7,4''-OLED-Sucher für Studiokameras - pro.sony
UNI-ORBC2 Vandalismussicheres, wetterfestes Gehäuse für feststehende Kameras im Außenbereich - pro.sony
UNI-ORBC2 Vandalismussicheres, wetterfestes Gehäuse für feststehende Kameras im Außenbereich - pro.sony
FWL-65W855C 65" BRAVIA Professional - Full HD-LED-Farbdisplay
FWL-65W855C 65" BRAVIA Professional - Full HD-LED-Farbdisplay
FW-55BZ40H 55"-HDR-BRAVIA Professional Display mit 4K-Ultra HD- Auflösung
FW-55BZ40H 55"-HDR-BRAVIA Professional Display mit 4K-Ultra HD- Auflösung
FWL-48W705C 48" BRAVIA Professional - Full HD-LED-Farbdisplay
FWL-48W705C 48" BRAVIA Professional - Full HD-LED-Farbdisplay
FW-65X8570C 65"-BRAVIA Professional 4K- LED-Farbdisplay - pro.sony
FW-65X8570C 65"-BRAVIA Professional 4K- LED-Farbdisplay - pro.sony
LMD-1510W 15,6''-LCD-Monitor für den Einstiegsbereich - pro.sony
LMD-1510W 15,6''-LCD-Monitor für den Einstiegsbereich - pro.sony
VPL-FHZ65 Projektor mit Laserlichtquelle mit 6000 Lumen und WUXGA (Farbverfügbarkeit variiert je nach Land) - pro.sony
VPL-FHZ65 Projektor mit Laserlichtquelle mit 6000 Lumen und WUXGA (Farbverfügbarkeit variiert je nach Land) - pro.sony
SNCA-POE12 KOMPAKTES POE-MIDSPAN-NETZTEIL MIT 12 PORTS FÜR FIX- UND MINI-DOME-KAMERAS - PRO.SONY
SNCA-POE12 KOMPAKTES POE-MIDSPAN-NETZTEIL MIT 12 PORTS FÜR FIX- UND MINI-DOME-KAMERAS - PRO.SONY
FW-55BZ40H 55"-HDR-BRAVIA Professional Display mit 4K-Ultra HD- Auflösung - Huss Licht & Ton
FW-55BZ40H 55"-HDR-BRAVIA Professional Display mit 4K-Ultra HD- Auflösung - Huss Licht & Ton
EBRIDGE 1CR EBRIDGE 1CR ETHERNET-OVER- COAX (EOC)-EMPFÄNGER - PRO.SONY
EBRIDGE 1CR EBRIDGE 1CR ETHERNET-OVER- COAX (EOC)-EMPFÄNGER - PRO.SONY
Y aSM -Prozesslandk arte Die Y aSM -Prozesslandk arte für die ARIS Process Platform - Screenshots - Beispiel -A nsichten und I nhal tsübersicht
Y aSM -Prozesslandk arte Die Y aSM -Prozesslandk arte für die ARIS Process Platform - Screenshots - Beispiel -A nsichten und I nhal tsübersicht
FWD-84X9005 Professionelles 84"-BRAVIA- 4K-LED-Display - pro.sony
FWD-84X9005 Professionelles 84"-BRAVIA- 4K-LED-Display - pro.sony
FWD-55A8/T 55" HDR-OLED-BRAVIA 4K Professional Display - pro.sony
FWD-55A8/T 55" HDR-OLED-BRAVIA 4K Professional Display - pro.sony
Auswirkungen eines EHS-Linkings Schweiz - EU für den stationären Bereich - Aktualisierung für den Betrachtungszeitraum 2021 bis 2030 ...
Auswirkungen eines EHS-Linkings Schweiz - EU für den stationären Bereich - Aktualisierung für den Betrachtungszeitraum 2021 bis 2030 ...
Wertschöpfungseffekte des tourismusbedingten Nachfrageausfalls für Tirol im Zuge der Corona-Pandemie
Wertschöpfungseffekte des tourismusbedingten Nachfrageausfalls für Tirol im Zuge der Corona-Pandemie
VPL-EW255 Tragbarer WXGA-Projektor mit Drahtlosübertragung und 3.200 Lumen - pro.sony
VPL-EW255 Tragbarer WXGA-Projektor mit Drahtlosübertragung und 3.200 Lumen - pro.sony
DWZ-B70HL Digitales Funkmikrofonset der DWZ-Serie mit Lavalier- /Headsetmikrofonen für Gesang und Sprache - pro.sony
DWZ-B70HL Digitales Funkmikrofonset der DWZ-Serie mit Lavalier- /Headsetmikrofonen für Gesang und Sprache - pro.sony
VMI-40MD Bild-Multiplexer
VMI-40MD Bild-Multiplexer
VPL-DX147 XGA-Desktop-Projektor mit 3.200 Lumen - pro.sony
VPL-DX147 XGA-Desktop-Projektor mit 3.200 Lumen - pro.sony
DWT-B03R Digitaler drahtloser Taschensender der DWX-Serie - pro.sony
DWT-B03R Digitaler drahtloser Taschensender der DWX-Serie - pro.sony
BRC-X1000 4K-PTZ-Kamera mit 1"-Exmor R CMOS-Sensor (Farbverfügbarkeit kann je nach Land variieren)
BRC-X1000 4K-PTZ-Kamera mit 1"-Exmor R CMOS-Sensor (Farbverfügbarkeit kann je nach Land variieren)
Profilübersicht 2019 inkl. Options-Abos
Profilübersicht 2019 inkl. Options-Abos
TechVisionen - Neues aus der Zukunft Sonderausstellung der Oö. Zukunftsakademie 9.1.-31.3.2019, Schlossmuseum Linz - OÖ. Zukunftsakademie
TechVisionen - Neues aus der Zukunft Sonderausstellung der Oö. Zukunftsakademie 9.1.-31.3.2019, Schlossmuseum Linz - OÖ. Zukunftsakademie
Wir verwenden Cookies. Bitte beachten Sie die Datenschutzbestimmungen.