Die Mitte Januar 2026 veröffentlichte österreichische Strategie für die Resilienz kritischer Einrichtungen inkl. der nationalen Risikoanalyse gibt Aufschluss darüber, wie die gesamtstaatliche Sicht auf die Gefahrenlage und auf sektorübergreifende Risiken umgesetzt wird. Auf dieser Basis sind kritische Einrichtungen verpflichtet, eigene Risikoanalysen durchzuführen und Resilienzmaßnahmen zu setzen.
Unternehmen haben nach Bescheidausstellung neun Monate Zeit, um diese Risikoanalysen erstmalig durchzuführen und zehn Monate, um Resilienzmaßnahmen erstmalig zu definieren. Das RKEG beschreibt die Notwendigkeit, dass kritische Infrastrukturen Risiken bewerten müssen, die die Erbringung ihrer wesentlichen Dienste stören können.
Unter Risiken versteht das RKEG alle relevanten natürlichen und vom Mensch verursachten Risiken, darunter Unfälle, Naturkatastrophen, feindliche Bedrohungen und Notsituationen im Bereich der öffentlichen Gesundheit, wie etwa Pandemien (All-Gefahren-Ansatz). Unter Resilienzmaßnahmen, die für den physischen Schutz der kritischen Einrichtung getroffen werden müssen, werden technische, sicherheitsbezogene und organisatorische Maßnahmen, die Erstellung eines Resilienzplans und die Benennung eines/einer Verbindungsbeauftragten verstanden.
BC Consulting unterstützt Unternehmen seit mehrere Jahren darin, sich resilienter aufzustellen und Risikoanalysen durchzuführen. Dazu wurde ebenso die innovative Software bcNAVIGATOR entwickelt, welche diesen Prozess erheblich vereinfacht und Ressourcen einspart. Die nachfolgende Vorgehensweise zeigt, wie die geforderte Risikoanalyse Schritt für Schritt im Modul bcRISK durchgeführt wird.
Digitale Umsetzung der RKEG
In bcRISK, ein Modul von bcNAVIGATOR, ist der vollständige Gefahrenkatalog laut RKEG abgebildet, eingeteilt in natürliche, intentionale, anthropogene und technische Gefahren (All-Gefahren-Ansatz). Jede kritische Einrichtung kann den Gefahrenkatalog individuell an die eigenen Bedürfnisse anpassen und konfigurieren. Szenarien können mittels Import-Files oder Schnittstellen schnell und simpel hochgeladen oder manuell angelegt werden.
Nachdem der Gefahrenkatalog definiert wurde, können die einzelnen Szenarien detailliert beschrieben und spezifiziert werden. Die dargestellten Felder sind dabei frei konfigurierbar und können u.a. mit Filtern versehen werden. Wie auf dem unteren Screenshot zu sehen ist, legt man innerhalb des Szenariofilters fest, ob es sich um ein natürliches, intentionales, anthropogenes oder technisches Szenario handelt.
Nach der Szenarienbeschreibung, folgt die Szenarien-Analyse. Auch hier ist frei konfigurierbar, in welchen Auswirkungsklassen das Risiko bewertet werden soll. Laut RKEG wird die Auswirkung auf die Verfügbarkeit (inkl. der Schwellwerte) des wesentlichen Dienstes vorgegeben. Weitere Auswirkungskategorien wären beispielsweise die Auswirkung auf Leib und Leben, Auswirkung auf die Umwelt, finanzielle Auswirkungen oder Auswirkungen auf das Image. Neben der Auswirkung muss das Szenario auch mit einer Eintrittswahrscheinlichkeit bewertet werden. Auch hier sind die Schwellwerte laut RKEG vorgegeben und bereits in der Software integriert.
Als nächster Schritt erfolgt die Zuteilung von beeinträchtigten Ressourcen bzw. beeinträchtigten Prozessen, die von einem Szenarioeintritt betroffen wären. Zusätzlich kann eine Risikobehandlung (z.B. nach dem TARA-Prinzip) vorgenommen werden, wo die weitere Vorgehensweise im Umgang mit den jeweiligen Risikoszenarien beschrieben wird.
Ist das Szenario mit Eintrittswahrscheinlichkeit und Auswirkung bewertet und die Risikobehandlung festgelegt, wird die Lokalisierung des Szenarios in einer Risikomatrix dargestellt. Bei der Risikomatrix können die Achsen, Skalierung und die Farbschemen individuell angepasst werden.
Abschließend kann ein automatisierter Risikobericht je Szenario, aber auch als Management Summary, mit allen Informationen aus der Software erstellt werden. Der Risikobericht ist entweder als Word- oder als Powerpoint-Vorlage mit verschiedenen Textbausteinen konfigurierbar und beinhaltet alle relevanten Informationen für die Risikoanalyse (Listen der Top-Gefahren, Maßnahmen für die jeweiligen Risikoszenarien etc). Das Design des Berichts kann nach dem Erstellen individuell angepasst und auf Ihr Unternehmen maßgeschneidert werden.
Fazit
Um die regulatorischen Vorgaben zu erfüllen, sind Unternehmen der kritischen Infrastruktur mit einer Vielzahl an verschiedenen Risikoszenarien konfrontiert, wodurch die Bewertung der jeweiligen Szenarien mit unterschiedlichen Betrachtungshorizonten sehr schnell sehr komplex werden kann.
Unsere innovative Lösung in bcRISK liefert einen strukturierten, normgerechten und RKEG konformen Ansatz, der Unternehmen dabei unterstützt den ganzen Prozess zu durchlaufen und auf Knopfdruck einen Risikobericht zu erstellen, der sowohl managementtauglich als auch als deatilliert aufgebaut werden kann. Die notwendigen Risikoszenarien und die Methodik aus dem RKEG sind bereits in bcRISK vorhanden.
