Krisenmanagement & Sicherheitsmanagement für Wasserversorger und -entsorger - kritische Infrastruktur

Unsere Experten beteiligen sich an Gremien und Ausschüssen, um Standards und Normen im Bereich Business Continuity Management und Corporate Security Management weiterzuentwickeln.

INFRAPROTECT® berät Sie im Bereich Risiko-, Notfall-, Krisen- und Sicherheitsmanagement immer entsprechend der jeweils für Ihr Unternehmen bzw. Ihre Organisation gültigen Normen, Gesetze, Verordnungen, Regelwerke und Standards:

 

Notfallmanagement

BSI-Standard 100-4
Mit dem BSI-Standard 100-4 wird ein systematischer Weg aufgezeigt, ein Notfallmanagement in einer Behörde oder einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen. Aufgaben eines Notfallmanagements sind daher, die Ausfallsicherheit zu erhöhen und die Institution auf Notfälle und Krisen adäquat vorzubereiten, damit die wichtigsten Geschäftsprozesse bei Ausfall schnell wieder aufgenommen werden können. Es gilt, Schäden durch Notfälle oder Krisen zu minimieren und die Existenz der Behörde oder des Unternehmens auch bei einem größeren Schadensereignis zu sichern.

(Quelle: Bundesamt für Sicherheit in der Informationstechnik/BSI)

 

Risikomanagement

ISO 31000 – Grundsätze und Richtlinien

ISO 31000 ÖNORM 2018 bietet Richtlinien für das Risikomanagement von Organisationen. Gültig für die Verwaltung jeder Art von Risiko ist sie nicht für eine Branche spezifisch. Sie ist verwendbar für die gesamten Lebensdauer der Organisation und auf jede Tätigkeit anwendbar, einschließlich der Entscheidungsfindung auf allen Ebenen.

 

ISO 31010: Verfahren zur Risikobeurteilung (IEC/ISO 31010:2009)

 

ONR 49000: Begriffe und Grundlagen

ONR 49001: Risikomanagement

ONR 49002-1: Teil 1: Leitfaden für die Einbettung des Risikomanagements ins Managementsystem

ONR 49002-2: Teil 2: Leitfaden für die Methoden der Risikobeurteilung

ONR 49002-3: Teil 3: Leitfaden für das Notfall-, Krisen- und Kontinuitätsmanagement

ONR 49003: Anforderungen an die Qualifikation des Risikomanagers

 

Auszug aus der ONR 49002-3:
Da sich in Notfall-und Krisensituationen spezielle Führungs-, Koordinations-und Informationsaufgaben ergeben und ein ungewöhnlicher Zeitdruck herrscht, sollte die oberste Leitung die Vorbereitung und die Reaktion in der Chaosphase dem Notfall-Einsatzleiter und dem Krisenstab delegieren. Für die Vorbereitung trägt indes die oberste Leitung die Verantwortung.
(Quelle Austrian Standards)

 

§ 39 Abs. 2b BWG (Kreditinstitute-Risikomanagementverordnung – KI-RMV)

Verordnung der Finanzmarktaufsichtsbehörde (FMA) über die ordnungsgemäße Erfassung, Steuerung, Überwachung und Begrenzung der Risikoarten für Kreditinstitute.

 

§ 92 AktG Innere Ordnung des Aufsichtsrats

4. b. Zu den Aufgaben des Prüfungsausschusses gehören die Überwachung der Wirksamkeit des Risikomanagementsystems der Gesellschaft.

Gleichlautendes gilt für alle Unternehmen/Organisationen mit einem Aufsichtsrat (AG/GmbH):
zum Beispiel § 30g (4a) Z 4 GmbHG

 

 

Business Continuity Management

ISO 22300 Sicherheit und ResilienzBCM System – Vokabular  (ÖNORM EN ISO 22300: 2019)

ISO 22301  Sicherheit und Schutz des Gemeinwesens – BCM System – Anforderungen

In diesem Dokument werden Anforderungen an ein Managementsystem festgelegt,

  • um sich auf kritische Situationen vorzubereiten
  • sich gegen Auswirkungen zu schützen
  • die Wahrscheinlichkeit ihres Auftretens zu vermindern,
  • bei Bedarf zu reagieren und
  • sich von diesen wieder zu erholen.

Die darin enthaltenenen Anforderungen sind solch allgemeiner Art, dass sie für sämtliche Organisationen gelten.

 

Security Management System

ISO ÖNORM S 2412: Benennungen und Definitionen

ISO ÖNORM S 2413: Grundlagen und Prozesse
ISO ÖNORM S 2414-1 Teil 1: Leitfaden für die Einbettung der Informationssicherheit in das Security Management System

ISO ÖNORM S 2414-2 Teil 2: Leitfaden für die Einbettung der physischen Sicherheit in das Security Management System

ISO ÖNORM S 2414-3 Teil 3: Leitfaden für die Einbettung von Resilienz-Management in das Security Management System

 

ISO ÖNORM S 2450 Umgang mit klassifizierten Informationen – Anforderungen an den Schutz von Verschlusssachen

 

Netz- und Informationssystemsicherheitsverordnung – NISV

Folgende Sektoren

  • § 4. Sektor Energie
  • § 5. Sektor Verkehr
  • § 6. Sektor Bankwesen
  • § 7. Sektor Finanzmarktinfrastrukturen
  • § 8. Sektor Gesundheitswesen
  • § 9. Sektor Trinkwasserversorgung

 

werden von INFRAPROTECT® bei der Umsetzung von § 11. (1) Sicherheitsvorkehrungen gemäß § 17 Abs. 1 NISG unterstützt.

Diese Sicherheitsvorkehrungen müssen zur Netz- und Informationssystemsicherheit geeignet sein und den Stand der Technik berücksichtigen (§ 3 Z 2 NISG)

 

1. Governance und Risikomanagement

1.1 Risikoanalyse:

Eine Risikoanalyse der Netz- und Informationssysteme ist durchzuführen. Dabei sind spezifische Risiken auf Grundlage einer Analyse der betrieblichen Auswirkungen von Sicherheitsvorfällen zu ermitteln und hinsichtlich der hohen Bedeutung des Betreibers wesentlicher Dienste für das Funktionieren des Gemeinwesens zu bewerten.

1.2 Sicherheitsrichtlinie:
Eine Sicherheitsrichtlinie ist zu erstellen und periodisch zu aktualisieren.

1.3 Überprüfungsplan der Netz- und Informationssysteme:
Die Durchführung der periodischen Überprüfung der Netz- und Informationssystemsicherheit ist zu planen und festzulegen.

1.4 Ressourcenmanagement:
Alle Ressourcen, die erforderlich sind, um die Funktionsfähigkeit der Netz- und Informationssysteme zu gewährleisten, sind im Hinblick auf kurz-, mittel- und langfristige Kapazitätsanforderungen einzuplanen und sicherzustellen.

1.5 Informationssicherheitsmanagementsystemprüfung:
Die periodische Überprüfung des Informationssicherheitsmanagementsystems ist festzulegen und durchzuführen.

1.6 Personalwesen:
Sicherheitsrelevante Aspekte sind in den Prozessen des Personalwesens zu berücksichtigen und umzusetzen.

 

2. Umgang mit Dienstleistern, Lieferanten und Dritten

2.1 Anforderungen an Dienstleistern, Lieferanten und Dritte für den Betrieb von, einen sicheren Zugang zu und Zugriff auf Netz- und Informationssysteme sind festzulegen und periodisch zu überprüfen.

2.2 Die Leistungsvereinbarungen mit Dienstleistern und Lieferanten sind periodisch zu überprüfen und zu überwachen.

 

5. Identitäts- und Zugriffsmanagement

5.1 Identifikation und Authentifikation:
Es sind Verfahren umzusetzen und Technologien einzusetzen, die die Identifikation und Authentifikation von Benutzern und Diensten gewährleisten.

5.2 Autorisierung:
Es sind Verfahren umzusetzen und Technologien einzusetzen, die unautorisierte Zugriffe auf Netz- und Informationssysteme unterbinden.

 

7. Physische Sicherheit

7.1 Der physische Schutz der Netz- und Informationssysteme, insbesondere der physische Schutz vor unbefugtem Zutritt und Zugang, ist zu gewährleisten.

 

8. Erkennung von Vorfällen

8.1 Erkennung: Mechanismen zur Erkennung und Bewertung von Vorfällen sind umzusetzen.

8.2 Protokollierung und Monitoring:
Mechanismen zu Protokollierung und Monitoring, insbesondere für die Erbringung essentieller Tätigkeiten und Vorgänge, sind umzusetzen.

8.3 Korrelation und Analyse:
Mechanismen zur Erkennung und adäquaten Bewertung von Vorfällen durch die Korrelation und Analyse der ermittelten Protokolldaten sind umzusetzen.

 

9. Bewältigung von Vorfällen

9.1 Vorfallsreaktion:
Prozesse zur Reaktion auf Vorfälle sind zu erstellen, aufrechtzuerhalten und zu erproben.

9.2 Vorfallsmeldung:
Prozesse zur internen und externen Meldung von Vorfällen sind zu erstellen, aufrechtzuerhalten und zu erproben.

9.3 Vorfallsanalyse:
Prozesse zur Analyse und Bewertung von Vorfällen und zur Sammlung relevanter Informationen sind zu erstellen, aufrechtzuerhalten und zu erproben, um den kontinuierlichen Verbesserungsprozess zu fördern.

 

10. Betriebskontinuität

10.1 Betriebskontinuitätsmanagement:
Die Wiederherstellung der Erbringung des wesentlichen Dienstes auf einem zuvor festgelegten Qualitätsniveau nach einem Sicherheitsvorfall ist zu gewährleisten.

10.2 Notfallmanagement:
Notfallpläne sind zu erstellen, anzuwenden, regelmäßig zu bewerten und zu erproben.

 

11. Krisenmanagement

11.1 Krisenmanagement:
Rahmenbedingungen und Prozessabläufe des Krisenmanagements sind für die Aufrechterhaltung des wesentlichen Dienstes vor und während eines Sicherheitsvorfalls zu definieren, umzusetzen und zu erproben.

 

Verbandsverantwortlichkeitsgesetz § 3 VbVG (Österreich)

Durch das Verbandsverantwortlichkeitsgesetz wurde in Österreich eine Verantwortlichkeit von Verbänden eingeführt. Es gilt für juristische Personen und Personengesellschaften (Aktiengesellschaft, Gesellschaft mit beschränkter Haftung, Privatstiftung, Verein, Offene Gesellschaft, Kommanditgesellschaft).
Sie können belangt werden, wenn ein Mitarbeiter eine gerichtlich strafbare Handlung begangen hat und diese dem Verband zugerechnet werden kann. Voraussetzung für eine Zurechnung ist, dass die Straftat zu Gunsten des Verbandes begangen wurde oder Pflichten verletzt wurden, die den Verband treffen (Verbandspflichten).
s. WKO-Verbandsverantwortkeitsgesetz

 

Organisationsverschulden (Bundesrepublik Deutschland)

§ 31 BGB umfasst die Haftung wegen der Verletzung von Organisationspflichten oder wegen Nichterfüllung rechtlicher Anforderungen an betriebliche organisatorische Maßnahmen. In den typischen Anwendungsfällen wird damit ein organisationsbedingter Fehler eines Arbeitnehmers dem Arbeitgeber angelastet.

Zur Verantwortung wurden bereits Krankenanstalten, Versorgungsbetriebe, Finanz- und Kreditwirschaft, Reiseveranstalter sowie Behörden gezogen.

Zum Beispiel: Haftungsrisiken in der Versorgungswirtschaft:

  • Versorgungsstörungen
  • Umweltschäden
  • Fehlverhalten von Mitarbeitern
  • Unfälle auf Baustellen

Kritische Situationen können zivilrechtliche und strafrechtliche Prozesse nach sich ziehen.

 

Zusammenarbeit mit staatlichen Einrichtungen (Geheimschutz)

Unternehmen, die mit staatlichen Unternehmen zusammenarbeiten möchten, müssen vielfach besondere Schutzmaßnahmen* ergreifen.

INFRAPROTECT®  unterstützt Sie, wenn Sie

  • mit staatlichen Einrichtungen zusammenarbeiten und vor einem Audit stehen.
  • mit staatlichen Einrichtungen zusammenarbeiten wollen und noch keinen Geheimschutz haben.

sowie alle Unternehmen, die in der Hochtechnologiebranche arbeiten und ihre Geschäfts- und Betriebsgeheimnisse schützen wollen.

*Schutzmaßnahmen entsprechend der Informationssicherheitsverordnung, des Geheimschutzhandbuchs des BMWI , dem Bundesgesetz über die Umsetzung völkerrechtlicher Verpflichtungen zur sicheren Verwendung von Informationen (Informationssicherheitsgesetz, InfoSiG)

 

Food Fraud – Lebensmittelbetrug

Lebensmittelbetrug besteht, wenn Lebensmitteln mit dem Ziel, durch vorsätzliche Täuschung einen finanziellen oder wirtschaftlichen Vorteil zu erlangen, in den Verkehr gebracht werden, entweder durch

die Verwendung unerlaubter Zusätze oder
die bewusste Falschdeklaration

Die Sichtweisen der europäischen Mitgliedstaaten hierzu sind unterschiedlich, daher gibt es derzeit in der europäischen Gesetzgebung noch keine einheitliche rechtliche Definition des Begriffs „Food Fraud – Lebensmittelbetrug“

Der IFS Food Standard ist ein von der GFSI (Global Food Safety Initiative) anerkannter Standard für die Auditierung von Lebensmittelherstellern.

Ziel: Lebensmittelsicherheit und Qualität der Verfahren und Produkte sollen gewährleistet werden.

Anforderungen

  • Unternehmensverantwortung
  • Systeme für Qualitäts- und Lebensmittelsicherheitsmanagement
  • Ressourcenmanagement
  • Herstellungsverfahren
  • Messungen, Analysen, Verbesserungen
  • Food Defense (Schutz der Lebensmittelkette vor intentionalen (terroristischen) Akten)
  • Supply Chain Security Management

 

Profitieren Sie von unserer umfangreichen Erfahrung!

Was wir für Sie tun können!

Risikoanalyse

Gemeinsam erarbeiten wir Ihre individuellen Risiken Ihes Unternehmens/Ihrer Organisation. Diese Risiken werden dann auf Ihre Eintrittswahrscheinlichkeit und Auswirkungen auf Ihr Unternehmen bewertet.

Zusammengefasst in einer Risikomatrix kann man daraus einen Maßnahmenkatalog ableiten,
der je nach Risikobereitschaft und Risikoakzeptanz umgesetzt wird.

Sachstanderhebung - Audit Krisenmanagement

Sachstandserhebung oder Audit Ihres Krisenmanagements bildet den IST-Zustand ab.

Diese erfolgt einerseits durch Befragung Ihrer Mitarbeiter auf unterschiedlichen Hierarchiestufen, andererseits durch unsere Analyse der Betriebsabläufe, Richtlinien, Handbücher und Gepflogenheiten.

Exemplarische Fragen downloaden

Aufbau Ihres Krisenmanagements

Gemeinsam erarbeiten wir ein punktgenaues Krisenmanagement für Ihr Unternehmen.
Dabei ist der Zeitaufwand für Ihre Mitarbeiter mit etwa 16 Stunden verteilt auf 4 Workshops zu frei wählbaren Terminen gering.

In 5 Schritten zum Aufbau Ihres Krisenmanagements.
Wir stehen gerne für alle Fragen zur Verfügung!

Erstellen von Leitfäden, Checklisten und Handbüchern

Erstellen von Leitfäden, Checklisten und Handbüchern maßgeschneidert nach Ihren Bedürfnissen.

Überprüfen Ihres bereits implementierten Krisenmanagements

Sie haben bereits ein Krisenmanagement implementiert und möchten dieses auf Herz und Nieren prüfen lassen?
Rufen Sie uns an T. 0043 1 974 17 06
Unsere Experten checken Ihr Krisenmanagement konstruktiv und qualifiziert!

 

Krisen - Trainings und Übungen

Durch regelmäßiges Training werden etwaige Unsicherheiten behoben und mögliche Schwachstellen aufgedeckt.
Dabei werden das Zusammenspiel der Teams, technische Betriebsmittel und der Ablauf getestet.

Welche Übungen und Trainings es gibt finden Sie hier

Krisen - Kommunikation

Damit es zu keiner medialen Krise kommt, gilt es einiges zu beachten.

Wir bereiten Sie mit unseren Handbüchern und Trainings auf die richtigen Kommunikationsstrategie vor.

Sachstandserhebung Corporate Security Management

Sachstandserhebung oder Audit Ihres Security Managements bildet den IST-Zustand ab.

Diese erfolgt einerseits in Ihrem Unternehmen durch eine Begehung Ihrer Innen- und Außenbereiche und Befragung Ihrer Mitarbeiter auf unterschiedlichen Hierarchiestufen, andererseits durch Analyse der Betriebsabläufe, Richtlinien, Handbücher und Gepflogenheiten.

Sie erhalten einen Abschlußbericht mit möglichen Schwachstellen und Maßnahmen-Empfehlungen.

10 Beispielfragen für ein Corporate Security Audit

GIB - Gefahren identifizieren und bewerten

Nach der Sachstandserhebung bewerten und identifizieren wir Gefahren.

Es gibt 3 Gefahrenfelder

  • Naturgefahren (Sturm, Hochwasser….)
  • technische Gefahren (Brand, Explosion….)
  • intentionale Gefahren (Diebstahl, Sabotage…)

Diese werden nach der Wahrscheinlichkeit ihres Eintritts für Ihr Unternehmen bewertet.

(Risikoanalyse)

Aufbau Ihres Corporate Security Managements

Entsprechend Ihrer individuellen Gefahren-Bewertung wird Ihr Risikohandbuch entwickelt und ein maßgeschneidertes Sicherheitsmanagement vorgeschlagen.

Der Aufbau eines Corporate Security Managements in 4 Schritten
Wir sind neutral und unabhängig, das heißt wir empfehlen keine Marken oder speziellen Produkte.
Für uns stehen Wirtschaftlichkeit und Sinnhaftigkeit im Mittelpunkt.

Überprüfen Ihres bereits implementierten Security Management

Sie haben bereits ein Securitymanagement implementiert und möchten dieses von unseren Experten auf Herz und Nieren prüfen lassen?
Wir checken neutral und unabhängig!

(Cyber) Security – Trainings und Stresstests

Durch regelmäßiges Training wird die Security Awareness in Ihrem Unternehmen gestärkt und mögliche technischen Schwachstellen aufgedeckt.