Business Continuity Management: Der unterschätzte Pfeiler der Cyber-Resilienz
Zunehmende Cyberangriffe und Naturkatastrophen rücken Business Continuity Management (BCM) immer stärker in den Fokus. Dieses Insight zeigt, wie Unternehmen sich wirksam auf Krisen vorbereiten, welche Standards gelten und wie BCM mit Informationssicherheit und IT Risikomanagement verzahnt ist.
Inhaltsverzeichnis
Das Wichtigste in Kürze
- BCM (Business Continuity Management) sichert die Fortführung von Geschäftsprozessen während und nach Krisen.
- Informationssicherheit und IT-Notfallmanagement sind zentrale Bestandteile eines wirksamen BCMs.
- Regulatorische Normen wie ISO/IEC 22301:2019 und BSI-Standard 200-4 legen wesentliche Anforderungen an BCM fest.
- Regelmäßige Tests und Übungen sind erforderlich, um BCM-Pläne auf ihre Wirksamkeit zu überprüfen.
Grundlagen von Business Continuity Management (BCM)
Business Continuity Management (BCM) sorgt dafür, dass Unternehmen auch in Krisensituationen handlungsfähig bleiben und kritische Geschäftsprozesse aufrecht erhalten. Dabei gibt es große Schnittmengen zum Notfallmanagement, das akute Störungen operativ bewältigt, und das Krisenmanagement, das die strategische Steuerung übernimmt.
Definition von BCM
BCM ist ein systematischer Prozess zur schnellen Wiederherstellung kritischer Geschäftsprozesse bei Störungen. Es umfasst präventive Maßnahmen, Wiederanlaufstrategien und ein regelmäßiges Üben der Wiederherstellung.
Historischer Ursprung
Institutionen bereiten sich seit Beginn der Menschheitsgeschichte auf Krisensituationen und Herausforderungen vor, um ihren Fortbestand zu sichern. Der Ursprung von BCM als Managementpraktik in den 1980er Jahren, als Unternehmen begannen, BCM als Teil ihres Risikomanagements zu etablieren. Damals wurden technologische, wirtschaftliche und gesellschaftliche Risiken erkannt – z.B. Ausfälle in der Lieferkette bei zunehmender Globalisierung, die den Geschäftsbetrieb erheblich beeinträchtigen können.
Der moderne BCM-Ansatz umfasst neben klassischen Ausfällen auch Aspekte der IT-Sicherheit, da IT und Daten in vielen Unternehmen die Grundlagen der Geschäftsfähigkeit bilden. Neben der Notfallplanung deckt ein umfangsreiches BCM auch die Identifikation und Analyse von Risiken sowie die Entwicklung von Wiederanlaufstrategien ab.
Ziele des BCM
- Verfügbarkeit sicherstellen: Kritische Geschäftsprozesse müssen auch während einer Störung aufrechterhalten werden.
- Risiken minimieren: Eine fundierte Risikoabschätzung soll die Auswirkungen von Betriebsunterbrechungen so gering wie möglich halten.
- Schneller Wiederanlauf: Notfallpläne müssen so gestaltet sein, dass der Betrieb nach einem Ausfall schnell wieder aufgenommen werden kann.
Abgrenzung: BCM vs. Notfallmanagement vs. Krisenmanagement
Obwohl diese Begriffe miteinander verbunden sind, unterscheiden sie sich in ihrem Fokus:
- Notfallmanagement bezieht sich auf die unmittelbare Reaktion auf Krisen, etwa die Evakuierung von Gebäuden, das Einschalten von Notdiensten oder der Segmentierung von Netzwerken.
- Krisenmanagement beschäftigt sich mit der ganzheitlichen Steuerung und Kommunikation in Krisensituationen und betrifft organisatorisch vor allem die Führungsebene.
- BCM hingegen ist ein übergreifender Ansatz, der die gesamte Vorbereitung und Reaktion auf Notfälle und deren Wiederherstellung umfasst.
BCM steht somit in enger Verbindung mit Risikomanagement, Informationssicherheit, IT-Service Continuity Management (ITSCM), Facility Management und der Corporate Security und Governance.
Regulatorische Anforderungen, Zertifizierungen und andere relevante Normen
Es gibt zahlreiche regulatorische Vorgaben und Normen, teilweise zertifizierbar, welche Unternehmen beim Aufbau eines effektiven BCM unterstützen und als Rahmenwerke herangezogen werden können. Zu den wichtigsten gehören:
- ISO/IEC 22301:2019: [1] Die internationale Norm für BCM, die einen systematischen Ansatz zur Identifikation, Prävention und Minimierung von Betriebsunterbrechungen bietet. Hierzu gibt es weiterführende Normen mit speziellen Subthemen wie Kommunikation.
- BSI-Standard 200-4: [2] Der deutsche Standard für BCM, entwickelt vom Bundesministerium für Informationssicherheit, der speziell auf IT-Notfallmanagement und BCM in deutschen Unternehmen ausgerichtet ist.
- ISO/IEC 27001:2022: [3] in der aktuellen Fassung liegt der Fokus auf einem etabliertem BCM.
- NIS-2: [4] Die bis 2024 in nationales Recht umzusetzende EU-Regularie, zur Absicherung kritischer Industrien, legt besonderen Wert auf die Aufrechterhaltung der Geschäftsfähigkeit und stellt dadurch Anforderungen an das BCM.
- RKE / CER: [5] EU‑Regelwerk zur physischen und organisatorischen Resilienz kritischer Einrichtungen. Verpflichtet Betreiber in essenziellen Sektoren zu Risikoanalysen, Schutzmaßnahmen und Notfall‑/Kontinuitätsplänen. Ergänzt NIS‑2, indem sie nicht‑digitale Bedrohungen wie Naturereignisse, Sabotage oder physische Angriffe adressiert.
Bedeutung von Informationssicherheit im BCM-Kontext
Cyberangriffe, Systemausfälle und Datenverluste gehören heute zu den größten Risiken für die Geschäftsfähigkeit von Organisationen. Damit steigt auch die Bedeutung der Informationssicherheit im BCM kontinuierlich. Ein modernes BCM muss sicherstellen, dass kritische Informationen, Systeme und Prozesse auch unter Krisenbedingungen geschützt und verfügbar bleiben.
Schutzbedarf digitaler Ressourcen im Krisenfall
Digitale Ressourcen, von Produktionsdaten über Kommunikationssysteme bis hin zu Cloud‑Plattformen, sind im Notfall besonders gefährdet. Der Verlust von Daten oder der Ausfall zentraler IT‑Systeme kann zu erheblichen finanziellen Schäden, Vertragsverletzungen und Reputationsverlusten führen. Ein wirksames BCM muss daher sicherstellen, dass der Schutz von Informationen und Daten auch in Ausnahmesituationen gewährleistet sind.
Integrität, Verfügbarkeit und Vertraulichkeit in Krisensituationen
Die Grundpfeiler der Informationssicherheit – Integrität, Verfügbarkeit und Vertraulichkeit (CIA) – sind auch im BCM-Kontext von entscheidender Bedeutung. Anders als im klassischen Informationssicherheitsmanagementsystem (ISMS) besteht eine invertierte Priorisierung. Die Wiederherstellung der Verfügbarkeit kritischer Daten und Systeme muss, im BCM, in Notfällen oberste Priorität haben. Gleichzeitig muss auch die Integrität und Vertraulichkeit der Daten während der Krisenbewältigung sichergestellt sein, um Folgeschäden zu vermeiden.
Rolle der IT-Sicherheitsstrategie im BCM
Die IT-Sicherheitsstrategie bildet das Fundament für technische und organisatorische Schutzmaßnahmen. Dazu gehören technische Ansätze wie die Zero-Trust-Architektur, die eine kontinuierliche Authentifizierung und Autorisierung für jede Zugriffsanfrage erzwingt. In Krisenszenarien müssen Maßnahmen zur Geschäftskontinuität redundante Systeme und Notfallzugriffsverfahren umfassen, wie z. B. Offline-Administratorkonten mit sicher gespeicherten Anmeldeinformationen, um eine schnelle Wiederherstellung und betriebliche Ausfallsicherheit zu gewährleisten.
IT/ OT Konvergenz als Treiber für BCM in der produzierenden Industrie
In der Industrie gewinnt BCM durch die zunehmende Vernetzung von IT und OT (Operational Technology) stark an Bedeutung. OT‑Systeme steuern physische Prozesse wie Fertigungsstraßen, Robotik oder Energieversorgung. Ein Ausfall kann nicht nur wirtschaftliche Schäden verursachen, sondern auch sicherheitskritische Situationen auslösen.
Ein wirksames BCM für OT‑Umgebungen berücksichtigt insbesondere:
- Hohe Verfügbarkeitsanforderungen: Produktionsanlagen lassen sich nicht beliebig stoppen oder neu starten. BCM‑Pläne müssen realistische Wiederanlaufstrategien definieren.
- Lange Lebenszyklen und Legacy‑Systeme: Viele OT‑Systeme sind über Jahrzehnte im Einsatz und nicht für moderne Cyberbedrohungen ausgelegt. BCM muss alternative Betriebsmodi (z. B. manueller Betrieb) vorsehen.
- Safety‑Relevanz: Fehlfunktionen nicht nur wirtschaftlich kritisch, sondern können auch physische Schäden verursachen. BCM‑Maßnahmen müssen daher eng mit Safety‑Management und Arbeitsschutz verzahnt sein.
- Lieferkettenabhängigkeiten: Just‑in‑Time‑Produktion und externe Zulieferer erhöhen die Komplexität. BCM muss alternative Beschaffungs‑ und Produktionswege definieren.
- Spezifische Wiederherstellungsziele: Recovery Time Objective (RTO) und Recovery Point Objective (RPO) unterscheiden sich oft deutlich von IT‑Systemen, da Maschinenzustände und Prozessparameter besondere Anforderungen stellen.
Unternehmen, die IT‑Notfallmanagement, OT‑Sicherheit, Produktionsplanung und Lieferkettenmanagement frühzeitig integrieren, erhöhen ihre Resilienz und reduzieren Produktionsunterbrechungen nachhaltig.
Kernfelder und Aufgaben des Business Continuity Management (BCM)
Ein wirksames entsteht nicht durch isolierte Dokumente, sondern durch eine klare und strukturierte BCM-Strategie, die sich an den individuellen Unternehmenszielen orientiert. BCM umfasst mehrere Schlüsselbereiche, die für eine umfassende Betrachtung der Krisenprävention, der Krisenbewältigung und der Post-Event Verarbeitung erforderlich sind. Dazu gehören:
- Business Impact Analysis (BIA): Analyse der wichtigsten Geschäftsprozesse inklusive Auswirkungen von Störungen auf diese.
- Wiederanlaufstrategie: Asset-spezifische Maßnahmen und Strategien zur schnellen Wiederaufnahme des Geschäftsbetriebs.
- Krisenübung: Vorbereitung auf mögliche Krisen und Ausfälle, insbesondere hinsichtlich Krisenteams und Kommunikation.
- Resilienz Management: Fähigkeit des Unternehmens, sich von Störungen zu erholen und langfristig widerstandsfähig zu bleiben.
Business Impact Analyse (BIA)
Die BIA ist ein zentraler Bestandteil des BCM nach BSI‑Standard 200‑4. Um die Auswirkungen von Störungen auf das Unternehmen zu minimieren, ist es entscheidend, die kritischen Geschäftsprozesse zu identifizieren, die für den Fortbestand des Unternehmens unverzichtbar sind. Hierfür werden anhand von Leitfragen die Wichtigkeit der Prozesse sowie mögliche Beeinträchtigungen der ISMS Schutzziele Confidentiality, Integrity, Authenticity (C, I, A) analysiert. Die Ergebnisse zeigen, welche Prozesse besonders kritisch sind. Hierfür werden für jedes Asset eine Recovery Time Objective (RTO – maximale zulässige Unterbrechungsdauer) sowie Recovery Point Objective (RPO – maximal zulässiger Datenverlust in Zeit) definiert. Das Ergebnis der BIA ist ein pro Prozess/System definierter Zielwert dieser Kenngrößen.
Die Abhängigkeit der Prozesse von Plattformen und Anwendungen werden über ein etabliertes Enterprise Architecture Management (EAM) abgebildet, welches die Prioritäten, hinuntergebrochen auf das Asset Management und bis auf einzelne Items in der Configuration Management Database (CMDB) weitervererbt. Auf Komponentenebene (Netzwerkswitches, Server oder ähnlichem) werden dann Schwachstellenscans von der IT oder IT-Sicherheit durchgeführt, um diese zu schützen.
Generell gilt, dass insbesondere Cyberbedrohungen wie Ransomware-Angriffe regelmäßig bewertet und in die Notfallplanung integriert werden müssen.
Wiederanlaufstrategie
Die Wiederanlaufstrategie, Notfallpläne oder Desaster Recovery Pläne (DRP) beschreiben die Planung und Implementierung von Maßnahmen, um für die in der BIA betrachteten Ausfälle und Risiken, Lösungen bereitzustellen. Ein definierter Plan ist ein zentraler Bestandteil des BCM und stellt die Reaktionsfähigkeit, im Falle eines Ausfalls oder einer Krise, sicher. Ein Wiederanlaufplan sorgt dafür, dass der Geschäftsbetrieb nach einer Unterbrechung schnellstmöglich wieder aufgenommen werden kann.
Ein wirksamer Wiederanlaufplan umfasst:
- klare Verantwortlichkeiten
- definierte Wiederherstellungsprozesse
- priorisierte Systeme und Anwendungen
- technische Maßnahmen zur schnellen Wiederaufnahme des Betriebs
Prävention und technische Resilienz
In der Prävention von Notfällen, dient die Absicherung der IT-Infrastruktur als ein wichtiger Aspekt. Dazu gehört auch die Implementierung von Maßnahmen zur Erhöhung der Redundanz von IT-Systemen. Die Nutzung von Cloud-Diensten und die Zusammenarbeit mit externen Dienstleistern können die Resilienz eines Unternehmens erheblich steigern. Externe Cloud-Anbieter bieten oft eine höhere Verfügbarkeit und schnellere Wiederherstellungsmöglichkeiten, Skalierung von Kapazitäten, die im Krisenfall von entscheidender Bedeutung sind.
Kommunikation im Krisenfall
Eine effiziente Krisenkommunikation ist ein wichtiger Erfolgsfaktor im BCM. Sie stellt sicher, dass alle Beteiligten – intern wie extern – schnell, klar und konsistent informiert werden. Hier ist entscheidend, klare Kommunikationskanäle innerhalb der Organisation sowie nach außen zu definieren, offenzuhalten und gezielt zu nutzen.
Wichtige Elemente der Krisenkommunikation beinhalten:
- definierte Kommunikationskanäle (z. Notfallmessenger, Krisenportal)
- enge Abstimmung zwischen IT‑Security, BCM und Kommunikationsteams
- klare Rollen und Freigabeprozesse
- Vorlagen für interne und externe Kommunikation
Innerhalb der Organisation ist dadurch sicherzustellen, dass die Anwendung von IT- und Sicherheitsmaßnahmen auch in Krisensituationen funktionsfähig bleibt. Eine koordinierte Zusammenarbeit hilft dabei, die Integrität und Verfügbarkeit von Systemen während eines Vorfalls zu wahren oder schnellstmöglich wiederherzustellen.
Ein wichtiger Aspekt der Kommunikation betrifft die Außenwirkung, welche einen nachhaltigen Einfluss, positiv wie negativ, auf die Reputation eines Unternehmens hat.
Krisenübung – Tests, Übungen und kontinuierliche Verbesserung
Regelmäßige Tests sind essenziell, um sicherzustellen, dass BCM‑Maßnahmen nicht nur auf dem Papier funktionieren. Sie helfen dabei, Schwachstellen früzeitig aufzudecken, Prozesse zu optimieren und die Reaktionsfähigkeit der Organisation zu stärken.
Um die Wirksamkeit von BCM-Maßnahmen zu überprüfen, können unterschiedliche Szenarien getestet werden, wie etwa:
- Regelmäßige Penetrationstests
- Technische IT-Ausfallsimulationen
- Table‑Top‑Übungen
- vollumfängliche Krisenübungen
Diese Tests stellen sicher, dass die entwickelten Notfall- und Wiederanlaufpläne in der Praxis funktionieren und alle Beteiligten auf den Ernstfall vorbereitet sind. Sie bieten die Möglichkeit, Schwachstellen im BCM-Plan zu identifizieren und die Reaktionsfähigkeit der Organisation zu überprüfen. Zwei mögliche Szenarien, die getestet werden könnten, sind:
- IT-Systemausfall durch Cyberangriff (z. B. Ransomware-Angriff):
In diesem Szenario wird simuliert, dass ein Ransomware-Angriff auf die Unternehmens-IT-Infrastruktur erfolgt ist, wodurch wichtige Daten verschlüsselt und der Zugang zu IT-Systemen blockiert sind. Ziel ist es, die Reaktionsfähigkeit der IT-Abteilung, das Incident Response Team sowie die Passgenauigkeit und Anwendbarkeit von Wiederherstellungsmaßnahmen zu testen. Im Zuge dieser Übung sollte auch die Segmentierung, Isolierung betroffener Netze, Restore über gehärtete Backups (Immutable Storage), der Kommunikationsleitfaden für Mitarbeitende, und der Zugriff auf Backup-Daten, die Integrität dieser und die Koordination mit externen, wie internen Sicherheitsexpert:innen beinhalten. Dabei soll der Angriff gestoppt und die Daten wiederhergestellt werden. Das Szenario hilft, die Effektivität der IT-Notfallplanung, die Funktionalität der Prozesse, das Wissen und Zusammenspiel des Personals sowie der Kommunikationsprozesse in einem kritischen Zustand zu überprüfen. Die Lessons Learned sollten dann in die Härtung, das Notfallhandbuch und Playbooks einfließen.
- Unterbrechung der Lieferkette durch Naturkatastrophe:
Ein weiteres Testszenario ist der Ausfall eines wichtigen Lieferanten oder ein durch eine Naturkatastrophe verursachter Transportstopp, welcher die Lieferkette zum Erliegen bringt.
Dieses Szenario testet die Fähigkeit der Aufrechterhaltung der Betriebsfähigkeit des Unternehmens sowie die Identifikation und Verlegung/Umleitung alternativer Lieferquellen oder Transportwege. Es wird auch überprüft, wie schnell das Krisenmanagement-Team reagieren kann, um Kunden zu informieren und sicherzustellen, dass alle geschäftskritischen Lieferungen weiterhin pünktlich erfolgen. Diese Übung hilft, die Resilienz in der Lieferkette zu testen und die Entscheidungsfindung bei einer externen Krise zu stärken.
Diese Tests sind nicht als vollumfänglich zu betrachten, sondern sollen indizieren, wie durch regelmäßige Tests und Krisenübungen sichergestellt wird, dass die Organisation nicht nur theoretisch auf Krisen vorbereitet ist, sondern auch praktisch in der Lage ist, schnell und effektiv zu handeln.
Lessons Learned und Anpassung von BCM-Plänen
Nach jedem Test, jeder Krisenübung oder jedem realen Vorfall sollten die gewonnenen Erkenntnisse genutzt werden, um die bestehenden BCM-Pläne zu überarbeiten und zu verbessern. Dies gehört zum kontinuierlichen Verbesserungsprozess im BCM, welcher einerseits im BSI 200-4 verankert ist, aber auch von der ISO/IEC 22301:2019 gefordert wird und sicherstellt, dass BCM-Pläne laufend neuen Bedrohungen angepasst werden.
Revisions- und Auditprozesse (intern/extern)
Anlässlich möglicher Zertifizierungen hilft ein regelmäßiger Auditprozess dabei, sicherzustellen, dass die BCM-Maßnahmen den aktuellen Anforderungen entsprechen und kontinuierlich an neue Risiken angepasst werden. Regelmäßige Audits, intern wie extern, überprüfen die Wirksamkeit des BCM und sind Voraussetzung für Zertifizierungen wie ISO 22301 und schaffen Transparenz gegenüber Management, Kunden und Lieferanten. Besonders im Rahmen von Lieferantenaudits erwarten Unternehmen heute belastbare Nachweise über die Resilienz ihrer Partner. Ein strukturiertes BCM‑Audit stärkt das Vertrauen und verbessert die Position in der Lieferkette.
Krise als Chance: Das EFS-Praxisbeispiel für wirksames Business Continuity Management
In einem aktuellen Fallbeispiel einer Krisenübung aus der produzierenden Großindustrie zeigte sich, wie schnell ein Unternehmen auf unvorhergesehene IT-Ausfälle reagieren konnte. Zuerst wurde ein durchdachtes BCM-Konzept in enger Zusammenarbeit zwischen IT, IT-Security und BCM etabliert.
Anschließend wurde in einem Testszenario ein Ausfall der OT (Produktions-IT) inszeniert. Beim Ausfall der Linien-PLC wurde im Notfallmanagement auf manuellen Betrieb (Workarounds) umgestellt. Das Krisenmanagement informiert Kunden über auftretende Lieferverzögerungen. Im Rahmen des im BCM definierten priorisierten Wiederanlaufs der SCADA/ERP-Schnittstellen konnte validiert werden, dass die festgelegten Wiederherstellungsziele (RTO: 8 Stunden, RPO: 30 Minuten) für Fertigungsdaten eingehalten wurden. Der Geschäftsbetrieb wurde innerhalb weniger Stunden erfolgreich wieder aufgenommen.
Es konnte gezeigt werden, dass die eingeführten Maßnahmen wirksam waren, die Meldeketten funktionierten und sowohl Alarmierung als auch Behebung reibungslos funktionierte.
Fazit: BCM als strategischer Erfolgsfaktor
Business Continuity Management (BCM) ist heute weit mehr als ein reines Notfallkonzept: Es ist ein strategischer Erfolgsfaktor für moderne, wettbewerbsorientierte Unternehmen. Ein wirksames BCM stellt sicher, dass Organisationen im Krisenfall handlungsfähig bleiben, Ausfälle kontrolliert bewältigen und ihre Geschäftsfähigkeit schnell wiederherstellen können.
Durch die enge Verzahnung von BCM, IT‑Security, Risikomanagement und operativen Geschäftsprozessen entsteht ein umfassender Resilienzansatz, der Unternehmen widerstandsfähiger gegenüber Cyberangriffen, technischen Störungen und externen Krisen macht. So wird nicht nur der Fortbestand des Geschäftsbetriebs gesichert, sondern auch Vertrauen, Reputation und Wettbewerbsfähigkeit werden nachhaltig gestärkt.
Wenn Sie Ihr Unternehmen resilienter aufstellen möchten oder Fragen zum Aufbau eines modernen Business Continuity Managements haben, stehen Ihnen unsere EFS Consulting‑Expert:innen gerne für einen persönlichen Austausch zur Verfügung.
FAQs
Was ist der Unterschied zwischen BCM und Krisenmanagement?
Business Continuity Management bereitet Unternehmen auf Störungen vor und stellt die Wiederherstellung kritischer Prozesse sicher. Krisenmanagement konzentriert sich auf die Steuerung und Kommunikation während einer konkreten Krise.
Welche Normen sind für Business Continuity Management relevant?
Zu den wichtigsten Standards zählen ISO 22301, BSI-Standard 200-4, ISO 27001 sowie regulatorische Anforderungen wie NIS-2 und die CER-Richtlinie für kritische Einrichtungen.
Welche Rolle spielt Informationssicherheit im BCM?
Informationssicherheit schützt kritische Daten, Systeme und Anwendungen vor Ausfällen, Cyberangriffen und Manipulationen. Sie ist ein wesentlicher Bestandteil eines modernen Business Continuity Managements.
Wie oft sollte ein BCM getestet werden?
BCM-Maßnahmen sollten regelmäßig durch Übungen, Simulationen und Audits überprüft werden. Nur durch wiederkehrende Tests lässt sich sicherstellen, dass Notfall- und Wiederanlaufpläne im Ernstfall funktionieren.
Literaturverzeichnis
- ISO/IEC 22301:2019 International Organization for Standardization (ISO). Security and resilience — Business continuity management systems — Requirements (ISO 22301:2019). Genf: ISO, 2019. (Änderung: ISO 22301:2019/Amd 1:2024 — Climate action changes).
- BSI-Standard 200-4 Bundesamt für Sicherheit in der Informationstechnik (BSI). BSI-Standard 200-4: Business Continuity Management. Bonn: BSI, finale Fassung 14.06.2023. (Offizielles PDF, laufend aktualisiert).
- ISO/IEC 27001:2022 International Organization for Standardization (ISO) & International Electrotechnical Commission (IEC). Information security, cybersecurity and privacy protection — Information security management systems — Requirements (ISO/IEC 27001:2022). Genf: ISO/IEC, 2022. (Änderung: ISO/IEC 27001:2022/Amd 1:2024 — Climate action changes).
- NIS-2-Richtlinie
Europäisches Parlament und Rat der Europäischen Union. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union … (NIS 2). Amtsblatt der EU L 333, 27.12.2022, S. 80–152. - RKE / CER-Richtlinie
Europäisches Parlament und Rat der Europäischen Union. Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen (CER‑Richtlinie). Amtsblatt der EU L 333, 27.12.2022, S. 164-196. - ISO/IEC 31000:2018 International Organization for Standardization (ISO). Risk management — Guidelines (ISO 31000:2018). Genf: ISO, 2018.