Wir befinden uns in einer Polykrise¹ und laut dem Global Risks Report des Weltwirtschaftsforums (WEF) können sich Risiken in Zukunft sogar noch verschärfen.² Auf mittelfristige Sicht wird angenommen, dass z.B. geopolitische oder informationstechnologische Umstände ins Gewicht fallen³, aber auch der Klimawandel kann sich nicht nur in meteorologischen Veränderungen niederschlagen, sondern zusätzlich Gesundheit, Gesellschaft und Wirtschaft beeinflussen.⁴

Es verwundert daher nicht, dass Betriebsunterbrechungen im Allianz Risk Barometer für 2025 als zweitwichtigstes Risiko eingestuft und bereits seit einer Dekade mindestens auf dem zweiten Platz gelistet werden.⁵ Der Trend bewegt sich dementsprechend weg von einer reinen unternehmerischen Effizienz hin zu organisatorischer Resilienz, wobei Managementsysteme zur Identifizierung und Steuerung von Risiken und (zeitkritischen) Geschäftsprozessen an Bedeutung gewinnen. Auch politisch gibt es seit einiger Zeit Bewegung. Erst kürzlich entschied der Bundestag über eine Neugestaltung der Schuldenbremse sowie ein Sondervermögen, wobei neben Infrastruktur und Klimaneutralität auch (informationstechnische) Sicherheitsaspekte Erwähnung finden.⁶

Es ist das Ziel des vorliegenden Beitrags, einen Überblick über die regulatorischen Entwicklungen zu geben und die entsprechenden Gesetze in Kontext zu setzen. Darüber hinaus wird ein potenzieller Lösungsansatz vorgestellt, welcher Unternehmen helfen kann, einem zunehmend durch Risiken geprägten Umfeld zu begegnen.

Pflichten für die Unternehmensorgane

Über die Jahre wurden mehrere Regularien auf den Weg gebracht, um den veränderten Rahmenbedingungen gerecht zu werden und das Risikomanagement sowie die Resilienz von Unternehmen zu stärken. In Bezug auf das Risikomanagementsystem (RMS) sind in diesem Kontext insbesondere das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) gemäß § 91 Abs. 2 Aktiengesetz (AktG), das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) in § 91 Abs. 3 AktG, die Pflichten zur Überwachung von Corporate-Governance-Systemen gemäß § 107 Abs. 3 AktG, der Deutsche Corporate Governance Kodex 2022 (DCGK 2022) sowie das Unternehmensstabilisierungs- und -restrukturierungsgesetz (StaRUG) gemäß § 1 Abs. 1 StaRUG zu nennen. Zwecks Steigerung der organisatorischen Resilienz und eines zielführenden Umgangs mit Betriebsunterbrechungsrisiken als wesentlicher Risikoart im RMS sind auf europäischer Ebene hier u.a. die Richtlinien (EU) 2022/2557 (Critical Entities Resilience Directive) sowie (EU) 2022/2555 (NIS 2 Directive) zu nennen. Darüber hinaus gibt es mit der Verordnung (EU) 2022/2554 (Digital Operational Resilience Act, DORA) eine spezielle Regelung für Finanzunternehmen. Die oben genannten regulatorischen Anforderungen und deren Auswirkungen auf die Pflichten der Unternehmensorgane sollen nachfolgend vorgestellt werden. Dabei wird zunächst auf die allgemeinen Pflichten in Bezug auf das Risikomanagement und anschließend auf die speziellen Anforderungen zum Umgang mit Betriebsunterbrechungsrisiken und zur Steigerung der organisatorischen Resilienz eingegangen.

Regulatorische Anforderungen an das Risikomanagement

§ 91 Abs. 2 des AktG sieht vor, dass der Vorstand eines börsennotierten Unternehmens Maßnahmen umsetzt, die es erlauben, Gefahren, die die Kontinuität der Aktiengesellschaft bedrohen können, früh zu identifizieren. Besonders hervorzuheben ist das Überwachungssystem.

Des Weiteren ist per FISG in § 91 Abs. 3 AktG geregelt, dass ein angemessenes und wirksames internes Kontrollsystem (IKS) und ein RMS etabliert werden müssen. § 107 Abs. 3 desselben Gesetzes räumt dem Aufsichtsrat das Recht ein, einen Ausschuss zur Überwachung u.a. des RMS einzuberufen. Hieraus ergeben sich explizite Pflichten zur Überwachung u.a. des RMS durch den Aufsichtsrat bzw. den Prüfungsausschuss. Außerdem verpflichtet § 161 Vorstand und Aufsichtsrat, einmal pro Jahr anzugeben, welche Empfehlungen des DCGK 2022 umgesetzt wurden/werden und falls nicht, warum („comply or explain“). Der Kodex umfasst verpflichtende Grundsätze und unverbindliche Empfehlungen zu verschiedenen Themen wie auch dem Umgang mit Risiken. So schreibt bspw. Grundsatz 4 ein angemessenes und wirksames IKS und RMS sowie deren Überwachung vor. Hier wird u.a. der Umgang mit Betriebsunterbrechungsrisiken als wesentliche Risikoart umfasst. Mithin wird empfohlen, dass die beiden Systeme auch Ziele im Hinblick auf Nachhaltigkeit einschließen.⁷

Darüber hinaus verpflichtet § 1 Abs. 1 des StaRUG rechtsformübergreifend die Geschäftsleitung haftungsbeschränkter Rechtsträger zur Krisenfrüherkennung und zum Krisenmanagement.

CER-Richtlinie und KRITIS-Dachgesetz

Die CER-Richtlinie (EU) 2022/2557, verabschiedet 2022 und in Kraft seit 2023, zielt darauf ab, die Resilienz kritischer Infrastrukturen (KRITIS) zu stärken und einen EU-weiten Mindeststandard zu etablieren. Mitgliedsstaaten der Europäischen Union müssen die Richtlinie in nationales Recht umsetzen, wie etwa durch das KRITIS-Dachgesetz (KRITIS-DachG) in Deutschland, welches bisher jedoch lediglich als Entwurf vorliegt. Basierend auf der CER-Richtlinie wird dieses Gesetz für Unternehmen gelten, die gemäß KRITIS-Verordnung als kritische Infrastruktur definiert sind. Bis Juli 2026 müssen Mitgliedsstaaten kritische Einrichtungen identifizieren und diese zur Durchführung von Risikobewertungen verpflichten. Auf Basis der Risikobewertungen ergreifen die KRITIS-Unternehmen „geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz“, welche dann u.a. in Resilienzplänen dokumentiert werden sollen (Art. 13 Abs. 1 (EU) 2022/2557).

Die Betreiber kritischer Anlagen werden von der zuständigen Behörde, bei welcher es sich nach dem aktuellen Gesetzentwurf um das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) handelt, mit bspw. Leitfäden bei der Stärkung der Resilienz unterstützt. Mithilfe von Vor-Ort-Kontrollen und Audits durch die Behörde bzw. unabhängige Dritte wird die Einhaltung der Verpflichtungen geprüft, wobei im Fall von Verstößen Sanktionen möglich sind.

Das BBK nimmt auch Meldungen zu Sicherheitsvorfällen durch die kritischen Institutionen entgegen. Innerhalb von 24 Stunden, nachdem Kenntnis erlangt wurde, müssen die KRITIS-Unternehmen die Behörde informieren, wobei es obligatorisch ist, einen ausführlichen Bericht nachzureichen.

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), basierend auf der NIS-2-Richtlinie (EU) 2022/2555, liegt wie das KRITIS-DachG bisher nur als Entwurf vor. Die NIS-2-Richtlinie zielt auf ein „hohes gemeinsames Cybersicherheitsniveau“ in der EU ab und soll den Handel weniger störanfällig machen (Art. 1 Abs. 1 (EU) 2022/2555). NIS-2 verpflichtet die Mitgliedsstaaten zur Einführung einer nationalen Cybersicherheitsstrategie mit zwei Steuerungsrahmen: einem zur Zielverwirklichung und einem zur Organisation auf nationaler Ebene.

Die Richtlinie gilt grundsätzlich für öffentliche sowie private Institutionen und unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Wesentliche Einrichtungen gehören zu Sektoren mit hoher Kritikalität und sind mindestens mittlere Unternehmen. Wichtige Einrichtungen sind ebenfalls Sektoren mit hoher Kritikalität oder sonstigen kritischen Sektoren zugeordnet, aber nicht als wesentlich eingestuft. Die Mitgliedsstaaten müssen eine Liste erstellen und regelmäßig aktualisieren, die alle Einrichtungen umfasst, welche den beiden beschriebenen Typen zugeordnet werden können, sowie solche, die Domänennamenregistrierungsdienste erbringen.

Beide Einrichtungstypen (wesentliche und wichtige) müssen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ ergreifen, um Risiken zu managen (Art. 21 Abs. 1 (EU) 2022/2555).

Während nach dem aktuellen Gesetzentwurf des KRITIS-DachG das BBK als zuständige Behörde vorgesehen ist, wird voraussichtlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Funktion im Rahmen des NIS2UmsuCG übernehmen.

Ein Beispiel, wo dies relevant wird, sind die durch NIS-2 vorgesehenen Berichts- und Meldepflichten, da im Rahmen des NIS2UmsuCG entsprechend das BSI unterrichtet werden muss. Außerdem erfordert NIS-2 im Gegensatz zur CER-Richtlinie neben den zwei Meldungen zusätzlich einen weiteren Bericht innerhalb von 72 Stunden an die zuständige Behörde.

Digital Operational Resilience Act

Der Digital Operational Resilience Act (DORA), Verordnung (EU) 2022/2554, betont die Bedeutung der Informations- und Kommunikationstechnologie (IKT) für Finanzunternehmen und sieht in erster Linie ein integriertes Resilienzmanagement vor. Die Verordnung gilt für Finanzunternehmen wie Banken und Wertpapierfirmen sowie für IKT-Drittdienstleister und basiert auf fünf Säulen:

Tab. 1: Die fünf Säulen des DORA

Resilienzmanagement

Widerstandsfähige Infrastrukturen stellen sicher, dass Betriebsunterbrechungen und krisenhaften Ereignissen bestmöglich begegnet werden kann. Sie erlauben es, sich an unvorhergesehene Vorfälle flexibel anzupassen, was ein zentraler Aspekt des Resilienzansatzes ist.⁸

Sowohl die eingangs genannten Veränderungen der Risikolandschaft als auch die regulatorischen Anforderungen unterstreichen die Wichtigkeit, die eigene Resilienz zu stärken. Das Konzept eines ganzheitlichen Resilienzmanagements kann Unternehmen helfen, widerstandsfähiger zu werden. Es stellt dafür verschiedene Managementdisziplinen unter ein Dach. Das Business Continuity Management (BCM) ist eine dieser Disziplinen⁹ und zielt darauf ab, auch im Falle eines Ereignisses die zeitkritischen Geschäftsprozesse weiter aufrechterhalten zu können.¹⁰ Darüber hinaus sind Themenfelder wie Krisen- und Risikomanagement, Dienstleistersteuerung und physische bzw. personelle Sicherheit sowie das Information Security Management System (ISMS) für einen ganzheitlichen Ansatz zu nennen.¹¹ Resilienzmanagement ist dementsprechend kein neues Managementsystem. Die Integration der einzelnen Managementdisziplinen und -systeme zu einem übergreifenden Operational Resilience Management System (ORMS) harmonisiert vielmehr bestehende Systeme eines Unternehmens.¹² Die Schaffung einer Dachdisziplin erlaubt, Synergieeffekte auszuschöpfen, da z.B. erkannt werden kann, wie sich die Risikobewertungen der verschiedenen Systeme ähneln.¹³ Es wird empfohlen, der Implementierung eines ORMS einen festen Platz in der Strategie des Unternehmens zuzuordnen. Ein ORMS umzusetzen kann maßgeblich dazu beitragen, die Mission sowie Vision des Unternehmens in tatsächliche Handlungen zu übertragen¹⁴ und Haftungsrisiken im Kontext der Einrichtungs- und Überwachungspflichten der Unternehmensorgane zu minimieren.

Fazit

Die frühzeitige Identifizierung von Risiken und die agile Steuerung von (zeitkritischen) Geschäftsprozessen werden für Unternehmen zunehmend wichtiger. Es ist ein deutlicher Trend zu beobachten, bei dem Organisationsstrukturen die Transformation hin zu einem ganzheitlichen Resilienzmanagementansatz anstreben.¹⁵ Auf gesetzlicher Ebene werden diesbezüglich Maßnahmen auf den Weg gebracht, welche von den Unternehmen umgesetzt werden müssen und entsprechende Resilienzmaßnahmen fordern, da der Gesetzgeber erkannt hat, dass bei vielen Unternehmen Handlungsbedarf in Bezug auf operationelle Resilienz besteht. Für eine entsprechende Umsetzung und Steuerung von Resilienzmaßnahmen in Unternehmen eignet sich die zuvor erläuterte Einführung eines ganzheitlichen ORMS.

Dies bedeutet: Während bereits etablierte Instrumente des BCM-, Krisen- und Risikomanagements sowie das ISMS auch in Zukunft wichtige Bausteine bleiben werden, kann der ORMS-Ansatz die komplexen Systeme zusammenführen. In Zukunft sollten also Sicherheitsaspekte nicht einzeln betrachtet, sondern im Zusammenspiel mithilfe eines übergeordneten Resilienzmanagements harmonisiert werden.

¹ Lawrence, M.; Homer-Dixon, T.; Janzwood, S.; Rockström, J.; Renn, O.; Donges, J. F. (2024): Global Polycrisis: the Causal Mechanisms of Crisis Entanglement. Global Sustainability, 7, 1–16.

² World Economic Forum (2025): Global Risks Report 2025, Genf: WEF, https://reports.weforum.org/docs/WEF_Global_Risks_Report_2025.pdf, abgerufen am 17.1.2025.

³ AXA (2024): Future Risks Report 2024, https://www-axa-com.cdn.axa-contento-118412.eu/www-axa-com/dad8b74b-e921-4b2d-bea8-2f7dabe369aa_axa_futurerisksreport_2024_va.pdf, abgerufen am 13.1.2025.

⁴ Intergovernmental Panel on Climate Change (2023): Climate Change 2023: Synthesis Report, Genf: IPCC, doi:10.59327/IPCC/AR6-9789291691647.

⁵ Allianz Commercial (2025): Allianz Risk Barometer 2025, München: Allianz Commercial, https://commercial.allianz.com/content/dam/onemarketing/commercial/commercial/reports/Allianz-Risk-Barometer-2025.pdf, abgerufen am 17.1.2025.

⁶ Deutscher Bundestag (2025): Mehrheit für Reform der Schuldenbremse: 512 Abgeordnete stimmen mit Ja, https://www.bundestag.de/dokumente/textarchiv/2025/kw12-de-sondersitzung-1056916, abgerufen am 21.3.2025.

⁷ Regierungskommission Deutscher Corporate Governance Kodex (2022): Deutscher Corporate Governance Kodex, https://dcgk.de//files/dcgk/usercontent/de/download/kodex/220627_Deutscher_Corporate_Governance_Kodex_2022.pdf, abgerufen am 14.3.2025.

⁸ Max, M. (2024): Resiliente Infrastrukturen: Perspektiven und Handlungsempfehlungen für ein vernetztes Resilienzmanagement, Berlin: Erich Schmidt Verlag.

⁹ Scheffler, R.; Max, M.; Peitz, M. (2024): Wie das KRITIS-Dachgesetz Unternehmen widerstandsfähiger macht, Compliance Manager 2024(4), 42–45.

¹⁰ Bundesamt für Sicherheit in der Informationstechnik (2023): BSI-Standard 200-4: Business Continuity Management, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_4.pdf?__blob=publicationFile&v=8, abgerufen am 7.1.2025.

¹¹ Scheffler, R.; Max, M.; Peitz, M. (2024): Wie das KRITIS-Dachgesetz Unternehmen widerstandsfähiger macht, Compliance Manager 2024(4), 42–45.

¹² Scheffler, R.; Neubert, T.; Gölz, M. (2024): Resilienz-Managementsysteme, Zeitschrift für Risikomanagement 2024(5), 137–140.

¹³ Scheffler, R.; Max, M.; Peitz, M. (2024): Wie das KRITIS-Dachgesetz Unternehmen widerstandsfähiger macht, Compliance Manager 2024(4), 42–45.

¹⁴ Ebd.

¹⁵ Max, M. (2024): Resiliente Infrastrukturen: Perspektiven und Handlungsempfehlungen für ein vernetztes Resilienzmanagement,s Berlin: Erich Schmidt Verlag.