Resilienz wird zur Führungsaufgabe

Cybersecurity ist Chefsache, nicht länger nur Aufgabe der IT.

Cybersecurity ist längst kein reines IT-Thema mehr, sondern integraler Bestandteil eines umfassenden Risikomanagements. Treiber dieser Entwicklung sind die fortschreitende Digitalisierung, eine verschärfte geopolitische Bedrohungslage sowie die zunehmende Professionalisierung von Angreifern. Die Folge ist eine deutlich strengere und zugleich komplexere Regulierung – im digitalen wie im physischen Bereich. Für die chemisch-pharmazeutische Industrie bedeutet das: Sicherheit muss umfassend und vernetzt gedacht werden.

Mit dem Inkrafttreten des KRITIS-Dachgesetzes am 17. März 2026 wird die physische Resilienz kritischer Infrastrukturen in Deutschland erstmals übergreifend geregelt. Das Gesetz setzt die EU-CER-Richtlinie um und ergänzt die europäische Cybersicherheitsrichtlinie NIS-2. Während NIS-2 vor allem IT- und Operational-Technology-Sicherheitsmaßnahmen adressiert, etwa Governance-Strukturen, Meldepflichten und digitale Lieferkettenrisiken, fokussiert sich das KRITIS-Dachgesetz auf physische Risiken. Hierzu zählen beispielsweise Sabotage, Naturgefahren oder Störungen von Lieferketten. Beide Regelwerke sind damit zwei Seiten derselben Medaille: Ziel ist, die Handlungsfähigkeit kritischer Anlagen auch unter außergewöhnlichen Bedingungen sicherzustellen.

Sicherheit ist strategische Führungsaufgabe

Für Unternehmen entsteht daraus ein neuer, integrierter Resilienzansatz. Physische und digitale Risiken müssen gemeinsam bewertet und gesteuert werden. Gleichzeitig steigt die Verantwortung des Managements deutlich: Sicherheit wird zur strategischen Führungsaufgabe. Hinzu kommen strengere Anforderungen an Risikoanalysen, Notfall- und Wiederanlaufpläne, Meldeprozesse sowie Dokumentations- und Nachweispflichten. Auch Lieferketten geraten stärker in den Fokus: Physisch, das heißt, Versorgung mit Vorprodukten und Energie und digital, zum Beispiel IT-Dienstleister und Software-Abhängigkeiten. Der Koordinationsaufwand nimmt entsprechend zu, da mehrere Behörden beteiligt sind und teilweise parallele Anforderungen bestehen.

Die chemisch-pharmazeutische Industrie ist von diesen Entwicklungen in besonderem Maße betroffen. Einzelne Anlagen zählen häufig zur kritischen Infrastruktur, da sie zentrale Vorleistungen für andere Schlüsselbereiche wie Gesundheit, Energie oder Versorgung erbringen und damit häufig selbst Teil kritischer Lieferketten sind. Ob eine Anlage als KRITIS gilt, hängt unter anderem von der Versorgungsrelevanz der Anlage beziehungsweise ihrer Leistungen, sowie von bestimmten Schwellenwerten ab. Die Rolle in der Wertschöpfungskette ist dabei ein wichtiger Indikator, aber keine alleinige Grundlage.

Konkrete Pflichten für Unternehmen

Mit dem KRITIS-Status gehen konkrete Pflichten einher. Unternehmen müssen systematische Risikoanalysen durchführen, Schutzmaßnahmen implementieren und Notfallkonzepte vorhalten. Hinzu kommen Meldepflichten bei erheblichen Störungen und erweiterte Prüf- und Nachweisanforderungen. Wichtig ist dabei: Die Regulierung folgt einem risikobasierten Ansatz und ist kein „One-size-fits-all“-Modell. Dennoch bedeutet sie für viele Unternehmen einen erheblichen organisatorischen und finanziellen Mehraufwand. Zumal viele Detailfragen noch ungeklärt sind und erst durch nachgelagerte Verordnungen geklärt werden.

Unterstützung erhalten Unternehmen von verschiedenen Seiten. Staatliche Stellen, wie das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) oder das Bundesamt für Sicherheit in der Informationstechnik (BSI), stellen Leitfäden, Lagebilder und praxisnahe Hilfen bereit. Diese Unterstützungsmaßnahmen befinden sich aber noch im Aufbau. Gleichzeitig bietet der VCI seinen Mitgliedern Orientierung durch Informationsangebote sowie konkrete Unterstützung, etwa über VCI-Einkaufskooperationen und Webinare.

VCI warnt vor Gold-Plating

Aus Sicht der Branche kommt es nun entscheidend auf eine praxisnahe Umsetzung der Regulierung an. Der VCI unterstützt ausdrücklich die Ziele von NIS-2 und des KRITIS-Dachgesetzes, fordert aber eine verhältnismäßige und EU-konforme Umsetzung ohne zusätzliche nationale Verschärfungen. Zentral sind klare Definitionen, eine bessere Abstimmung zwischen Behörden sowie ein möglichst überlappungsfreier Vollzug, um Doppelmeldungen und unnötige Bürokratie zu vermeiden.

Resilienz wird zur Pflicht und zur Daueraufgabe. Für Unternehmen bedeutet das nicht nur mehr regulatorische Anforderungen, sondern auch die Notwendigkeit, Sicherheit dauerhaft in Organisation, Prozesse und Unternehmenskultur zu verankern. Die chemisch-pharmazeutische Industrie bringt dafür gute Voraussetzungen mit: Sicherheit ist seit jeher Teil ihrer DNA. Entscheidend wird nun sein, diese Stärke noch konsequenter auf die neuen Herausforderungen der integrierten physischen und digitalen Resilienz zu übertragen.

Mehr zum Thema

• BSI - Anleitung zur Registrierung im BSI-Portal
• Das Unternehmenskonto auf Basis von ELSTER - Unternehmenskonto
• VCI-Einkaufskooperation (Mitglieder-Log-in)