Kommunales Risikomanagement: EU-Regularien im Bereich Cyber

Der Artikel stellt das kommunale Risikomanagement - modell vor, das zentrale Akteure wie Gemeinderat und Bürgermeister(in) in den Fokus rückt, besonders in Hinblick auf neue EU-Regularien im Bereich CYBER. Es werden die Entscheidungsprozesse und die Rolle des Risikomanagements in der Gemeindeverwaltung beleuchtet, von der Risikoidentifikation bis zur Effi - zienzprüfung durch den Prüfungsausschuss. Das Ziel des kommunalen Risikomanagements ist es, die Existenz und den Erfolg der Kommune zu sichern, indem es Risikokosten reduziert und frühzeitig gegen Entwick - lungen vorgeht, die den festgelegten Zielen entgegen - stehen. Trotz weniger gesetzlicher Vorgaben wie im privat- wirtschaftlichen Sektor werden Entscheidungsprozesse auf verschiedenen Ebenen durch das kommunale Risi - komanagementmodell geregelt. Es werden jedoch seit einigen Jahren EU Directives, wie NIS1 und seit Dezember 2022 NIS2 (Rechtsumsetzung in Österreich bis 17.10.2024) veröffentlicht, welche eventuell einen unmittelbaren oder mittelbaren Einfluss zur Begründung eines Risiko - managements und Krisenmanagements für öffentlich- rechtliche Körperschaften, wie Gemeinden, Städten und deren Tochtergesellschaften (z. B. Versorgungs- und Entsorgungsbetriebe gemäß EU Directive NIS2) ausüben bzw. initiieren können. Globalisierung, Digitalisierung und Automatisierung sind die Treiber für eine holistischen Betrachtung der Verletz - barkeit der Supply Chain und seiner Netzwerke (Basic-, Supply- und Public Networks) -in Beziehung zum CYBER- Raum und zu Cyber-Events. Unter Berücksichtigung der Einbettung in transnationale und internationale Versor - gungssysteme (Energie, Rohstoffe, Lebensmittel, medi - zinische Verbrauchsgüter, Informationen etc.), die durch politische, rechtliche, ökonomische, zivile, technische, sowie Natur- und Umweltereignissen, „man-made“ und „non man-made“ zu Unterbrechungen und Engpässen in der Versorgung führen können, ist eine holistische Betrachtung eine essenzielle Grundlage zur Entwicklung von Strategien für Risikoreduktion und Resilienz-Design in der Supply Chain und ICT/CYBER Security. Der Gemeinderat, Gemeindevorstand oder Bürgermeis - ter(in) treffen dabei richtungsweisende Entscheidungen und sind für die Risikowahrnehmung und Festlegung strategischer Ziele verantwortlich. Sie beurteilen auch Risiken von Tochterunternehmen und Beteiligungen. Der Bürgermeister(in) legt zusammen mit der Amtsleitung Aufgaben und Verantwortlichkeiten der Verwaltung fest, die für die Umsetzung von Maßnahmen zuständig ist. Abteilungsleiter, in Abstimmung mit dem Risiko - managementbeauftragten und der Amtsleitung, sind verantwortlich für den Risikomanagementzyklus, der die Identifikation, Bewertung, Steuerung, Berichterstattung und Überwachung von Risiken umfasst. Sie entscheiden über konkrete Steuerungsmaßnahmen wie Risikover - meidung, -verminderung, -überwälzung oder Selbst - tragung, abhängig von der Risikopolitik der Gemeinde. Die für Risikomanagement zuständige Person agiert als zentraler Ansprechpartner und Koordinator, berät in Risi - kofragen und ist verantwortlich für die Einführung und Erprobung von Notfall-, Krisen- und Business Continuity Management. Der Prüfungsausschuss überprüft schließlich das Risikomanagement auf Wirtschaftlichkeit, Zweckmäßigkeit und Sparsamkeit. ICT/CYBER-Ereignis-/Bedrohungsbilder, die zu Unterbre - chungen und Engpässen in der lokalen und regionalen Versorgung bzw. Lieferkette beitragen können, sind in Korrelation zu Supply Chain Unterbrechungen in das Risk Assessment einzubinden. Das Erarbeiten von umfas - senden und ganzheitlichen Cyber Security & Supply Chain Resilience (Security) Monitoring, -Rating und -Auditing Konzeptes, -weil Cyber Events (weltweit: 34 %; AT: 40 %; GE: 40 %; CH: 57 %) und Supply Chain Interruptions- RISIKOMANAGEMENT für Gemeinden Kommunales Risikomanagement: Entscheidende Schritte für die Zukunftssicherung der Gemeinden m ario GUbesch , ma mba & Di Pl .-i n G. j ohannes Göllner , ms c Betriebsunterbrechungen (weltweit: 34 %; AT: 32 %; GE: 46 %; CH: 41 %) zu den 10 weltweit größten Risiken gehören -, wird dies auch die öffentliche Verwaltung ab 2024/2025 und in den Folgejahren – wie bei Unternehmen und KMU auch – im Besonderen herausfordern. Zusammenfassend ist die Etablierung eines Risiko - managements, auch unabhängig von existierenden Regelwerken wie Standards und nationaler Gesetze sowie EU-Gesetzen, für Gemeinden und Städte sehr zu empfehlen, da es die Wahrnehmung von z. B. wirtschaft - lichen, rechtlichen, infrastrukturellen, natur- und umwelt - spezifischen Risiken – präventiv und vorausschauend – erkennen lässt, um so vor unvorhergesehenen Ereig - nissen und/oder Krisen geschützt bzw. resilient vorbe - reitet zu sein.

Die Entwicklung von risikoreduzierenden Strategien und Resilienz Strategien für physische und digitale Supply und Value Chains und Verbindung mit deren Supply Chain Networks (Strategische [Kritische Infrastrukturen] Infrastrukturen) bedürfen Innovationen bei qualitativen und quantitativen Konzepten, Modellen, Methoden und Werkszeugen im Bereich Risk Assessment sowie Modeling und Simulation, um den Grad der erforder - lichen Resilienz der Supply und Value Chain (z. B. Bevor - ratung, Eigenfertigung, Rohstoffselbstversorgung) auf staatlicher und unternehmerischer Ebene festzustellen, um zur Strategie- und Produkt-Entwicklung beitragen zu können. Globalisierung, Digitalisierung und Automatisierung sind die Treiber für eine holistischen Betrachtung der Verletzbarkeit der Supply Chain und seiner Netzwerke (Basis-, Versorgungs- und Public Netzwerke) als Summe der primären- und Hilfsprozesse (insbesondere Lagerung und Transport von Waren, Informationen und Geld) -in Beziehung zum CYBER-Raum und -Events. Unter Berück - sichtigung der Einbettung in transnationale und interna - tionale Versorgungssysteme (Energie, Rohstoffe, Lebens - mittel, medizinische Verbrauchsgüter, Informationen etc.), die durch politische, rechtliche, ökonomische, zivile, technische, sowie Natur-/Biologische und Umweltereig - nissen, „man-made“ und „non man-made“ zu Unter - brechungen und Engpässen in der Versorgung führen können, ist diese holistische Betrachtung die essenzielle Grundlage zur Entwicklung von Strategien für Risikore - duktion und Resilienz-Design in der Supply Chain. ICT/ CYBER-Ereignis-/Bedrohungsbilder (denken Sie an Fehler und somit mangelhaftem Qualitätsmanagement bei der Software-Entwicklung und -lieferung), die zu Unterbre - chungen und Engpässen in der regionalen, nationalen, supranationalen und internationalen Versorgung beitragen können, sind in Korrelation zu Supply Chain Unterbrechungen in das Risk Assessment einzubinden. Dies wurde durch das ZRK iRd. IKT-Sicherheitskonferenz 2023 in Linz in einem Vortrag hervorgehoben. Die Schäden -Supply Chain Risks & Losses-, infolge Supply Chain Unterbrechungen, können sehr vielfältig sein, wie z. B. Digitale Technologien – im Einsatz entlang dem Supply und Value Chain – haben zunehmend eine strategische Bedeutung als Backbone der Optimierung der Liefer - ketten, um Effizienz, Sicherheit und Wirtschaftlichkeit zu gewährleisten. Der Beachtung der Nachhaltigkeit der Supply Chain (ökologische, ökonomische und soziale Aspekte, als Abkehr vom 1 Kriterium Konstruktions - prinzip der minimal möglichen Kosten) und damit der Kreislaufwirtschaft (Circular Economy) sowie steady state economy ist ein weiterer wichtiger und integrierter Bestandteil von risikoreduzierenden Strategien und Resilienz Strategien für physische und digitale Supply und Value Chains. Das Zentrum für Risiko- und Krisenmanagement (ZRK) hat mit Partnern ein umfassendes und ganzheitliches Cyber Security & Supply Chain Resilience (Security) Moni - toring, Rating und Auditing Konzeptes erarbeitet, weil Cyber Events (weltweit: 34 %; AT: 40 %; GE: 40 %; CH: 57 %) und Supply Chain Interruptions-Betriebsunterbre - chungen (weltweit: 34 %; AT: 32 %; GE: 46 %; CH: 41 %) zu den 10 weltweit größten Risiken, gemäß „Allianz Global Corporate & Specialty in Allianz Risk Barometer 2023: Die 10 größten Geschäftsrisiken 2023, weltweit”, gehören. Bereits 2018 hat das National Cyber Security Centre, U.K. den thematischen Zusammenhang zwischen Supply Chain Security und Cyber Security dokumentiert und veröffentlicht Deshalb reagieren die nationalen Gesetzgeber, wie z. B. Deutschland mit dem Lieferketten-sorgfaltspflich - ten¬gesetz, welches 1. Januar 2023 in Kraft getreten ist und auch mögliche Auswirkungen auf österreichische Zulieferanten Auswirkungen haben könnte. Das Gesetz regelt die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den globalen Liefer - ketten. Der supranationalen Gesetzgeber (EU) reagiert darauf mit z. B. der EU NIS2-Directive (Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022), welche auch ab 18.10.2024 in Österreich und allen EU-Mitgliedschaften für spezifische KMU gelten werden. Betroffen sind KMU, welche sogenannte wesentliche oder wichtige Einrichtungen und dem Kriterienkatalog dieser EU-Directive entsprechen. Das wesentliche ist, dass zum ersten Mal Cyber Security mit Supply Chain Security und zugehörigen Krisenmanagement kombiniert werden, welche bei der Auditierung nach ISO 27001 in Korrelation mit anderen Standards abgefragt werden müssen. Bei den wichtigen Einrichtungen der „Abfallbewirtschaftung“ werden indirekt, möglicherweise auch KMU der Kreislauf - wirtschaft (Circular Economy) adressiert. Die internationale Standardisierung, vertreten durch ISO (International Organisation for Standardization, Genf), hat bereits 2007 mit der Herausgabe von Supply Chain Security-Standards reagiert und die Relevanz doku - mentiert. Die Entwicklung von CYBER/Supply Chain Resilience- Produkte- und Service-Lösungen -insbesondere für Klein- und Mittelbetrieben (KMU)-, in Kooperation mit dem ZRK-ICT/Cyber Netzwerk & Kooperation Cluster aus ICT/CYBER Produkte- und Service-Anbieter im D-A-CH Raum und im Sinne der Philosophie: „Von Unterneh - mer(n)-für Unternehmer(n)“ hat das ZRK 2018 auch die Idee zur Gründung einer Genossenschaft formuliert. Am 10.12.2022 – nach der COVID-Zeit – war es dann so weit, die Genossenschaft für Digitalisierung, Challenge und Innovation Management (GDCIM; https://www.gdcim. coop) – nach Schweizer Recht – wurde für KMU und den D-A-CH Raum in Volketswil im Kanton Zürich gegründet und wurde iRd IKT-Sicherheitskonferenz 2023 in Linz am 04.10.2023 erstmals offiziell vorgestellt (https://www. zfrk.org/allgemein/gdcim-informations-und-kommu - nikationstechnologie-in-der-dach-region/). Das ZRK ist eine der ersten neun Gründungsgenossenschafter der GDCIM. Diese Innovation ist auch in Hinblick auf den bestehenden IKT-Fachkräftemangel und des damit verbundenen Mangels an Human Capital Reifegraden im IKT-Bereich von Unternehmen zu sehen. Die „GDCIM – Genossenschaft für Digitalisierung, Challenge und Innovationsmanagement“ ist das Kompe - tenzzentrum von KMU für KMU und Freie Berufe und Privathaushalten als: ■ Einkaufs- und Leistungsgemeinschaft von KMU- spezifischen Software-/Hardware-Lösungen von BIS-Betrieblichen Informations- und Cyber Security Systemen/Lösungen ■ Konzeption/Design von IKT-Lösungen für KMUs und Privathaushalten, und ■ KMU- und Privathaushalten-Hilfe-/Notfallverbund für Notfall/Krisenmanagement, z. B. bei IT-Ausfällen, IT-Instandhaltung, IKT – Cyber Angriffen, Cyber Krimi - nalität, Zertifizierung, Auditierung … in Österreich, Schweiz und Deutschland (D-A-CH), zur Sicherung und Förderung deren CYBER und IKT-Kompe - tenzen und Fähigkeiten und wirtschaftlichen Interessen, durch Organisation einer gemeinsamen Selbsthilfe und der damit verbundenen Begründung einer Risikover - meidungs- bzw. -minimierungs-Gemeinschaft. Die praktische Umsetzung von Cyber- und Supply Chain Security Projekten und Lösungen können Unternehmen maßgeschneidert mit dem Zentrum für Risiko- und Krisen- management (ZRK) und der GDCIM-Genossenschaft für Digitalisierung, Challenge und Innovationsmanagement angehen. Rufen Sie uns an. Wir helfen Ihnen gerne. Di Pl .-i n G. j ohannes Göllner , ms c Supply Chain Resilienz und Security Management und innovative Lösungsbeiträge für Unternehmen, insbesondere für KMU