KRITIS ist für Energieversorger kein strategisches Randthema mehr, das man im Jahresbericht erwähnt. Sobald eine Anwendung als KRITIS-relevant eingestuft wird, verändert sich die operative Realität. Prüfungen stehen im Kalender, Nachweise müssen belastbar sein und Entscheidungen müssen dokumentiert und begründet werden.
Ein Audit prüft, ob Zuständigkeiten klar geregelt sind, Prozesse dokumentiert vorliegen und Verträge den regulatorischen Anforderungen entsprechen. Genau hier zeigt sich, wie belastbar gewachsene Strukturen tatsächlich sind.
Dann stellt sich eine sehr konkrete Frage: Wie lassen sich regulatorische Anforderungen umsetzen, wenn bestehende Verträge, Dienstleister und Prozesse ursprünglich nie für diesen Rahmen konzipiert wurden?
Regulierung verlangt klare Entscheidungen
In einem unserer Projekte bei einem Energieversorger wurde eine bestehende Anwendung vom Gesetzgeber als KRITIS-relevant eingestuft. Mit dieser Einstufung stand fest, dass innerhalb von sechs Monaten eine entsprechende Prüfung stattfinden würde. Dieses Datum war nicht verhandelbar.
Das bedeutete, dass ein über Jahrzehnte gewachsenes Vertragswerk innerhalb eines halben Jahres so angepasst werden musste, dass es einer KRITIS-Prüfung standhält. Parallel dazu mussten Prozesse definiert, Verantwortlichkeiten sauber zugeordnet und die erforderlichen Dokumentationstypen erstellt werden.
Dabei ging es nicht nur um gesetzliche Anforderungen. Zusätzlich mussten konzerninterne Vorgaben zur Vertrags- und Prozessgestaltung berücksichtigt werden, und gleichzeitig bestand die klare Vorgabe, dass die notwendigen Anpassungen nicht zu höheren laufenden Kosten führen sollten.
Sechs Monate unter diesen Bedingungen bedeuten: Es bleibt keine Zeit für Parallelstrukturen oder unklare Zuständigkeiten – Entscheidungen müssen zügig und verbindlich getroffen werden.
Wenn gewachsene Strukturen unter Druck geraten
Vertragswerke, die über Jahre entstanden sind, spiegeln meist reale Zusammenarbeit wider. Sie enthalten Ergänzungen, Nachträge und individuelle Regelungen, die sich im operativen Alltag bewährt haben. Unter Audit-Bedingungen wird jedoch entscheidend, ob diese Struktur auch logisch konsistent, vollständig dokumentiert und regulatorisch belastbar ist.
Im Projekt wurde deshalb zunächst systematisch geprüft, welche Bestandteile des bestehenden Vertragswerks für die KRITIS-Einstufung tatsächlich relevant sind. Anstatt das gesamte Vertragskonstrukt neu aufzusetzen, wurden die entscheidenden Inhalte in bewährte Vertragstemplates überführt, strukturell bereinigt und in eine prüffähige Form gebracht.
Parallel dazu wurden Prozesse implementiert, die sich an ITIL orientieren und sowohl die gesetzlichen als auch die konzerninternen Anforderungen abdecken. Dabei stand stets die Frage im Vordergrund, welche Lösung regulatorisch ausreicht, ohne zusätzliche Komplexität zu erzeugen. Ziel war keine Neuerfindung, sondern eine konsolidierte Struktur, die regulatorische Anforderungen abbildet und operativ anwendbar bleibt.
Steuerung bleibt Verantwortung des Unternehmens
Auch wenn externe Dienstleister operative Leistungen erbringen, bleibt die Verantwortung für regulatorische Konformität beim Unternehmen selbst. Diese Verantwortung kann nicht delegiert werden. Im Audit wird geprüft, ob das Unternehmen seine Steuerungsfunktion wahrgenommen hat.
Ein Wechsel des bestehenden Dienstleisters war in diesem Fall weder wirtschaftlich noch organisatorisch sinnvoll. Die Lösung lag daher nicht im Austausch, sondern in einer klareren Steuerung der bestehenden Zusammenarbeit.
Im Projekt bedeutete das konkret, Entscheidungswege eindeutig festzulegen und Zuständigkeiten verbindlich zu dokumentieren. Es wurde klar geregelt, wer Freigaben erteilt, wer Anpassungen priorisiert und welche Dokumentation verpflichtend vorzuhalten ist. Diese Regelungen wurden nicht nur beschrieben, sondern in die tägliche Zusammenarbeit integriert.
Zum Zeitpunkt der Prüfung lagen nicht nur angepasste Vertragsunterlagen vor, sondern auch implementierte Prozesse, die im operativen Betrieb bereits angewendet wurden. Gleichzeitig verbesserte sich die Zusammenarbeit mit dem Softwarehersteller, da Rollen, Erwartungen und Abläufe transparent geregelt waren und Missverständnisse gar nicht erst entstehen konnten.
Priorisierung statt Aktionismus
Regulatorischer Druck führt häufig zu zusätzlicher Dokumentation, neuen Freigabeschleifen und erweiterten Kontrollinstanzen. Kurzfristig entsteht dadurch der Eindruck von Sicherheit, langfristig werden Entscheidungswege länger und Abstimmungen schwerfälliger.
Im Projekt wurde anders vorgegangen. Zunächst wurden die zwingenden regulatorischen Anforderungen identifiziert. Anschließend wurde geprüft, wie sich diese mit möglichst geringem strukturellem Eingriff in bestehende Prozesse integrieren lassen.
So entstanden Vertragsunterlagen und Prozesse, die auditfähig und zugleich im Alltag tragfähig blieben. Die erarbeiteten Strukturen sind inzwischen so konsolidiert, dass sie als Vorlage für weitere Dienstleister dienen können, auch außerhalb des unmittelbaren KRITIS-Kontexts.
Was Unternehmen daraus mitnehmen können
Regulatorische Anforderungen zeigen unter Prüfbedingungen sehr klar, ob Verantwortlichkeiten eindeutig geregelt sind und Entscheidungen nachvollziehbar dokumentiert wurden.
Wer audit-ready werden möchte, sollte deshalb bei der eigenen Steuerungslogik beginnen.
Dazu gehören:
- konsolidierte und nachvollziehbare Vertragsgrundlagen
- klar definierte Verantwortlichkeiten
- implementierte und dokumentierte Prozesse
- eine pragmatische Umsetzung regulatorischer Anforderungen
- Priorisierung mit Blick auf Aufwand und Wirkung
Regulierung macht sehr schnell sichtbar, wenn Zuständigkeiten nicht eindeutig geregelt sind. Wer Verantwortung übernimmt und Strukturen konsequent ordnet, schafft die Grundlage dafür, dass Audits als Bestätigung gelebter Steuerung erlebt werden.
Wir unterstützen Energieversorger genau in solchen Situationen, wenn regulatorischer Druck auf gewachsene Strukturen trifft und innerhalb eines klar definierten Zeitrahmens belastbare Ergebnisse gefordert sind.
In unserem Whitepaper zur IT-Architektur zeigen wir, wie transparente Prozesse, klar dokumentierte Entscheidungswege und konsolidierte Vertragsstrukturen dazu beitragen, Dienstleister im KRITIS-Umfeld verlässlich zu führen und regulatorische Anforderungen planbar umzusetzen.
Bildquelle: Stock-Foto „Worried Businesswoman Looking At Folders Stack“ | Adobe Stock
Wir sind IT Partner
Unser Motto: IT im Geschäftsalltag als Lösung etablieren, nicht als Quelle von Problemen.
