Ein Vertrag liegt auf einem Tisch, Eine Hand hält einen Stift und schreibt auf dem Papier.

CER-Richtlinie

Zum Auftakt der dreiundfünfzigsten Runde stellen wir die Frage: „Wie bewerten Sie die CER-Richtlinie?“

Im Interview mit:

Eine kurze Einleitung:

Die so genannten Kritischen Infrastrukturen (KRITIS) sind in Zeiten, in denen Russland einen Angriffskrieg gegen die Ukraine führt, gegen andere europäische Ländern Drohungen ausspricht und sich mit unzähligen Hacker-Angriffen auf die verschiedensten Einrichtungen und Organisationen in Europa exponiert, potenziell besonders gefährdete Angriffsziele. Kein Wunder, dass der Europäische Rat und das Europäische Parlament diese Infrastrukturen besonders geschützt sehen will. Deshalb haben sie jüngst eine EU-Richtlinie (CER-Richtlinie) verabschiedet, die im vergangenen Dezember in Kraft getreten ist, die KRITIS-Widerstandsfähigkeit stärken und bis Oktober 2024 auf nationaler Ebene umgesetzt sein soll. Unter anderem empfiehlt sie die Qualitätskontrolle von privatem Sicherheitspersonal im KRITIS-Umfeld. Sie schreibt diese Qualitätskontrolle nicht etwa vor, sondern sie empfiehlt sie nur. Ob diese Empfehlung Behörden und Betreiber, die sich der Bedeutung ihrer Einrichtungen schon heute bewusst sein müssten, jetzt zu einem Umdenken dahingehend bewegen mag, dass sie – anders wie bis jetzt oft zu beobachten – ausreichend geschultes und ausgerüstetes Sicherheitspersonal einsetzen? Falls ja, könnten wir uns auch vorstellen, dass fortan die Empfehlung genügt, beispielsweise nicht in anderer Leute Haus einzubrechen oder keine Geldtransporter zu überfallen. Oder ist das zu polemisch? Wie bewerten Sie die CER-Richtlinie?

Tony Fleischer

Geschäftsführer der proSicherheit GmbH
Ein zahnloser Tiger als erster Schritt
Dies Ausarbeitung von Richtlinien ist in aller erster Linie ein guter Start auf dem Weg, unsere kritische Infrastruktur schützen zu wollen. Während kerntechnische Anlagen bereits über gute Verfahrensweisen zur Qualitätskontrolle verfügen, fehlt zum Beispiel den meisten Krankenhäusern diese Expertise. Die mir bekannte Richtlinie eines Trinkwasserversorgungsunternehmen sieht vor, dass nach Alarmauslösung über 80 Außenstellen binnen zwölf Stunden mit zwei Sachkundlern besetzt werden müssen. Natürlich 24 Stunden lang auf unbestimmte Zeit. Getestet wurde dies nie, aber auf dem Papier las sich das gut. Hier bedarf es (je nach zu schützender Einrichtung) einer einheitlichen Vorgabe, was den ein Sicherheitsdienst und die eingesetzten Sicherheitsmitarbeiterinnen und -mitarbeiter eigentlich leisten können sollten und wie dies zu überprüfen ist. Dass eine reine Empfehlung ein zahnloser Tiger ist, sollte jedem bewusst sein. Es kann nur die Hoffnung bestehen, dass dies der erste Schritt ist auf dem Weg, mehr verbindliche Qualität zu schaffen und den durch Bürokratie ohnehin schon belasteten Kunden eine einheitliche Handlungsanweisung unterstützend an die Hand zu geben.

Sebastian Otten

Sicherheitskoordinator bei der OBJEKTCONTROL Sicherheitsdienste Vogt GmbH
Bleibt deutlich hinter den Erwartungen zurück
Es ist offensichtlich fraglich, ob Empfehlungen allein ausreichen, um Behörden und Betreiber zum Umdenken zu bewegen. Dies wird in der polemischen Schlussfrage deutlich. Gut ausgebildetes und ausgerüstetes Sicherheitspersonal bildet das Rückgrat unserer Gesellschaft und unserer Liegenschaften. Allerdings hat Qualität ihren Preis, und Schulungen sowie angemessene Ausrüstung müssen in der Budgetierung berücksichtigt werden. Daher ist eine Empfehlung allein nicht ausreichend, um echte Veränderungen zu bewirken, die Branche wird zu oft über den Preis gebremst. Ein erster Schritt zur Verbesserung der Sicherheit von KRITIS besteht im verpflichtenden Einsatz ausgebildeter Fachkräfte. Eine weitere wichtige Maßnahme ist die ausschließliche Beauftragung von Unternehmen, die gemäß DIN 77200 zertifiziert sind. Diese Zertifizierung stellt sicher, dass die Unternehmen bestimmte Qualitätsstandards erfüllen und ihren Angestellten eine kontinuierliche Weiterbildung von mindestens 30 Zeitstunden pro Jahr bieten. In der Kombination wird sichergestellt, dass das eingesetzte Sicherheitspersonal über das notwendige Know-how und die Fähigkeiten verfügt, um den Schutz von KRITIS effektiv zu gewährleisten. Die sich ständig weiterentwickelnden Bedrohungen erfordern eine kontinuierliche Anpassung der Sicherheitsmaßnahmen und -technologien. Durch die jährliche Weiterbildung wird das Wissen auf dem neuesten Stand gehalten. Fachkräfte für Schutz und Sicherheit bringen das erforderliche Fachwissen und die Erfahrung mit, um Risiken zu erkennen, Bedrohungen zu analysieren und angemessene Sicherheitsmaßnahmen zu implementieren. Es ist höchste Zeit, dass Europa verbindliche Mindeststandards für den Schutz von KRITIS definiert und umsetzt. Die CER-Richtlinie bleibt allerdings deutlich hinter den Erwartungen zurück und kann allein nicht ausreichen, um die Sicherheit zu gewährleisten.

Ralf Philipp

Leiter Marketing & Geschäftsentwicklung der CMD – Sicherheit und Dienstleistungen GbmH & Co. KG
Was nutzen Empfehlungen, wenn nicht einmal Gesetze befolgt werden?
KRITIS ist in Sachen öffentlicher Sicherheit nicht nur ein spannendes, sondern auch ein durchaus kontroverses Thema. Auf der einen Seite will man so viel Sicherheit wie möglich, auf der anderen Seite soll das möglichst wenig kosten. Um das „beste“ Angebot zu erhalten, rufen die Betreiber einen Wettbewerb der Dienstleister aus, den in der Regel der billigste Anbieter gewinnt. Viele Regelwerke sind angefüllt mit „Kann“-Formulierungen. Dienstleistungsverträge, ganz besonders die der öffentlichen Hand, enthalten in der Regel einen Passus hinsichtlich der internen Qualitätssicherung und daraus resultierenden Bonus/Malus-Regelungen. Natürlich orientieren sich diese nicht an der neuen CER-Richtlinie. Und wenn wir bestimmte KRITIS-Bereiche außen vor lassen – beispielsweise Sicherheits-Dienstleistungen in militärischen oder kerntechnische Anlagen, für die es sehr umfangreiche gesetzliche Regelungen gibt –, findet auch die DIN 77200 wenig Beachtung. Im Idealfall orientieren sich die Regelungen zur Durchführung von Kontrollen auch an der Thematik KRITIS. In der Praxis spielt es meines Erachtens eine untergeordnete Rolle. In der neuen CER-Richtlinie gibt es einen Passus hinsichtlich der Qualifikation von Personal (Art. 13 Resilienzmaßnahmen kritischer Einrichtungen). In Deutschland sehe ich hier die Gewerbeaufsicht und Ordnungsbehörden gemeinsam mit dem Bundesinnenministerium in der Pflicht. Das Bewacherregister könnte hier eine wichtige Rolle spielen. Würden alle Regelungen durch die prüfenden Behörden bundesweit einheitlich umgesetzt und in regelmäßigen Abständen auch ohne externe Veranlassung (zum Beispiel Beschwerde) überprüft, wäre das schon ein großer Schritt in die richtige Richtung. Aber davon sind wir weit entfernt. Mir fallen auf Anhieb Dienstleister ein, die den vorhandenen Spielraum nicht nur maximal ausnutzen, sondern klar überschreiten und gegen die gesetzlichen Regelungen verstoßen. Teilweise mit Kenntnis der Auftraggeber. Wenn also unsere aktuellen verpflichtenden Regelungen von einigen Unternehmen aktiv ignoriert werden, während diese Verstöße von den Auftraggebern der öffentlichen Hand ignoriert werden – was will ich dann mit einer Richtlinie voller Empfehlungen ausrichten? Unternehmen, die alle gesetzlichen Anforderungen erfüllen, haben in der Regel einen erheblichen Nachteil bei der Kapazität des benötigten Personals oder schlicht keine Chance, preislich gegen Unternehmen zu halten, die gesetzliche Vorgaben eher als Empfehlung interpretieren und so die Preise deutlich nach unten drücken können. Sie geben schlicht das „beste“ Angebot für den Auftraggeber ab.

Weitere Fragerunden

Zum Auftakt der neunundzwanzigsten Runde stellen wir die Frage: „Wie lassen sich Sicherheits- und Ordnungsdienst sauber trennen?“ Im Interview mit:...
Zum Auftakt der dritten Runde stellen wir die Frage: „Nationales „Bewacherregister“ – zahnloser Tiger oder hilfreiche Maßnahme für Qualitätssteigerung im...
Zum Auftakt der achtunddreißigsten Runde stellen wir die Frage: „Wie sieht das deutsche Sicherheitsgewerbe die Großveranstaltungen hierzulande in Sachen Event...