Steigende regulatorische Anforderungen, komplexe Projekte und wachsende Risiken stellen KRITIS-Organisationen vor neue Herausforderungen. Dieser Artikel zeigt, welche fünf Fragen jetzt entscheidend sind und warum digitales Projekt- und Portfoliomanagement die Grundlage für Sicherheit, Compliance und Resilienz ist.
KRITIS-Betreiber stehen vor der Herausforderung, kritische Infrastrukturen nicht nur sicher und stabil zu betreiben, sondern auch regulatorische Anforderungen wie das IT-Sicherheitsgesetz 2.0, NIS2, die EU-Richtlinie zur Resilienz kritischer Einrichtungen sowie KRITIS-Prüfungen, Auditpflichten und Risikomanagement jederzeit nachweisbar zu erfüllen. Ob Energie, Wasser, IT und Telekommunikation, Gesundheit, Transport, Ernährung, Finanzwesen oder staatliche Verwaltung: Projekte in KRITIS-Organisationen sind komplex, sicherheitsrelevant und eng miteinander verzahnt.
Transparente Projektsteuerung, revisionssichere Dokumentation, Echtzeit-Statusberichte und klare Zuständigkeiten sind daher keine Kür, sondern Voraussetzung für Compliance, Betriebssicherheit und Resilienz.
Die folgenden fünf Fragen zeigen, worauf es im Projektmanagement für Kritische Infrastrukturen wirklich ankommt und wo viele Organisationen noch ungenutztes Optimierungspotenzial haben.
Angefangen bei Kernprozessen wie Freigaben, Prüfungen oder Änderungen bis hin zu spezifischen Projektphasen müssen alle Stakeholder stets über den Status quo informiert sein. Nur so können Sie sicherstellen, dass alle an einem Strang ziehen und Doppelarbeiten sowie unnötige Verzögerungen durch unklare Zuständigkeiten vermieden werden.
Darüber hinaus existieren Projekte nicht im Vakuum. Kontextbezogene Kommunikation im Team, mit externen Beteiligten und mit Personen aus anderen Projekten ist elementar, um Missverständnisse, Fehlentscheidungen und kostspielige Verzögerungen zu vermeiden. Die Verantwortung für die Einführung unternehmensweiter Prozesse und Standards im Projektmanagement liegt in der Regel beim PMO (Project Management Office) und setzt einen bestimmten Reifegrad im Projektmanagement voraus. Wenn in Ihrer Organisation noch keine belastbare Grundlage etablierter Projektmanagement-Praktiken besteht, sollte dies Ihre erste Priorität sein.
Sollte bereits das Wort Audit zu hektischem Zusammensuchen aller relevanten Dokumente führen, lautet die Antwort auf diese Frage eindeutig Nein. Häufig befinden sich die Informationen, die für ein Audit vorgelegt werden müssen, im besten Fall in Word- oder Excel-Dokumenten. Im schlimmsten Fall existieren sie ausschließlich in den Köpfen der Mitarbeitenden.
Damit zukünftig alle relevanten Daten auditsicher digital zur Verfügung stehen, müssen diese zentral gespeichert werden. Um sicherzustellen, dass keine Informationen versehentlich gelöscht oder verändert werden, können Schreibrechte in der Projekt- und Portfoliomanagement-Software InLoox sowohl auf Personen- als auch auf Rollenebene gezielt eingeschränkt werden.
Risikomanagement umfasst nicht nur das Erfassen von Risiken, sondern vor allem die vorausschauende Planung und kontinuierliche Anpassung risikominimierender Maßnahmen. Diese sind häufig von Projekt zu Projekt unterschiedlich und müssen über den gesamten Projektverlauf hinweg überprüft und aktualisiert werden, wie es auch die EU-Richtlinie zur Resilienz kritischer Einrichtungen fordert.
Nur wer die Risikobewertung in Echtzeit im Blick hat und auf aktuelle Statusberichte zugreifen kann, ist im Ernstfall in der Lage, schnell genug zu handeln und notwendige Sofortmaßnahmen umzusetzen. Zusätzlich gibt die Projektmanagement-Software Auskunft darüber, in wessen Zuständigkeitsbereich diese Maßnahmen fallen und welche Eskalationswege vorgesehen sind.
Von der Server-Infrastruktur über ERP-Anwendungen wie SAP bis hin zu alltäglichen Programmen wie E-Mail- oder Office-Anwendungen muss die Aktualisierung der IT-Systeme in Organisationen Kritischer Infrastrukturen gemäß IT-Sicherheitsgesetz 2.0 transparent und nachvollziehbar geplant und umgesetzt werden. Ziel ist es, die Störanfälligkeit der IT-Landschaft so gering wie möglich zu halten und dies im Rahmen einer KRITIS-Prüfung nachzuweisen. Das Prüfergebnis muss beim Bundesamt für Sicherheit in der Informationstechnik eingereicht werden.
Wenn Sie beispielsweise die Umstellung auf SAP S 4HANA planen oder die Cybersecurity in der gesamten Organisation durch strengere Login-Regeln erhöhen möchten, benötigen Sie ein zuverlässiges Projektmanagement Tool, um Planung, Umsetzung und Zielerreichung transparent und auditsicher abzubilden.
Es muss nicht zwangsläufig der Sabotageakt an einem Stromnetz sein. Bereits der unbemerkte Zutritt Unbefugter zu Ihrem Gelände kann ausreichen, um durch Vandalismus sichtbar zu machen, dass bauliche Schutzmaßnahmen für Kritische Infrastrukturen nicht ausreichend sind.
Um bauliche Maßnahmen jedoch effizient und termintreu umzusetzen, ist eine Excel-Tabelle für die Bauprojektplanung ungeeignet. Sie benötigen eine Projektmanagement-Software, die unter Berücksichtigung der Risikoeinschätzung sowie auf Basis eines standortbezogenen Sicherheits- und Resilienzkonzepts alle Bauprojekte abbilden kann. Nur so lassen sich Baufortschritte in Echtzeit überwachen, regulatorische Anforderungen erfüllen und eine fristgerechte Fertigstellung sicherstellen.
Für KRITIS-Organisationen ist jetzt der richtige Zeitpunkt gekommen, Projekt- und Portfoliomanagement konsequent zu digitalisieren, bevor regulatorischer Druck, steigende Bedrohungslagen und wachsende Projektkomplexität zu realen Risiken für den Betrieb werden. Wer weiterhin auf Excel, isolierte Tools oder informelle Wissensspeicherung setzt, gefährdet Transparenz, Auditfähigkeit und Reaktionsgeschwindigkeit im Ernstfall.
Eine zentrale Projekt- und Portfoliomanagement-Software für KRITIS-Organisationen schafft die notwendige Grundlage, um sicherheitsrelevante Projekte strukturiert zu steuern, Risiken frühzeitig zu erkennen und jederzeit auskunftsfähig gegenüber Aufsichtsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik sowie den künftig zuständigen Stellen im Rahmen der EU-Richtlinie zur Resilienz kritischer Einrichtungen zu bleiben.