Der blinde Fleck der Krisenvorsorge: Warum Kommunikation im Ernstfall über die Resilienz entscheidet
Deutschland rüstet seine kritischen Infrastrukturen gegen Cyberangriffe und Sabotage. Doch ein Faktor bleibt oft unterbelichtet: Wie im Ernstfall kommuniziert wird – und warum das über Vertrauen und Schadensbegrenzung entscheidet.
Deutschland investiert seit Jahren in die Widerstandsfähigkeit seiner kritischen Infrastrukturen. Rechenzentren werden abgesichert, Notstromversorgungen aufgebaut, Meldepflichten verschärft. Mit dem NIS2-Umsetzungsgesetz und dem neuen KRITIS-Dachgesetz hat der Gesetzgeber die Anforderungen an Betreiber, Behörden und Einsatzorganisationen zuletzt deutlich angehoben. Ein Aspekt aber bleibt in vielen Konzepten unterbelichtet – und wird in der Fachdebatte immer wieder als blinder Fleck beschrieben: die Krisenkommunikation.
Technik schützt Anlagen – Kommunikation schützt Vertrauen
Wenn ein Umspannwerk ausfällt, eine Klinik von einem Cyberangriff getroffen wird oder die Wasserversorgung gestört ist, entscheidet nicht allein die Technik über das Ausmaß des Schadens. Ebenso wichtig ist, ob Betroffene rechtzeitig, verständlich und verlässlich informiert werden. Fehlt diese Ebene, füllen Gerüchte und Spekulationen die Lücke – gerade in einer Zeit, in der sich Falschinformationen über soziale Netzwerke in Minuten verbreiten. Krisenkommunikation ist damit kein nachgelagertes PR-Thema, sondern ein Teil der Schadensbegrenzung selbst.
In der Praxis zeigt sich häufig ein strukturelles Problem: Investitionen fließen bevorzugt in sichtbare, technische Vorsorge, während die Frage, wer im Ernstfall wann was sagt, seltener systematisch geübt wird. Notfallpläne existieren zwar auf dem Papier, doch Zuständigkeiten, Meldeketten und abgestimmte Sprachregelungen bleiben im realen Stressfall oft unklar. Fachleute verweisen darauf, dass viele Übungen den technischen Wiederanlauf trainieren, die kommunikative Bewältigung aber ausklammern.
Was die neue Rechtslage verlangt
Der regulatorische Rahmen ist 2026 enger geworden. Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft und weitet die Sicherheitspflichten von den klassischen KRITIS-Betreibern auf sogenannte besonders wichtige und wichtige Einrichtungen aus – nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Fachportals OpenKRITIS betrifft das in Deutschland rund 30.000 Unternehmen. Ergänzend trat im März 2026 das KRITIS-Dachgesetz in Kraft, das den Blick von der IT-Sicherheit auf die physische Resilienz erweitert: Schutz vor Naturgefahren, Sabotage und hybriden Bedrohungen. Betroffene müssen sich sowohl beim BSI als auch beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren; für den physischen Schutz läuft die Frist bis Mitte Juli 2026.
Beide Regelwerke enthalten Melde- und Nachweispflichten – etwa die Verpflichtung, erhebliche Sicherheitsvorfälle innerhalb kurzer Fristen an die Behörden zu melden. Das setzt funktionierende interne Informationswege voraus. Wer im Ernstfall erst klären muss, wer entscheidungsbefugt ist, verliert wertvolle Zeit. Die gesetzlichen Meldepflichten und die praktische Krisenkommunikation gegenüber Kunden, Beschäftigten und Öffentlichkeit hängen damit enger zusammen, als es das Organigramm vieler Betreiber abbildet.
Von der Checkliste zur eingeübten Routine
Anbieter aus dem Bereich Krisenberatung – der die aktuelle Debatte auch als Geschäftsfeld für sich entdeckt hat – empfehlen, Kommunikation als festen Bestandteil von Notfallübungen zu behandeln: mit vordefinierten Rollen, vorbereiteten Textbausteinen und klaren Freigabewegen. Ob externe Dienstleister nötig sind oder interne Strukturen ausreichen, hängt von Größe und Kritikalität der jeweiligen Einrichtung ab. Entscheidend ist weniger das Werkzeug als die Erkenntnis, dass Kommunikation im Krisenfall planbar und übbar ist.
Für die breitere Vorsorgedebatte bedeutet das eine Verschiebung der Perspektive: Resilienz misst sich nicht nur an redundanter Technik, sondern auch daran, wie handlungsfähig eine Organisation im Moment der Störung bleibt – nach innen wie nach außen. Die verschärften Vorgaben von 2026 sind ein Anlass, diesen oft übersehenen Teil der Krisenvorsorge stärker in den Blick zu nehmen.
Dieser Beitrag ist eine redaktionelle Einordnung eines aktuellen Branchenthemas und keine Rechtsberatung. Für die konkrete Bewertung von Melde- und Registrierungspflichten nach NIS2 und KRITIS-Dachgesetz sollten betroffene Organisationen fachkundigen Rat einholen.
- Notfallplan auf dem Papier, Lücken in der Praxis: Warum DORA die Banken-IT unter Druck setzt
- Prüfbericht statt Screenshot: Ein Jahr BFSG – und die Abmahnungen werden professioneller
- Schrems III in Sichtweite? Was das US-Urteil zur FTC für Europas Datentransfers bedeutet
- Prüfplakette wird digital: Warum die wiederkehrende Prüfung von Gabelstaplern ins Tablet wandert
- Ein Jahr Barrierefreiheitsstärkungsgesetz: Was sich für Onlineshops geändert hat – und was offen bleibt
- Vom Papier zur Pflicht: Wie die E-Rechnung den Mittelstand zum Umdenken zwingt