Sicherung strategischer Infrastrukturen Das österreichische Programm APCIP MR Mag. Alexander PSCHIKAL Fachtagung Baden bei Wien 7. Oktober 2010
Grundsätzliches 1 MR-Beschluss 2. April 2008 und Masterplan Ausgangspunkt für den Umsetzungsprozeß auf nationaler Ebene Regierungsprogramm für XXIV. Gesetzgebungsperiode Sicherung strategischer Infrastrukturen eine Kernaufgabe der öffentlichen Verwaltung Durchführung nur teilweise im eigenen Wirkungsbereich der Bundesministerien möglich Durchführung nur in Kooperation mit den stake-holdern machbar Lösung nicht über Gesetz, sondern Public-Private-PartnershipPartnership
Grundsätzliches 2: Risikozyklus Ereignis Schaden Katastrophe Krise Intervention Vorsorge Nachsorge Prävention Evaluierung
Abgrenzung Krisen Krisen und Katastrophen Strategische Infrastruktur Ziel und Schwerpunkt Schadensausmaß reduzieren Eintrittswahrscheinlichkeit und Verwundbarkeit Phase Vorsorge, Intervention und Nachsorge Ansprechpartner Einsatzorganisationen Formale Basis Gesetze (Katastrophenhilfegesetze, Versorgungssicherungsg.) Prävention und Vorsorge Unternehmen Ministerratsvortrag public private Partnership Konzepte Einsatzplanung Risikomanagement Gefährdung Unternehmen mit Störung nicht aktives Unternehmen Bewertung Primäre Schäden Sekundäre Schäden Grundfrage wie kann ich am besten helfen? soll ich die Chance nutzen und das Risiko eingehen?
Grundsätzliches 3 Verschiedene Ausgangspunkte der Gefährdung und der Risikoabschätzung: - Terroristische Angriffe - Schutz nationaler Symbole - Analyse der Auswirkungen = LOSS of SERVICE - Interdependenzen Gegenseitige Akzeptanz notwendig!
Grundsätzliches 4 Grundsatz der Subsidiarität Grundsatz der Komplementarität Grundsatz der Vertraulichkeit Grundsatz der Kooperation Grundsatz der Verhältnismäßigkeit
Risikofaktoren für (Versorgungs-) Systeme Mensch Bewusstsein, Qualifikation, Versagen, Kriminalität, Spionage Organisation Konzentration, Outsourcing, Logistik, Beteiligungen, Liberalisierung Natur, Umwelt und Technologie Katastrophen, Epidemien IKT Komplexität, Abhängigkeit, Vernetzung, Innovationszyklen, Standardisierung, Mobilität Interdependenzen Abhängigkeiten, Wechselwirkungen, Dominoeffekte
APCIP MR Beschluss vom 2. April 2008 Die zu untersuchenden Sektoren: Verfassungsmäßige Einrichtungen Energie IKT Wasser Lebensmittel Gesundheit und Soziales Finanzen Transport- und Verteilungssysteme Chemische Industrie Forschungseinrichtungen Hilfs- und Einsatzkräfte
Umsetzung des Aktionsplan APCIP 1. Teilziel: Erstellung einer Liste strategischer Infrastrukturen in Österreich (ACI) 2. Teilziel: Prioritätenreihung 3. Teilziel: Festlegung von Sicherungs- und Schutzstandards 4. Teilziel: Sicherungs- und Schutzmaßnahmen implementieren 5. Teilziel: Informationsmanagement, Entwicklung von Partnerschaften CIP, Private Public Partnerships 6. Teilziel: Evaluierung und Follow-up
1. und 2.Teilziel Erstellung einer Liste strategischer Infrastrukturen (ACI) und Prioritätenreihung A: Zusammenstellung der rechtlichen Rahmenbedingungen B: Erhebung des Ist-Standes der Maßnahmen zur Umsetzung CIP C: Risikoanalyse im Wirkungsbereich der Bundesministerien D: Erstellung einer Liste strategischer Infrastrukturen (Liste ACI) mit Reihung von Prioritäten
C: Bundesministerien: sind per definitione strat. Infrastruktur, Risikoanalyse in deren Wirkungsbereich 1. Risikoidentifizierung (mit welchen Risiken konfrontiert) 2. strukturierte Risikoerfassung 3. Risikobewertung: welche Risiken treten mit welcher Wahrscheinlichkeit ein 4. Risikomanagement, Sicherheitsbeauftragter 5. Risikomanagement im BMF 6. Bereitstellung des Leitfadens
Ablauf der Identifizierung im Bund BMJ Risikoanalyse der Prozesse Produkt (Beispiel): Unterhaltsvorschuss Prozess der Leistungserstellung darlegen Vorleistungen benennen Risiken identifizieren, erfassen und bewerten Maßnahmen zur Absicherung Risikomanagement Umsetzung in BMF und BMVIT
D 1: Erstellung einer Liste strategischer Infrastrukturen (Liste ACI), Inkl. Prioritäten Identifikation der Betreiber, bzw. Eigentümer strategischer Infrastruktur (ACI) 380.000 Unternehmen in Ö Gütergruppeneinteilung nach NACE System 224 Gütergruppen Verbindung zur Input-Output Tabelle Statistik Austria VERSUS Marketing Daten Einige hundert Unternehmen als Ansprechpartner Ziel: SLO und OSP (Risikomanagement)
ÖNACE 2008 - Struktur Code Elemente A LAND- UND FORSTWIRTSCHAFT, FISCHEREI B BERGBAU UND GEWINNUNG VON STEINEN UND ERDEN C HERSTELLUNG VON WAREN D ENERGIEVERSORGUNG E WASSERVERSORGUNG; ABWASSER- UND ABFALLENTSORGUNG UND BESEITIGUNG VON UMWELTVERSCHMUTZUNGEN F BAU G HANDEL; INSTANDHALTUNG UND REPARATUR VON KRAFTFAHRZEUGEN H VERKEHR UND LAGEREI I BEHERBERGUNG UND GASTRONOMIE J INFORMATION UND KOMMUNIKATION K ERBRINGUNG VON FINANZ- UND VERSICHERUNGSDIENSTLEISTUNGEN L GRUNDSTÜCKS- UND WOHNUNGSWESEN M ERBRINGUNG VON FREIBERUFLICHEN, WISSENSCHAFTLICHEN UND TECHNISCHEN DIENSTLEISTUNGEN N ERBRINGUNG VON SONSTIGEN WIRTSCHAFTLICHEN DIENSTLEISTUNGEN O ÖFFENTLICHE VERWALTUNG, VERTEIDIGUNG; SOZIALVERSICHERUNG P ERZIEHUNG UND UNTERRICHT Q GESUNDHEITS- UND SOZIALWESEN R KUNST, UNTERHALTUNG UND ERHOLUNG S ERBRINGUNG VON SONSTIGEN DIENSTLEISTUNGEN T PRIVATE HAUSHALTE MIT HAUSPERSONAL; HERSTELLUNG VON WAREN UND ERBRINGUNG VON DIENSTLEISTUNGEN DURCH PRIVATE HAUSHALTE FÜR DEN EIGENBEDARF OHNE AUSGEPRÄGTEN SCHWERPUNKT U EXTERRITORIALE ORGANISATIONEN UND KÖRPERSCHAFTEN
D 2: Erstellung einer Liste ACI: sektorale Kriterien zur Prioritätenreihung REDUNDANZ Verhältnis der Anzahl von Unternehmen in einer statistischen Abteilung zu einer statistischen Klasse = Ergebnis sind strategisch wichtige Klassen UMSATZ to big to fail, nach Pareto-PrinzipPrinzip jene Unternehmen die 80% Umsatz der kritischen Klasse machen MITARBEITER nach Pareto-PrinzipPrinzip jene Unternehmen auswählen die 80% aller Beschäftigten der kritischen Klasse beschäftigen
D 3: Erstellung einer Liste ACI: Beispiel Verkehr Abteilung : Transportwesen incl. Pipelines mit fast 16.000 Unternehmen Gütertransport auf der Strasse: 7.400 Unternehmen = Keine kritische Klasse Eisenbahnen: 27 Unternehmen = kritische Klasse 80% Umsatz, bzw. 80% Beschäftigte in Klasse 601000: ÖBB
D 5: Erstellung einer Liste ACI : Fragen der Prioritätenreihung Abgrenzung zu regionaler oder lokaler Bedeutung, aber (z.b. Autobusliniennahverkehr, Wasserver- und -entsorgung) Aber auch ausgegliederte IKT Abteilung versus Dienstleister Streichung der kritischer Klassen, weil nicht strategisch wichtig (z.b. Personenbeförderung in der Schifffahrt) Aufnahme von Unternehmen in die Liste wegen strategischer Bedeutung = systemrelevant Zusammenarbeit von zuständigen BM und WKO / IV notwendig.
3. und 4. Teilziel: Sicherungs- und Schutzstandards festlegen und implementieren nationales Interesse an (Versorgungs-) Funktion, aber alleiniges know How im Unternehmen Erstellung eines Handbuchs zur Evaluation der internen und externen Gefahren (Risikoanalyse und Überführung in Chancen und Risikomanagement, incl. Krisenmanagement), Prozess nicht Inhalt! Selbstevaluation mit Checkliste nach Punktesystem PPP mit BMI und BMLVS, anderen Aufsichtsbehörden Festlegung strategischer Schwellen / Benchmarking nach Branchendurchschnitt / Zertifizieren nach Norm
5. Teilziel: Informationsmanagement, Entwicklung von Private Public Partnerships CIP Identifikation von Ansprechpartnern für APCIP bei Infrastrukturbetreibern: SLO Einrichtung einer Informationsplattform Ziel: Partnerschaften Klärung der inhaltlichen, technischen und organisatorischen Rahmenbedingungen Abstimmung mit anderen KIRAS Projekten Beispiel CIWIN
Way ahead Mühen der Ebene Kernprozesse: OSP und SLO aus EPCIP Risikomanagement und Sicherheitsbeauftragter im ACI Unternehmen und Normenarbeit als Grundlage (S 2410, ONR 49000 Risikomanagement, ISO 31000) Bericht an den Ministerrat 2010/2011: 1.Neuausrichtung auf Risikomanagement 2.Klärung anstehender Fragen 3.Mitarbeit der zuständigen Ressorts festlegen 4.Einbindung Objektschutz und SKKM 2020 Paradox: je besser, desto problematischer!