- Bedeutung
- Steuerung des Unternehmens im Ernstfall
- Bestandteile
- Krisenstab, Kommunikation, Entscheidungswege
- Verwandt
- BCMS, Incident Response
- Bezug zu NIS2
- Erforderliche Maßnahme
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist Krisenmanagement?
Krisenmanagement ist die Steuerung eines Unternehmens auf Führungsebene, wenn ein Ereignis das normale Tagesgeschäft übersteigt und schnelle, weitreichende Entscheidungen verlangt. Es sorgt dafür, dass die Organisation in einer ernsten Lage handlungsfähig bleibt: durch klare Entscheidungswege, einen benannten Krisenstab und geregelte Kommunikation nach innen und außen. Anders als die rein operative Vorfallsbearbeitung blickt das Krisenmanagement auf das Gesamtbild – Reputation, rechtliche Pflichten, Kunden, Mitarbeitende und Geschäftsfortführung – und trifft die übergeordneten Entscheidungen, die die technischen Teams brauchen, um wirksam arbeiten zu können.
Technik trifft Führung
Während die Incident Response die technische Bewältigung eines Vorfalls übernimmt, koordiniert das Krisenmanagement auf Führungsebene: Es entscheidet über Prioritäten, Ressourcen und Freigaben, etwa ob Systeme abgeschaltet, externe Dienstleister hinzugezogen oder Standorte geräumt werden. Eingebettet ist es in das BCMS, das die Krisenorganisation im Vorfeld definiert und übt.
Kommunikation ist entscheidend
In einer Krise ist gute Kommunikation oft genauso wichtig wie die Technik: gegenüber Mitarbeitenden, Behörden, Kunden, Partnern und – bei NIS2 besonders relevant – der zuständigen Behörde. Vorbereitete Meldevorlagen und klare Sprecherrollen verhindern Widersprüche und Verzögerungen, wenn unter Zeitdruck nach außen kommuniziert werden muss.
Ein typischer Fall: Bei einem Logistikunternehmen werden in der Nacht zentrale Systeme verschlüsselt. Der Krisenstab tritt nach Alarmierungsplan zusammen, entscheidet über die Abschaltung weiterer Systeme, beauftragt einen IT-Forensiker und gibt die abgestimmte Kommunikation frei. Parallel sorgt er dafür, dass die Erstmeldung an die zuständige Behörde innerhalb von 24 Stunden, die Folgemeldung binnen 72 Stunden und der Abschlussbericht nach einem Monat erfolgen.
Krisenmanagement und NIS2
Die seit dem 6. Dezember 2025 geltende NIS2-Richtlinie nennt Krisenmanagement ausdrücklich als erforderliche Maßnahme. Es greift dort, wo Business Continuity und Vorfallsbewältigung auf Führungsebene zusammenlaufen, und ist eng mit der Einhaltung der gesetzlichen Meldefristen verknüpft.
Weiterführende Quelle: ISO 22301 – Business Continuity Management und Krisenorganisation
Häufige Fragen
Was ist Krisenmanagement?
Krisenmanagement ist die Organisation und Steuerung eines Unternehmens auf Führungsebene im Ernstfall, damit Entscheidungen, Kommunikation und Maßnahmen funktionieren. Es sorgt durch klare Entscheidungswege, einen benannten Krisenstab und geregelte Kommunikation dafür, dass die Organisation in einer ernsten Lage handlungsfähig bleibt. Anders als die rein operative Vorfallsbearbeitung blickt es auf das Gesamtbild aus Reputation, rechtlichen Pflichten, Kunden, Mitarbeitenden und Geschäftsfortführung.
Ist Krisenmanagement Teil von NIS2?
Ja, die seit dem 6. Dezember 2025 in Deutschland geltende NIS2-Umsetzung führt Krisenmanagement ausdrücklich als verpflichtende Risikomanagement-Maßnahme auf. Betroffene Einrichtungen müssen Krisenrollen sowie Eskalations- und Kommunikationswege vorbereiten und einhalten. Dazu gehört auch die gesetzliche Meldekette mit Erstmeldung binnen 24 Stunden, Folgemeldung binnen 72 Stunden und Abschlussbericht binnen eines Monats an die zuständige Behörde.
Wie unterscheidet es sich von Incident Response?
Incident Response ist die technische Bewältigung eines konkreten Vorfalls auf operativer Ebene, etwa das Analysieren, Eindämmen und Beheben eines Angriffs. Krisenmanagement ist die übergeordnete Steuerung auf Führungsebene: Es entscheidet über Prioritäten, Ressourcen, Freigaben und die externe Kommunikation, während die technischen Teams die akute Lage bearbeiten. Beide greifen ineinander, denn die Technik braucht die übergeordneten Entscheidungen, um wirksam arbeiten zu können.