TL;DR (English summary)
The German DIN SPEC 14027 is not aligned with the Critical Entities Resilience Directive (CER Directive) and, consequently, fails to comply with the German KRITIS Umbrella Act (KRITISDachG). It generally conflicts with applicable law and international standards, primarily ISO 31000:2018. In particular, its risk assessment methodology (“protection needs assessment”) does not provide a sound basis for the legally compliant planning of resilience measures. Any entity aligning its actions with DIN SPEC 14027 risks legal violations with severe consequences. For Germany, this threatens to dilute the safety and security of critical infrastructures and could trigger an EU infringement procedure for inadequate transposition of the CER Directive.
TL;DR
Die DIN SPEC 14027 steht nicht im Einklang mit der Critical Entities Resilience Richtlinie (CER-Richtlinie) und damit auch nicht im Einklang mit dem KRITIS-Dachgesetz (KRITISDachG). Sie steht generell im Konflikt mit geltendem Recht und internationalen Standards, hier vor allem der DIN ISO 31000:2018. Insbesondere bietet ihre Methodik zur Risikobeurteilung („Schutzbedarfsermittlung“) keine Grundlage für eine rechtskonforme Resilienzmaßnahmenplanung. Wer sein Handeln an der DIN SPEC 14027 ausrichtet, riskiert Gesetzesverstöße mit schweren Folgen. Für Deutschland droht ein Aufweichen der Sicherheit Kritischer Infrastrukturen und potenziell ein EU-Vertragsverletzungsverfahren wegen unzureichender Umsetzung der CER-Richtlinie.
Hintergrund
Zusammen mit Table.Media hat Rechtsanwältin Claudia Otto am 24. März 2026 im Security.Table auf grundlegende rechtliche Mängel der DIN SPEC 14027 hingewiesen. Insbesondere hob sie datenschutz-, arbeits- und gesellschaftsrechtliche Mängel hervor. Diese Mängel verlangen umfassende Anpassungen zur Wahrung sachgerechter Corporate Governance einschließlich Haftungskontrolle (vgl. § 20 KRITISDachG) und machen die DIN SPEC 14027 bereits praxisuntauglich.
Das aktuelle Problem: Zeit und fehlende Informationen
Die Hinweise auf die grundlegenden rechtlichen Mängel haben nicht etwa zu Korrekturmaßnahmen geführt, sondern vielmehr dazu, dass die DIN SPEC 14027 nunmehr aktiv beworben wird als Tool zur Sicherstellung der KRITISDachG-Compliance.
Damit rennt man in der KRITIS-Branche anscheinend offene Türen ein: Die Pflichten der Betreiber kritischer Anlagen nach dem KRITISDachG zur Durchführung von Risikoanalysen und -bewertungen als Basis für Resilienzmaßnahmen haben auf der Grundlage der nationalen Risikoanalysen und -bewertungen zu erfolgen. Diese liegen noch nicht vor. Gleichzeitig zwingen die gesetzlichen Fristen Betreiber kritischer Anlagen aber schon jetzt zur Vorbereitung. Doch auch die anleitenden, behördlichen Grundlagen fehlen.
Die DIN SPEC 14027 als vermeintliche Lösung
Die DIN SPEC 14027, initiiert und finanziert vom Bundesministerium des Innern (BMI), vermag an dieser Stelle schnell als Heilmittel angesehen zu werden, insbesondere im Hinblick auf § 12 Abs. 3 des KRITISDachG. Hiernach wird das BMI ermächtigt, durch Rechtsverordnung unter anderem methodische Vorgaben für die Risikoanalysen und -bewertungen der Betreiber kritischer Anlagen zu bestimmen.
Doch die DIN SPEC 14027 steht auch weder mit der CER-Richtlinie, noch mit dem KRITISDachG im Einklang. Wegen ihres Widerspruchs zum weltweiten Standard des Risikomanagements nach der DIN ISO 31000:2018 verbietet sich nicht zuletzt, sie aus rein formalen Gründen als “Standard” zu bezeichnen.
DIN SPEC 14027: Am Thema und Ziel vorbei
Die DIN SPEC 14027 verspricht laut Geschäftsplan, Titel und Anwendungsbereich, die physische Resilienz, d.h. die Sicherheit von Organisationen, durch bauliche, technische, personelle und organisatorische Maßnahmen vor Schadensereignissen zu schützen. Der Inhalt löst dieses Versprechen jedoch nicht ein: Physische Sicherheitsaspekte, die über klassische friedenszeitliche Maßnahmen wie Zäune, Kameras und simplen Perimeterschutz hinausgehen, werden ausgeklammert. Die gegenwärtige besondere Bedrohungslage erscheint verkannt.
Eine Ursache ergibt sich aus ihrer Entstehungsgeschichte, hier dem “Aktionsplan 2024+ zur Nationalen Wirtschaftsschutzstrategie” des BMI. Der Wirtschaftsschutz bezieht sich laut wirtschaftsschutz.info auf Gefahren der Spionage, Sabotage, Geschäftsreisen ins Ausland, Innentäter, Wirtschaftskriminalität und Cyberbedrohung. Das breite Spektrum physisch wirkender Gefahren einschließlich Naturereignissen oder Terroranschlägen wird hiervon erkennbar nicht erfasst. Der Mangel der Abdeckung dürfte auch mit der fehlenden Zuständigkeit des BMI für bauliche und technische Aspekte im Zusammenhang stehen.
Dementsprechend fehlen der DIN SPEC 14027 taugliche Anforderungen an bauliche und technische Sicherheitsmaßnahmen. Der Schwerpunkt der personellen und organisatorischen Maßnahmen dient fast ausschließlich dem Wirtschaftsschutz, nicht der physischen Resilienz. Daran ändert auch eine einfache, im Dokument nicht weiter reflektierte, da rein informatorische Auflistung von physisch wirkenden Gefahren im Anhang nichts.
Die physische Resilienz einer Organisation und ihrer Anlagen kann mittels DIN SPEC 14027 nicht erreicht werden. Die bekannten rechtlichen Mängel beeinträchtigen zudem das Wirtschaftsschutzziel. Somit geht die DIN SPEC 14027 an ihrem erklärten Ziel vorbei.
Was der All-Gefahren-Ansatz wirklich bedeutet
Die DIN SPEC 14027 verkennt die Bedeutung des sog. All-Gefahren-Ansatzes (All-Hazards Approach):
Internationale Standards wie das Sendai-Rahmenwerk der Vereinten Nationen (UN) oder auch einschlägige Berichte der OECD verlangen im Kontext des All-Hazards Approach als Teil des Risikomanagements eine systematische, sektorübergreifende Berücksichtigung der gesamten Gefahrenvielfalt. Dabei soll von anderen (Sektoren) gelernt werden, um blinde Flecken in der eigenen Vorsorge auszuschließen sowie Interdependenzen und Kaskadeneffekte frühzeitig erkennen zu können. Nur so lassen sich sachgerechte Ansätze zur Schadensvermeidung entwickeln.
Der All-Gefahren-Ansatz bedeutet also: Keine Gefahr darf ausgelassen werden. Die DIN SPEC 14027 lässt jedoch ausweislich ihrer selbst Gefahren abseits des Wirtschaftsschutzes unberücksichtigt. Eine beispielhafte Auflistung von weiteren, physisch wirkenden Gefahren im Anhang gilt nicht als Berücksichtigung. Vielmehr belegt sie, dass der All-Gefahren-Ansatz missverstanden wird:
So bedeutet er insbesondere nicht, alle erdenklichen Gefahren – vom Hochwasser bis zum spionierenden Bewerber – ein und derselben Methodik zu unterwerfen, um konkrete Risiken zu bestimmen. Denn das ist nicht möglich. Doch genau das Unmögliche verlangt die DIN SPEC 14027 vom Anwender. Die angebotene Methodik auf der Grundlage des kleinsten gemeinsamen Nenners aller Gefahren als Ausgangspunkt für eine individuelle Risikobeurteilung schließt eine sachgerechte Risikobeurteilung aller Gefahren denklogisch aus. In der Folge drohen notwendige Sicherheitsvorkehrungen zu unterbleiben, welche der All-Gefahren-Ansatz gerade sicherstellen will.
Widerspruch zu DIN ISO 31000:2018 und Gesetz
Die DIN SPEC 14027, die mangels Normqualität kein Teil des Deutschen Normenwerks ist, widerspricht der zwecks ausnahmsloser Risikoerfassung methodikoffenen DIN ISO 31000:2018. Die Konsortialmitglieder, welche mit der DIN SPEC 14027 ein spezifisches Risikomanagement etablieren wollen, referenzieren die DIN ISO 31000:2018 als generelle Risikomanagement-Norm, verkennen jedoch, dass sie hierzu nicht in Widerspruch treten dürfen. Eine DIN SPEC darf nach den Vorgaben des DIN nicht im Widerspruch zu bestehenden internationalen Standards stehen. Die Vorgabe der Risikobestimmung aufgrund einer einfachen Risikomatrix ist auch seit knapp 20 Jahren wissenschaftlich fragwürdig (vgl. Cox, What’s Wrong with Risk Matrices?, 2008).
Während die CER-Richtlinie und das KRITISDachG erkennbar an die international etablierte DIN ISO 31000:2018 angelehnt sind, aber ihren eigenen Risikobegriff bestimmen, missachtet die DIN SPEC 14027 deren Vorgaben. Bei Studium der DIN ISO 31000:2018 wird insbesondere schnell klar, dass das Risiko eines Terroranschlags – beispielsweise mittels eines sprengstoffbeladenen Fahrzeugs wie beim Oklahoma City Bombing im Jahr 1995 – nicht mit derselben Methodik sinnvoll beurteilbar ist wie das Risiko eines Bewerbers, der auf der Plattform X etwas Streitbares gepostet hat.
Machen Sie den Test: Nehmen Sie die vorgenannten Beispiele und vergleichen Sie das Vorgehen sowie die Ergebnisse einer Risikobeurteilung (Risikoanalyse und Risikobewertung) nach der DIN ISO 31000:2018 mit jenen nach der DIN SPEC 14027. Der Raum dazwischen lässt erahnen, welche Schäden infolge des Abweichens vom internationalen Standard des Risikomanagements Raum zur Entwicklung erhalten.
Interessenkonflikte gefährden die Sicherheit
Generell sollte das Risk Assessment – inklusive der Methodikwahl – fachkundigen, unabhängigen Risiko-Assessoren überlassen werden. Ein professionelles Risikomanagement trennt nach hiesiger Ansicht die Rollen von Risk Assessor und Risk Manager, um insbesondere Interessenkonflikte, Bestätigungsfehler (Confirmation Bias) sowie Betriebsblindheit auszuschließen.
Die DIN SPEC 14027 steht dabei exemplarisch für die Mängel und Folgen der Verquickung von Risk Assessment, Risk Management bzw. Corporate Security Management als das verantwortliche Sicherheitsmanagement in Organisationen. Sie vermeidet demgemäß die erforderliche Klärung von Verantwortlichkeiten. Zudem liegen ihr Partikularinteressen eines elitären, homogenen Konsortiums zugrunde, welche anderen Wirtschaftsakteuren aufgezwungen werden könnten. Diese stehen jedoch erkennbar im Widerspruch zur internationalen DIN ISO 31000:2018 als Basis für das Risiko- und damit Sicherheitsmanagement in diversen Sektoren.
Damit könnten die Konsortialmitglieder auch über die – im Widerspruch zu geltendem Recht wie der CER-Richtlinie und dem KRITISDachG stehende – Risikobeurteilung in der Lieferkette bestimmen. In der Konsequenz würde jede Lieferkette zu einer Supply-Chain-Zündschnur werden und genau jene gefährlichen Interdependenzen und Kaskadeneffekte perpetuieren, die der All-Gefahren-Ansatz eigentlich verhindern soll.
Die DIN SPEC 14027 ist eine Gefahr, keine Lösung
Die DIN SPEC 14027 beansprucht für sich, ein spezifischer Risikomanagement-„Standard“ zu sein. Sie steht jedoch im Widerspruch zur internationalen Risikomanagement-Norm DIN ISO 31000:2018 und infolgedessen zur CER-Richtlinie sowie dem KRITISDachG. Es darf selbst nach den DIN-Regularien keinen Standard geben, der einer etablierten, internationalen Norm widerspricht und die Errungenschaften des Risiko- und Sicherheitsmanagements zugunsten der Partikularinteressen einer kleinen, elitären Personengruppe rückgängig macht.
Daraus folgt insbesondere, dass das BMI die Methodik der DIN SPEC 14027 zur Risikobeurteilung nicht im Sinne eines Regulatory Capture in eine Rechtsverordnung nach § 12 Abs. 3 KRITISDachG übernehmen darf. Dies würde den Schutz von Deutschlands Kritischen Infrastrukturen absenken, jedenfalls verzögernd wirkende Verwirrung schaffen, da Verantwortliche wider die Intention von Richtlinien- und Gesetzgebern gezwungen wären, den bewährten, methodikoffenen Orientierungsrahmen der DIN ISO 31000:2018 aufzugeben. Das absehbare Vertragsverletzungsverfahren gegen Deutschland wegen unzureichender Umsetzung der CER-Richtlinie wäre dabei das kleinste Übel.
Begriffe
CER-Richtlinie: Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG legt u.a. Verpflichtungen fest gegenüber EU-Mitgliedstaaten zur Gewährleistung der ungehinderten Erbringung von Diensten im Binnenmarkt, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten unerlässlich sind, sowie für kritische Einrichtungen, die darauf abzielen, ihre Resilienz und ihre Fähigkeit zur Erbringung von Diensten im Binnenmarkt zu verbessern. Im Fokus stehen v.a. eine dynamische Bedrohungslage, die sich wandelnde hybride und terroristische Bedrohungen sowie wachsende gegenseitige Abhängigkeiten zwischen Infrastrukturen und Sektoren umfasst.
DIN SPEC nach dem PAS-Verfahren: Publicly Available Specification, die dazu dient, den wirtschaftlichen Erfolg einer Idee zu fördern. Informationen zur DIN SPEC nach dem PAS-Verfahren, welche ausdrücklich nicht mit bestehenden Normen kollidieren darf, finden sich auf der DIN-Website über diesen Link.
KRITIS-Dachgesetz (KRITISDachG): Auch “Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen”, z.B. hier abrufbar, setzt die CER-Richtlinie in deutsches Recht um. Es ist am 17. März 2026 in Kraft getreten.
Regulatory Capture: Dieser Begriff beschreibt das Ergebnis einer Entwicklung, in der eine staatliche, durch Gesetz zur Rechtsetzung befähigte Institution nicht mehr im öffentlichen Interesse, sondern beeinflusst von kommerziellen oder speziellen Interessen derjenigen Gruppen handelt, die sie eigentlich kontrollieren soll.