ROLE:
Du agierst als KRITIS-Resilienzbeauftragter und interner Auditor.
KONTEXT:
- KRITIS-Dachgesetz (Umsetzung EU-CER 2022/2557), in Kraft seit 17.03.2026; Registrierung bestehender Anlagen bis 17.07.2026.
- Pflicht: All-Gefahren-Risikoanalyse mind. alle 4 Jahre; Bußgelder bis 1 Mio € je nach Verstoßstufe.
- Fokus: Auditierbare, nachvollziehbare Doku für Aufsicht (z. B. BBK/Landesbehörden) und Minimierung Doppelaufwand mit NIS-2/BSIG.
AUFGABE:
Erstelle eine prüffähige, priorisierte Risikoanalyse inkl. Maßnahmenplan und Evidenzen. Denke strukturiert und begründe komprimiert. Liefere NUR die spezifizierte XML-Struktur.
VARIABLEN (in Klammern einsetzen):
(ANLAGEN_NAME), (SEKTOR), (STANDORT), (KRITISCHE_DIENSTLEISTUNG), (VERSORGTE_EINWOHNER), (VERANTWORTLICHER_NAME), (STICHTAG), (NIS2_REFERENZ), (DSGVO_RISIKEN_JA_NEIN), (EXISTIERENDE_KONTROLLEN_KURZ), (DOKULINKS_ODER_AKTENZEICHEN)
OUTPUT-FORMAT (XML):
GUARDRAILS:
- Keine Rechtsberatung. Verweise bei Unsicherheiten auf Rechts- oder Aufsichtsstellen.
- DSGVO: Keine unnötigen personenbezogenen Daten aufnehmen; wenn erforderlich: Rechtsgrundlage, Speicherfristen, TOMs, DSFA prüfen.
- EU AI Act: Wenn KI involviert (z. B. Zugangskontrolle, HR), ab Aug 2026 Hochrisiko-Pflichten beachten (Daten-Governance, Logging, Human Oversight).
- Sicherheit: Keine sensiblen Details veröffentlichen (z. B. exakte Kamerastandorte). Nutze Abstraktion, aber auditierbar.
- Doppelarbeit vermeiden: Auf bestehende ISMS/BCM/NIS-2-Artefakte referenzieren statt neu zu erfinden.
FEW-SHOT (Beispiel — komprimiert):
Eingabe-Variablen: (ANLAGEN_NAME)=Wasserwerk Süd, (SEKTOR)=Wasserversorgung, (STANDORT)=München, (KRITISCHE_DIENSTLEISTUNG)=Trinkwasser, (VERSORGTE_EINWOHNER)=1.200.000, (VERANTWORTLICHER_NAME)=Max Bauer, (STICHTAG)=2026-06-30, (NIS2_REFERENZ)=ISMS#WW-12, (DSGVO_RISIKEN_JA_NEIN)=Ja, (EXISTIERENDE_KONTROLLEN_KURZ)=Zaun, Zutrittskontrolle, Notstrom, (DOKULINKS_ODER_AKTENZEICHEN)=AZ-2026/WW
Erwarteter Output: Siehe Struktur oben; Risiken z. B. Hochwasser (R=20), Sabotage (R=16), Lieferausfall Chemikalien (R=12).
DENKEN:
Arbeite schrittweise intern; gib NUR das XML im Output zurück.
So verwendest du den Prompt
Kopiere den Block oben, setze die Variablen ein und poste ihn in dein KI-Tool (ChatGPT/Claude). Ergebnis ist eine sofort prüffähige XML-Datei, die du in euer DMS übernimmst und versionierst. Tipp: Lasse dir zusätzlich eine menschenlesbare Zusammenfassung generieren, aber archiviere das XML als führendes Artefakt.
Variablen-Kurzguide: (ANLAGEN_NAME) offizieller Anlagenname; (SEKTOR) wie Wasserversorgung, Energie, Gesundheit; (VERSORGTE_EINWOHNER) realistische Zahl, Schwellenprüfung > 500.000 beachten; (NIS2_REFERENZ) interne Controls/Policies; (DSGVO_RISIKEN_JA_NEIN) nur „Ja“, wenn personenbezogene Daten berührt sind.
Rechtsrahmen im Blick: Die Registrierung bestehender Anlagen ist bis 17.07.2026 fällig und das Gesetz gilt seit 17.03.2026. Die Risikoanalyse ist mind. alle 4 Jahre zu aktualisieren; All-Gefahren-Ansatz inkl. physischer Risiken ist verpflichtend. Offizielle Grundlage ist die EU-CER-Richtlinie 2022/2557. Primärquellen: EUR-Lex: 2022/2557 sowie die Veröffentlichung zum Inkrafttreten auf bundesregierung.de.
Quellenhinweis: Hintergrundberichte siehe u. a. ad-hoc-news und interne Ideation-Quelle.
Warum dieser Prompt funktioniert
Der Workflow kombiniert vier robuste Techniken: 1) Role Prompting verankert die Perspektive als Resilienzbeauftragter und Auditor. 2) XML-Structuring erzwingt klare Felder, damit Prüfer die Nachvollziehbarkeit bewerten können. 3) Chain-of-Thought wird intern genutzt (Denken-Sektion), der Output bleibt kompakt und audittauglich. 4) Few-Shot-Beispiel kalibriert Risikoskalen (P,S,R) und typische Maßnahmen ohne starre Vorgaben.
Das Ergebnis: schnell konsistente Risikoanalysen, die Doppelarbeit mit NIS-2/BSIG vermeiden, weil Referenzen direkt im Scope landen. Gleichzeitig sorgen die Guardrails für DSGVO-Sauberkeit und markieren EU-AI-Act-Pflichten, sobald KI-Komponenten im Spiel sind. So lieferst du deinem Aufseher eine prüffähige, versionierbare Akte mit Evidenzen – in Stunden statt Wochen.
