Was Regulierung verlangt – und was Unternehmen daraus machen
CSRD, ESRS S1, ISO 45003, NIS-2 — regulatorische Anforderungen an betriebliche Gesundheitsverantwortung wachsen. Was sie für Unternehmen konkret bedeuten und wo bKV sowie BGM in diesem Rahmen einzuordnen sind, bleibt in der Praxis selten präzise geklärt. Diese Episode trennt zwischen dem, was Compliance verlangt, und dem, was Versorgungsinfrastruktur darüber hinaus strukturell leisten kann.
Die regulatorischen Anforderungen an Unternehmen wachsen. Doch was davon betrifft betriebliche Gesundheitsverantwortung konkret? Diese Folge ordnet ein, wo betriebliche Krankenversicherung (bKV) und betriebliches Gesundheitsmanagement (BGM) regulatorisch anschlussfähig sind – und warum Compliance allein keine Versorgungsinfrastruktur ersetzt.
Chapter 1
Imported Transcript
Anna Weber
Willkommen zu einer neuen Folge von „bKV verstehen – Strategien für Unternehmen". Heute schauen wir auf etwas, das in vielen Unternehmen gerade viel Aufmerksamkeit bekommt: Regulierung im Bereich Gesundheit und Sicherheit. CSRD, ISO 45003, NIS-2 – das sind Begriffe, die in Vorstandsberichten auftauchen. Was sie tatsächlich verlangen, ist eine andere Frage.
Thomas Bergmann
Genau da liegt der Unterschied. Regulierung wird häufig als Reporting-Pflicht behandelt. Daten erheben, Bericht erstellen, Abschnitt abhaken. Das ist formal möglich – und sagt noch nichts darüber aus, ob irgendetwas gesteuert wird.
Anna Weber
Fangen wir mit CSRD an. Was verlangt ESRS S1 konkret?
Thomas Bergmann
ESRS S1 ist der Standard für die eigene Belegschaft im Rahmen der CSRD. Er fragt nach Gesundheitsschutz, Arbeitsbedingungen, sozialen Risiken. In vielen Unternehmen übernimmt das Nachhaltigkeitsteam die Umsetzung. Die Frage dahinter ist aber eine andere: Gibt es eine Steuerung für gesundheitliche Verfügbarkeit – oder werden Daten gesammelt, ohne dass daraus Entscheidungen folgen?
Anna Weber
Das heißt, ein Bericht kann korrekt sein, ohne dass er irgendwas verändert.
Thomas Bergmann
Ja. CSRD-Reporting kann formal korrekt sein und trotzdem keinen einzigen Steuerungsimpuls auslösen. Berichtspflicht und Steuerungsverantwortung sind nicht dasselbe. Der Unterschied liegt darin, ob die Daten, die erhoben werden, auch jemandem mit Entscheidungsbefugnis vorliegen – und ob dieser jemand einen Auftrag hat, darauf zu reagieren.
Anna Weber
Dann ISO 45003. Das ist weniger bekannt als CSRD, oder?
Thomas Bergmann
ISO 45003 ist der internationale Leitfaden für psychische Gesundheit am Arbeitsplatz. Er ist nicht rechtsverbindlich, aber er ist der Standard, auf den sich andere Normen und mittlerweile auch Gerichtsurteile beziehen. ISO 45003 fragt nach organisatorischer Verankerung: Wer ist zuständig? Wie wird psychische Belastung systematisch erfasst? Welche Eskalationswege gibt es?
Anna Weber
Das klingt nach denselben Fragen, die wir in der letzten Folge gestellt haben.
Thomas Bergmann
Es sind dieselben Fragen. Was ISO 45003 von einem EAP oder einer Mental-Health-App unterscheidet: Die Norm fragt nicht, ob Angebote existieren, sondern ob Strukturen existieren. Wer zuständig ist, wenn psychische Belastung zu einem Muster wird. Wie das in die Führungsverantwortung eingebettet ist. Das ist ein anderer Anspruch als eine App-Lizenz.
Anna Weber
Und dann gibt es noch NIS-2 und das KRITIS-Dachgesetz – das ist eher ein Thema für den Energiesektor.
Thomas Bergmann
Für Unternehmen, die kritische Infrastrukturen betreiben, ist das sehr konkret. NIS-2 verlangt Resilienz – Systeme, Prozesse, Notfallpläne. Technisch wird aufgerüstet: Redundanz, Incident Response, Backup-Strukturen. Ob die Leute, die das alles bedienen, in drei Wochen einen Facharzttermin bekommen, steht in keinem Audit.
Anna Weber
Das ist eine auffällige Lücke.
Thomas Bergmann
Technische Verfügbarkeit ist reguliert. Personelle Verfügbarkeit ist es meistens nicht – zumindest nicht im Sinne von Gesundheitsversorgung. Dabei hängt die eine von der anderen ab, besonders dort, wo Qualifikation und Freigabe nicht austauschbar sind. Eine Leitwarte, die technisch redundant ausgelegt ist, aber deren Schlüsselpersonen strukturell später versorgt werden als nötig, hat eine Resilienzlücke, die in keinem Audit auftaucht.
Anna Weber
Was folgt daraus für Unternehmen, die unter NIS-2 oder KRITIS-Anforderungen fallen?
Thomas Bergmann
Dass Resilienzplanung vollständiger gedacht werden muss. Technische Redundanz ist notwendig, aber nicht hinreichend. Wer Resilienz ernst nimmt, muss auch fragen: Was passiert mit der Versorgungsfähigkeit der Menschen, die diese Systeme betreiben? Das ist keine Wellness-Frage. Das ist eine Betriebsstabilitätsfrage.
Anna Weber
Und die bKV hat dabei eine Rolle?
Thomas Bergmann
Im Rahmen der Tarif- und Netzwerkbedingungen kann sie einen strukturierten Versorgungszugang ermöglichen, der sonst fehlt. Nicht als Garantie – als Infrastruktur, die den Wahrscheinlichkeitsraum für zeitnahe Versorgung verändert. Das ist der Beitrag, den sie leisten kann, wenn sie als Teil einer Gesamtarchitektur eingeführt wird.
Anna Weber
In der abschließenden Folge dieser Staffel schauen wir auf die betriebswirtschaftliche Sprache: Was COV und COI bedeuten, warum der Energiesektor ein Extremfall ist – und was ein konkretes Szenario zeigt. Für heute: Wer die regulatorischen Anforderungen für seinen Bereich einordnen möchte, findet bei Bruns & Bruns einen Gesprächspartner, der Governance, Regulierung und Versorgungsstruktur zusammendenkt.
Thomas Bergmann
Danke fürs Zuhören. Bis zur nächsten Folge.
Anna Weber
Bleiben Sie gesund – und strukturiert.