Das Notfallmanagement, auch Business Continuity Management (BCM) genannt, ist nicht nur seit vielen Jahren fester Bestandteil des IT-Grundschutzes, sondern aufgrund aktueller Herausforderungen und Neuerungen auch ein Thema, mit dem sich Unternehmen und Organisationen beschäftigen sollten. Im Folgenden erfahren Sie mehr zum neuen BSI-Standard 200-4 und welche Synergien Sie bei der Weiterentwicklung Ihres Notfallmanagements nutzen können.
An einem Notfallmanagement führt bald kein Weg mehr vorbei!
Neue arbeitsorganisatorische Methoden, Outsourcing und Optimierung der Geschäftsprozesse haben stetig Einfluss auf die Abläufe in Unternehmen. Neben vielen Effizienzvorteilen in diesen Änderungen und Neuerungen, werden jedoch vorhandene Puffer an Zeit und Ressourcen immer weiter reduziert, gleichzeitig wird die Abhängigkeit von Dritten ständig weiter ausgebaut.
Geschäftsunterbrechungen bei Zulieferern und Dienstleistern wirken sich daher heute schneller und massiver auf den eigenen Geschäftsbetrieb aus. Massive Bedrohungen durch Cyberangriffe oder Naturkatastrophen sind mittlerweile keine Randerscheinungen mehr, sondern betreffen Organisationen jeglicher Art und Größe immer häufiger – auf direkte und indirekte Weise.
Für viele Bereiche sind hierdurch auch neue und umfassende regulatorische Anforderungen an das Notfallmanagement bzw. BCM entstanden, etwa für den Banken- und Versicherungssektor, für Kritische Infrastrukturen, aber auch im öffentlichen Sektor.
Neuer BSI-Standard zum Business Continuity Management
Bislang waren die Standards für das Notfallmanagement die ISO 22301, die Good Practice Guidelines (GPG) des British Standard Institute sowie der deutsche BSI-Standard 100-4. Der neue BSI-Standard 200-4 (Business Continuity Management) setzt die Rahmenbedingungen und Anforderungen der deutlich veränderten Welt um. Die Community Draft-Phase zum neuen Standard endete am 30. Juni 2021. Bis zur voraussichtlichen Einführung des neuen BSI-Standards zu Beginn des Jahres 2022, behält der Standard 100-4 seine Gültigkeit.
Die Weiterentwicklung des etablierten BSI-Standards 100-4 setzt zahlreiche Neuerungen, basierend auf aktuellen Erkenntnissen im Bereich Business Continuity sowie durch die jüngsten Erfahrungen aus der Corona-Pandemie um. Der Standard 200-4 berücksichtigt dabei passgenau und modular die Anforderungen unterschiedlich großer Organisationen. Und: Er bleibt kompatibel zum BSI-Standard 100-4 und kann nahtlos auf ein bestehendes BCMS (Business Continuity Management System) aufgesetzt werden. Gleichzeitig soll der neue Standard aber auch darüber hinausgehen und in seiner maximalen Ausprägung ermöglichen, ein BCMS nach ISO 22301 zertifizieren zu lassen.
Synergien nutzen und Notfallmanagement weiterentwickeln
Ein Notfallmanagement sollte stets im Rahmen einer Gesamtsicherheitsstrategie in der Organisation umgesetzt werden. Zusammen mit anderen Managementsystemen und Sicherheitsthemen trägt das BCM maßgeblich dazu bei, die Organisation widerstandfähig gegenüber den unterschiedlichsten Arten von Risiken und Schadensszenarien zu machen. Es bestehen große Überschneidungspunkte z. B. mit dem Informationssicherheits-Managementsystem (ISMS) oder dem IT-Service Continuity Management (ITSCM). Diese werden für den Aufbau und Betrieb eines BCMS zwar nicht vorausgesetzt, können aber, durch eine zielgerichtete und möglichst frühzeitige Zusammenarbeit, dabei helfen, Synergieeffekte zu nutzen und finanzielle, personelle und zeitliche Ressourcen einzusparen.
Die innerhalb der Business-Impact-Analyse (BIA) untersuchten Geschäftsprozesse und ihre für einen Notbetrieb benötigten Ressourcen sind die Grundlage für das weitere Vorgehen. Dabei können die Ergebnisse aus der Strukturanalyse als gemeinsame Datenbasis verwendet werden. Auch in einem ISMS nach ISO/IEC 27001 müssen die Geschäftsprozesse identifiziert werden. In der Schutzbedarfsfeststellung und der Business-Impact-Analyse werden oftmals dieselben Ansprechpartner und vergleichbare Bewertungsmethoden herangezogen. Durch einheitliche Stammdaten, aufeinander abgestimmte Methoden und eine gemeinsame Datenerhebung, können Aufwände reduziert und die Akzeptanz seitens der Ansprechpartner erhöht werden.
Durch eine gemeinsame Übersicht der relevanten Risiken im Rahmen eines integrierten Risikobehandlungs- und Maßnahmenplans können weitere finanzielle, personelle und zeitliche Ressourcen eingespart werden. Die regelmäßige Information der internen Interessengruppen über ihre Tätigkeiten, Maßnahmen und Risiken, kann durch eine gemeinsame Berichterstattung erfolgen. Damit werden Entscheidungen auf Grundlage einer besseren Informationsbasis getroffen, Dopplungen vermieden und somit Kosten eingespart.
Durch die vielen Synergieeffekte in der Datenbasis sowie bei der Analyse und der Kommunikation sollte daher auch bei der geplanten Einführung einer technischen Unterstützungsplattform die Möglichkeit einer gemeinsamen Nutzung durch das BCMS und ISMS frühzeitig berücksichtig werden.
Stellen Sie Ihr Notfallmanagement auf den Prüfstand!
Die aktuellen Ereignisse durch Cyperattacken, die Pandemie, Naturkatastrophen sowie die Änderungen und Neuerungen von Methoden, Verfahren und regulatorischen Anforderungen sollten auch Sie dazu veranlassen, Ihr eigenes Notfallmanagement auf den Prüfstand zu stellen. Hierzu bietet das BSI ergänzen zum Standard 200-4 auch Hilfsmittel und Dokumentvorlagen an.
Nutzen Sie jetzt die Zeit, um Ihr Notfallmanagement stufenweise auf das von Ihnen oder ggfs. auch von regulatorischen Anforderungen erwartete Niveau, unter Nutzung möglichst vieler Synergieeffekte, ressourcenschonend zu entwickeln. Gerne unterstützen wir Sie bei der Bestandsaufnahme und Weiterentwicklung Ihres BCM.