BSI/200-4/03 Initiierung: Unterschied zwischen den Versionen

BSI/200-4/03 Initiierung

BCM-Prozessschritte zur Initiierung des BCMS durch die Institutionsleitung

Die Zielsetzung geht vorrangig auf drei Fragen ein:

• Warum wird in der Institution ein BCM benötigt? (Motivation für den Aufbau eines BCMS)
• Welche konkreten Ziele werden mit dem BCM verfolgt?
• Wie lange soll durch das BCM ein Ausfall des Normalbetriebs kompensiert werden? (Abzusichernder Zeitraum durch ein BCM)

Gründe für ein BCM identifizieren, dokumentieren

Interne Gründe für ein BCMS

• Eigeninteresse einer Institution
• Überlebensfähigkeit der Institution in Notfällen und Krisen erhöhen

Externe Gründe für BCMS

• Für die Bundesverwaltung gelten die Anforderungen aus dem Umsetzungsplan Bund
• Gesetzlichen Anforderungen und aus Vorgaben einer Muttergesellschaft
• Verträge mit Kunden und Kundinnen oder Ge­schäftspartnern und -partnerinnen oder deren Erwartungshaltungen

Gesetze, Verordnungen und Richtlinien (regulatorische Anfor­derungen)

Bereich	Regelungen
Anforderungen an Aktiengesellschaften	EU-Richtlinie 2157/2001 Aktiengesetz (AktG), ...
Anforderungen an die Kommunikation	Richtlinie (EU) 2018/1972 über den eu­ropäischen Kodex für die elektronische Kommunikation Post- und Telekommunika­tionssicherstellungsgesetz (PTSG), ...
Börsengesetz	BörsG
Arbeitsschutzgesetz	ArbSchG
Störfallverordnung	12. BImSchV – StörfallV
Gefahrstoffverordnung	GefStoffV
Betriebssicherheitsverordnung	BetrSichV
Risikovorsorge im Elektrizitätssektor	Verordnung (EU) Nr. 2019/941
Gewährleistung der sicheren Gasversor­gung	Verordnung (EU) Nr. 2017/1938
Kritische Infrastrukturen	EU-Richtlinie 2008/114/EG BSI-Kritisverordnung (BSI-KritisV)) IT-Sicherheitsgesetz, ...
Versicherungsbranche	Solvency II-Richtlinie (Richtlinie 2009/138/EG), das Versicherungsaufsichtsgesetz (VAG) Mindestanforderungen an die Geschäftsorganisation von Versiche­rungsunternehmen (MaGo) in der Versicherungsbranche
Banken	Empfehlungen des Basler Ausschusses der Bank für Internationalen Zahlungsaus­gleich (BIZ) zur Regulierung von Banken (genannt Basel III) Europäische Bankenrichtlinie CRD IV (Richtlinie 2013/36/EU) CRR (Verordnung (EU) Nr. 575/2013)
Risikomanagement im Bankenbereich	MaRisk
Bankenbereich	EBA Guidelines on ICT and security risk management (EBA/GL/2019/04), ...

• welche Geschäftsziele geschützt werden sollen
• welche Arten von Geschäftsunterbrechungen als existenzbedrohend angesehen werden (grobe Vorgaben hinsichtlich Schadenshöhe und zu betrachtenden Schadensszenarien)
• welche Bereitschaft besteht, Risiken einzugehen (Risikobereitschaft)
• in welcher Art und Größenordnung Risiken minimiert werden sollen sowie
• was das primäre Ziel der Bewältigung ist.

Muss für die Institution individuell festgelegt werden

Hängt stark von unterschiedlichen Gegebenheiten ab

• der Risikobereitschaft der Institution
  (Je kürzer der abzusichernde Zeitraum gewählt wird, desto eher muss das Krisenmanagement aktiviert werden.)
• dem Zeitraum, über den die Institution ohne Umsätze überlebensfähig ist
• dem Reifegrad des BCMS
• den vorhandenen oder avisierten Ressourcen des BCMS
• der Art und Komplexität des Geschäftszwecks der Institution
• der Vielfältigkeit und der Verteilung der Geschäftsprozesse über mehrere Standorte
• dem Abhängigkeitsverhältnis des Geschäftsbetriebs von Dritten
• dem Umfang und der Detailtiefe der Anforderungen an die Institution sowie
• branchenspezifischen Vorgaben.

In der Praxis ist ein Zeitraum von 14 bis 30 Tagen üblich.

Vor dem Aufbau eines BCMS muss die Institutionsleitung festlegen, welcher Bereich der Institution abgesichert werden soll

Zielsetzung, regulatorischen Anforderungen und Anforderungen an das BCMS

Dieser Bereich, auch Geltungsbereich des BCMS genannt, kann

• gesamte Institution
• einzelne Standorte
• Teilbereiche
• Produkte oder Services

Eingeschränkten Geltungsbereiche

Organisatorische oder technische Strukturen

• gemeinsame Gebäude
• Produktionsstraßen
• Geschäftsprozesse, ...

Geltungsbereich

Umfasst die Gesamtheit aller Komponenten die der Aufgabenerfüllung dienen

• infrastrukturell
• organisatorisch
• personell
• technisch

Der Geltungsbereich muss zur Zielsetzung des BCMS und den Anforderungen passen

• Betrachteten Geschäftsprozesse komplett im Geltungsbereich enthalten sein

Mehrere BCMS

Es kann sinnvoll sein, mehrere BCMS für Geltungsbereiche zu entwickeln

• Bereiche mit zeitkritischen oder regulierten Geschäftsprozessen ein Standard-BCMS
• Andere Bereichen ein Reaktiv-BCMS

Nicht nur technische Aspekte

Auch organisatorische Aspekte bei der Abgrenzung des Geltungsbereichs berücksichtigen

• So können Verantwortung und Zuständigkeiten eindeutig festgelegt werden
• Die im Geltungsbereich liegenden Geschäftsprozesse sollten explizit benannt werden

Manche Vorhaben scheitern an unrealistischen oder zu ehrgeizigen Zielvorgaben

• Dies ist beim Aufbau eines BCMS ebenfalls ein bedeutender Faktor
• Anstelle eines groß angelegten BCM-Einführungsprojekts, das keinen schrittweisen Aufbau vorsieht, kann es zu Beginn effizienter sein, ein BCMS in der Linie, d. h. in mehreren kleineren Schritten ohne hohe Investitionskosten, einzuführen, z. B. über ein Reaktiv- und anschließendes Aufbau-BCMS
• In der Praxis ist es aber auch legitim, ein BCMS im Rahmen eines Projekts zu etablieren und eventuell gleich ein Standard-BCMS anzustreben
• Grundsätzlich muss BCM immer in einen langfristigen, sich kontinuierlich verbessernden Prozess übergehen.

Die damit verbundene Durchlaufzeit eines PDCA-Zyklus sollte sich grundsätzlich an der Veränderungsgeschwindigkeit der Institution orientieren, wobei die Institution parallel in mehreren Phasen eines PDCA-Zyklus agieren kann

• In der Praxis ist es darüber hinaus empfehlenswert, die Durchlaufzeit des PDCA-Zyklus auf ein Geschäftsjahr auszurichten, da dadurch das BCMS besser in das jährliche Berichtswesen und die jährliche Überprüfung der Ziele integriert werden kann
• In diesem Zeitrahmen kann insbesondere sichergestellt werden, dass die erreichten Ergebnisse immer aktuell sind
• Die Ressourcen sollten darauf ausgerichtet sein, dass die geplanten Ziele in dem aktuellen Zyklus erreicht werden können
• Insofern spielt auch die Verfügbarkeit von Ressourcen bei der Festlegung der Durchlaufzeit des PDCA-Zyklus eine Rolle.

Die Institutionsleitung muss entscheiden, wie die weiteren Schritte zum Aufbau eines BCMS aussehen sollen, sodass die kurzfristigen und langfristigen Ziele erreicht werden (siehe 3.1 Übernahme der Verantwortung durch die Leitungsebene (R+AS))

• Diese Entscheidungen müssen auf der Zielsetzung, den damit zusammenhängenden Rahmenbedingungen des BCMS sowie dem festgelegten Geltungsbereich basieren
• Wurde bereits eine für das BCMS zuständige Person benannt, so kann diese die Institutionsleitung durch Erarbeitung von geeigneten Vorschlägen unterstützen
• Insbesondere muss die Institutionsleitung eine geeignete Stufe auswählen: Reaktiv-, Aufbau- oder Standard-BCMS
• Anschließend sollte dokumentiert werden, für welchen Bereich mit welchem Zeitplan ein Reaktiv-, Aufbau-, oder Standard-BCMS umgesetzt werden soll.

Falls sich die Institutionsleitung für ein Reaktiv- bzw. Aufbau-BCMS entscheidet, dann muss dies nachvollziehbar begründet und dokumentiert werden, z. B. in der Leitlinie BCMS (siehe 4.8 Leitlinie BCMS (R+AS))

• Neben den wesentlichen Einflussfaktoren, die zur Auswahl der Stufe geführt haben, sollten darüber hinaus die Vor- und Nachteile sowie die zu berücksichtigenden Risiken transparent gemacht werden
• Zudem muss die Institutionsleitung den langfristig angestrebten Entwicklungspfad für das BCMS aufzeigen.

Das Ziel sollte für jede Institution darin liegen, langfristig ein Standard-BCMS zu erreichen.

Zeitliche Ressourcen für BC-Beauftragte

Fachliche und persönliche Eigenschaften des oder der BC-Beauftragten