BSI/200-4/03 Initiierung: Unterschied zwischen den Versionen
| Zeile 53: | Zeile 53: | ||
| Banken || Empfehlungen des Basler Ausschusses der Bank für Internationalen Zahlungsausgleich (BIZ) zur Regulierung von Banken (genannt Basel III), deren europäischer Umsetzung über die europäische Bankenrichtlinie CRD IV (Richtlinie 2013/36/EU), CRR (Verordnung (EU) Nr. 575/2013) | | Banken || Empfehlungen des Basler Ausschusses der Bank für Internationalen Zahlungsausgleich (BIZ) zur Regulierung von Banken (genannt Basel III), deren europäischer Umsetzung über die europäische Bankenrichtlinie CRD IV (Richtlinie 2013/36/EU), CRR (Verordnung (EU) Nr. 575/2013) | ||
|- | |- | ||
| | | Risikomanagement im Bankenbereich || MaRisk | ||
|- | |- | ||
| | | Bankenbereich ||EBA Guidelines on ICT and security risk management (EBA/GL/2019/04), ... | ||
|} | |} | ||
Version vom 31. Mai 2026, 18:35 Uhr
BSI/200-4/03 Initiierung
Beschreibung
- BCM-Prozessschritte zur Initiierung des BCMS durch die Institutionsleitung
Übernahme der Verantwortung durch die Leitungsebene
Zielsetzung
Die Zielsetzung geht vorrangig auf drei Fragen ein:
- Warum wird in der Institution ein BCM benötigt? (Motivation für den Aufbau eines BCMS)
- Welche konkreten Ziele werden mit dem BCM verfolgt?
- Wie lange soll durch das BCM ein Ausfall des Normalbetriebs kompensiert werden? (Abzusichernder Zeitraum durch ein BCM)
Motivation für den Aufbau eines BCMS
Gründe für ein BCM identifizieren, dokumentieren
- Interne Gründe für ein BCMS
- Eigeninteresse einer Institution
- Überlebensfähigkeit der Institution in Notfällen und Krisen erhöhen
- Externe Gründe für BCMS
- Für die Bundesverwaltung gelten die Anforderungen aus dem Umsetzungsplan Bund
- Gesetzlichen Anforderungen und aus Vorgaben einer Muttergesellschaft
- Verträge mit Kunden und Kundinnen oder Geschäftspartnern und -partnerinnen oder deren Erwartungshaltungen
- Gesetze, Verordnungen und Richtlinien (regulatorische Anforderungen)
| Bereich | Regelungen |
|---|---|
| Anforderungen an Aktiengesellschaften | EU-Richtlinie 2157/2001, Aktiengesetz (AktG), ... |
| Anforderungen an die Kommunikation | Richtlinie (EU) 2018/1972 über den europäischen Kodex für die elektronische Kommunikation, Post- und Telekommunikationssicherstellungsgesetz (PTSG), ... |
| Börsengesetz | BörsG |
| Arbeitsschutzgesetz | ArbSchG |
| Störfallverordnung | 12. BImSchV – StörfallV |
| Gefahrstoffverordnung | GefStoffV |
| Betriebssicherheitsverordnung | BetrSichV |
| Risikovorsorge im Elektrizitätssektor | Verordnung (EU) Nr. 2019/941 |
| Gewährleistung der sicheren Gasversorgung | Verordnung (EU) Nr. 2017/1938 |
| Kritische Infrastrukturen | EU-Richtlinie 2008/114/EG, BSI-Kritisverordnung (BSI-KritisV)), IT-Sicherheitsgesetz, ... |
| Versicherungsbranche | Solvency II-Richtlinie (Richtlinie 2009/138/EG), das Versicherungsaufsichtsgesetz (VAG), Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) in der Versicherungsbranche |
| Banken | Empfehlungen des Basler Ausschusses der Bank für Internationalen Zahlungsausgleich (BIZ) zur Regulierung von Banken (genannt Basel III), deren europäischer Umsetzung über die europäische Bankenrichtlinie CRD IV (Richtlinie 2013/36/EU), CRR (Verordnung (EU) Nr. 575/2013) |
| Risikomanagement im Bankenbereich | MaRisk |
| Bankenbereich | EBA Guidelines on ICT and security risk management (EBA/GL/2019/04), ... |
Entwicklung der Ziele des BCMS
- welche Geschäftsziele geschützt werden sollen
- welche Arten von Geschäftsunterbrechungen als existenzbedrohend angesehen werden (grobe Vorgaben hinsichtlich Schadenshöhe und zu betrachtenden Schadensszenarien)
- welche Bereitschaft besteht, Risiken einzugehen (Risikobereitschaft)
- in welcher Art und Größenordnung Risiken minimiert werden sollen sowie
- was das primäre Ziel der Bewältigung ist.
Abzusichernder Zeitraum durch ein BCMS
- Muss für die Institution individuell festgelegt werden
Hängt stark von unterschiedlichen Gegebenheiten ab
- der Risikobereitschaft der Institution
(Je kürzer der abzusichernde Zeitraum gewählt wird, desto eher muss das Krisenmanagement aktiviert werden.) - dem Zeitraum, über den die Institution ohne Umsätze überlebensfähig ist
- dem Reifegrad des BCMS
- den vorhandenen oder avisierten Ressourcen des BCMS
- der Art und Komplexität des Geschäftszwecks der Institution
- der Vielfältigkeit und der Verteilung der Geschäftsprozesse über mehrere Standorte
- dem Abhängigkeitsverhältnis des Geschäftsbetriebs von Dritten
- dem Umfang und der Detailtiefe der Anforderungen an die Institution sowie
- branchenspezifischen Vorgaben.
In der Praxis ist ein Zeitraum von 14 bis 30 Tagen üblich.
Geltungsbereich
Entscheidung für Vorgehensweise
Ernennung des BC-Beauftragten
Anhang
Siehe auch
- BSI/200-4
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführung
- BSI/200-4/11 Geschäftsfortführung/Erstellung
- BSI/200-4/11 Geschäftsfortführung/Qualitätssicherung und Freigabe
- BSI/200-4/11 Geschäftsfortführung/Vorbereitung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/12 Wiederanlauf/Erstellung
- BSI/200-4/12 Wiederanlauf/Vorbereitung
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang