BSI/200-4/03 Initiierung: Unterschied zwischen den Versionen
| Zeile 29: | Zeile 29: | ||
! Bereich !! Regelungen | ! Bereich !! Regelungen | ||
|- | |- | ||
| Anforderungen an Aktiengesellschaften || EU-Richtlinie 2157/2001 | | Anforderungen an Aktiengesellschaften || | ||
* EU-Richtlinie 2157/2001 | |||
* Aktiengesetz (AktG), ... | |||
|- | |- | ||
| Anforderungen an die Kommunikation || Richtlinie (EU) 2018/1972 über den europäischen Kodex für die elektronische Kommunikation | | Anforderungen an die Kommunikation || | ||
* Richtlinie (EU) 2018/1972 über den europäischen Kodex für die elektronische Kommunikation | |||
* Post- und Telekommunikationssicherstellungsgesetz (PTSG), ... | |||
|- | |- | ||
| Börsengesetz || BörsG | | Börsengesetz || BörsG | ||
| Zeile 47: | Zeile 51: | ||
| Gewährleistung der sicheren Gasversorgung || Verordnung (EU) Nr. 2017/1938 | | Gewährleistung der sicheren Gasversorgung || Verordnung (EU) Nr. 2017/1938 | ||
|- | |- | ||
| Kritische Infrastrukturen || EU-Richtlinie 2008/114/EG | | Kritische Infrastrukturen || | ||
* EU-Richtlinie 2008/114/EG | |||
* BSI-Kritisverordnung (BSI-KritisV)) | |||
* IT-Sicherheitsgesetz, ... | |||
|- | |- | ||
| Versicherungsbranche || Solvency II-Richtlinie (Richtlinie 2009/138/EG), das Versicherungsaufsichtsgesetz (VAG) | | Versicherungsbranche || | ||
* Solvency II-Richtlinie (Richtlinie 2009/138/EG), das Versicherungsaufsichtsgesetz (VAG) | |||
* Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) in der Versicherungsbranche | |||
|- | |- | ||
| Banken || Empfehlungen des Basler Ausschusses der Bank für Internationalen Zahlungsausgleich (BIZ) zur Regulierung von Banken (genannt Basel III) | | Banken || | ||
* Empfehlungen des Basler Ausschusses der Bank für Internationalen Zahlungsausgleich (BIZ) zur Regulierung von Banken (genannt Basel III) | |||
* Europäische Bankenrichtlinie CRD IV (Richtlinie 2013/36/EU) | |||
* CRR (Verordnung (EU) Nr. 575/2013) | |||
|- | |- | ||
| Risikomanagement im Bankenbereich || MaRisk | | Risikomanagement im Bankenbereich || MaRisk | ||
Version vom 31. Mai 2026, 18:37 Uhr
BSI/200-4/03 Initiierung
Beschreibung
- BCM-Prozessschritte zur Initiierung des BCMS durch die Institutionsleitung
Übernahme der Verantwortung durch die Leitungsebene
Zielsetzung
Die Zielsetzung geht vorrangig auf drei Fragen ein:
- Warum wird in der Institution ein BCM benötigt? (Motivation für den Aufbau eines BCMS)
- Welche konkreten Ziele werden mit dem BCM verfolgt?
- Wie lange soll durch das BCM ein Ausfall des Normalbetriebs kompensiert werden? (Abzusichernder Zeitraum durch ein BCM)
Motivation für den Aufbau eines BCMS
Gründe für ein BCM identifizieren, dokumentieren
- Interne Gründe für ein BCMS
- Eigeninteresse einer Institution
- Überlebensfähigkeit der Institution in Notfällen und Krisen erhöhen
- Externe Gründe für BCMS
- Für die Bundesverwaltung gelten die Anforderungen aus dem Umsetzungsplan Bund
- Gesetzlichen Anforderungen und aus Vorgaben einer Muttergesellschaft
- Verträge mit Kunden und Kundinnen oder Geschäftspartnern und -partnerinnen oder deren Erwartungshaltungen
- Gesetze, Verordnungen und Richtlinien (regulatorische Anforderungen)
| Bereich | Regelungen |
|---|---|
| Anforderungen an Aktiengesellschaften |
|
| Anforderungen an die Kommunikation |
|
| Börsengesetz | BörsG |
| Arbeitsschutzgesetz | ArbSchG |
| Störfallverordnung | 12. BImSchV – StörfallV |
| Gefahrstoffverordnung | GefStoffV |
| Betriebssicherheitsverordnung | BetrSichV |
| Risikovorsorge im Elektrizitätssektor | Verordnung (EU) Nr. 2019/941 |
| Gewährleistung der sicheren Gasversorgung | Verordnung (EU) Nr. 2017/1938 |
| Kritische Infrastrukturen |
|
| Versicherungsbranche |
|
| Banken |
|
| Risikomanagement im Bankenbereich | MaRisk |
| Bankenbereich | EBA Guidelines on ICT and security risk management (EBA/GL/2019/04), ... |
Entwicklung der Ziele des BCMS
- welche Geschäftsziele geschützt werden sollen
- welche Arten von Geschäftsunterbrechungen als existenzbedrohend angesehen werden (grobe Vorgaben hinsichtlich Schadenshöhe und zu betrachtenden Schadensszenarien)
- welche Bereitschaft besteht, Risiken einzugehen (Risikobereitschaft)
- in welcher Art und Größenordnung Risiken minimiert werden sollen sowie
- was das primäre Ziel der Bewältigung ist.
Abzusichernder Zeitraum durch ein BCMS
- Muss für die Institution individuell festgelegt werden
Hängt stark von unterschiedlichen Gegebenheiten ab
- der Risikobereitschaft der Institution
(Je kürzer der abzusichernde Zeitraum gewählt wird, desto eher muss das Krisenmanagement aktiviert werden.) - dem Zeitraum, über den die Institution ohne Umsätze überlebensfähig ist
- dem Reifegrad des BCMS
- den vorhandenen oder avisierten Ressourcen des BCMS
- der Art und Komplexität des Geschäftszwecks der Institution
- der Vielfältigkeit und der Verteilung der Geschäftsprozesse über mehrere Standorte
- dem Abhängigkeitsverhältnis des Geschäftsbetriebs von Dritten
- dem Umfang und der Detailtiefe der Anforderungen an die Institution sowie
- branchenspezifischen Vorgaben.
In der Praxis ist ein Zeitraum von 14 bis 30 Tagen üblich.
Geltungsbereich
Entscheidung für Vorgehensweise
Ernennung des BC-Beauftragten
Anhang
Siehe auch
- BSI/200-4
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführung
- BSI/200-4/11 Geschäftsfortführung/Erstellung
- BSI/200-4/11 Geschäftsfortführung/Qualitätssicherung und Freigabe
- BSI/200-4/11 Geschäftsfortführung/Vorbereitung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/12 Wiederanlauf/Erstellung
- BSI/200-4/12 Wiederanlauf/Vorbereitung
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang