BSI/200-4/03 Initiierung
BSI/200-4/03 Initiierung
Beschreibung
- BCM-Prozessschritte zur Initiierung des BCMS durch die Institutionsleitung
Übernahme der Verantwortung durch die Leitungsebene
Zielsetzung
Die Zielsetzung geht vorrangig auf drei Fragen ein:
- Warum wird in der Institution ein BCM benötigt? (Motivation für den Aufbau eines BCMS)
- Welche konkreten Ziele werden mit dem BCM verfolgt?
- Wie lange soll durch das BCM ein Ausfall des Normalbetriebs kompensiert werden? (Abzusichernder Zeitraum durch ein BCM)
Motivation für den Aufbau eines BCMS
Gründe für ein BCM identifizieren, dokumentieren
- Interne Gründe für ein BCMS
- Eigeninteresse einer Institution
- Überlebensfähigkeit der Institution in Notfällen und Krisen erhöhen
- Externe Gründe für BCMS
- Für die Bundesverwaltung gelten die Anforderungen aus dem Umsetzungsplan Bund
- Gesetzlichen Anforderungen und aus Vorgaben einer Muttergesellschaft
- Verträge mit Kunden und Kundinnen oder Geschäftspartnern und -partnerinnen oder deren Erwartungshaltungen
- Gesetze, Verordnungen und Richtlinien (regulatorische Anforderungen)
| Bereich | Regelungen |
|---|---|
| Anforderungen an Aktiengesellschaften |
|
| Anforderungen an die Kommunikation |
|
| Börsengesetz | BörsG |
| Arbeitsschutzgesetz | ArbSchG |
| Störfallverordnung | 12. BImSchV – StörfallV |
| Gefahrstoffverordnung | GefStoffV |
| Betriebssicherheitsverordnung | BetrSichV |
| Risikovorsorge im Elektrizitätssektor | Verordnung (EU) Nr. 2019/941 |
| Gewährleistung der sicheren Gasversorgung | Verordnung (EU) Nr. 2017/1938 |
| Kritische Infrastrukturen |
|
| Versicherungsbranche |
|
| Banken |
|
| Risikomanagement im Bankenbereich | MaRisk |
| Bankenbereich | EBA Guidelines on ICT and security risk management (EBA/GL/2019/04), ... |
Entwicklung der Ziele des BCMS
- welche Geschäftsziele geschützt werden sollen
- welche Arten von Geschäftsunterbrechungen als existenzbedrohend angesehen werden (grobe Vorgaben hinsichtlich Schadenshöhe und zu betrachtenden Schadensszenarien)
- welche Bereitschaft besteht, Risiken einzugehen (Risikobereitschaft)
- in welcher Art und Größenordnung Risiken minimiert werden sollen sowie
- was das primäre Ziel der Bewältigung ist.
Abzusichernder Zeitraum durch ein BCMS
- Muss für die Institution individuell festgelegt werden
Hängt stark von unterschiedlichen Gegebenheiten ab
- der Risikobereitschaft der Institution
(Je kürzer der abzusichernde Zeitraum gewählt wird, desto eher muss das Krisenmanagement aktiviert werden.) - dem Zeitraum, über den die Institution ohne Umsätze überlebensfähig ist
- dem Reifegrad des BCMS
- den vorhandenen oder avisierten Ressourcen des BCMS
- der Art und Komplexität des Geschäftszwecks der Institution
- der Vielfältigkeit und der Verteilung der Geschäftsprozesse über mehrere Standorte
- dem Abhängigkeitsverhältnis des Geschäftsbetriebs von Dritten
- dem Umfang und der Detailtiefe der Anforderungen an die Institution sowie
- branchenspezifischen Vorgaben.
In der Praxis ist ein Zeitraum von 14 bis 30 Tagen üblich.
Geltungsbereich
- Vor dem Aufbau eines BCMS muss die Institutionsleitung festlegen, welcher Bereich der Institution abgesichert werden soll
- Dabei müssen die Zielsetzung und insbesondere die damit verbundenen regulatorischen Anforderungen und gegebenenfalls weitere Anforderungen an das BCMS berücksichtigt werden
- Dieser Bereich, auch Geltungsbereich des BCMS genannt, kann die gesamte Institution umfassen oder nur einzelne Standorte, Teilbereiche, Produkte oder Services
- Solche eingeschränkten Geltungsbereiche werden entweder durch organisatorische oder technische Strukturen vorgegeben, z. B. gemeinsame Gebäude oder Produktionsstraßen, oder durch gemeinsame Geschäftsprozesse, z. B. die Produktion
- Der Geltungsbereich umfasst die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung dienen
- Der Geltungsbereich des BCMS muss zur Zielsetzung des BCMS und den Anforderungen passen
- Zudem sollten die betrachteten Geschäftsprozesse komplett im Geltungsbereich enthalten sein.
- Es kann auch sinnvoll sein, mehrere BCMS für mehrere kleinere Geltungsbereiche zu entwickeln
- So könnte eine Institution beschließen, zunächst für einen kleinen Bereich mit besonders zeitkritischen oder regulierten Geschäftsprozessen ein Standard-BCMS umzusetzen
- In den restlichen Bereichen der Institution kann anschließend ein ReaktivBCMS aufgebaut werden, damit auch für diese Bereiche eine grundlegende Geschäftsfortführung möglich ist, die über eine reine Krisenbehandlung im Rahmen der BAO hinausgeht.
- Es sollten nicht nur technische, sondern auch organisatorische Aspekte bei der Abgrenzung des Geltungsbereichs berücksichtigt werden, damit die Verantwortung und die Zuständigkeiten eindeutig festgelegt werden können
- Die im Geltungsbereich liegenden Geschäftsprozesse sollten explizit benannt werden.
Entscheidung für Vorgehensweise
Ernennung des BC-Beauftragten
Anhang
Siehe auch
- BSI/200-4
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführung
- BSI/200-4/11 Geschäftsfortführung/Erstellung
- BSI/200-4/11 Geschäftsfortführung/Qualitätssicherung und Freigabe
- BSI/200-4/11 Geschäftsfortführung/Vorbereitung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/12 Wiederanlauf/Erstellung
- BSI/200-4/12 Wiederanlauf/Vorbereitung
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang