12. Sep 2023

Ein Schnittstellenthema mit Boost durch NIS und DORA

Business Continuity rückt in den Fokus

Business Continuity Management (BCM), in der Vergangenheit immer ein wenig im Schatten von Risikomanagement, IT-Risikomanagement und Informationssicherheit, ist spätestens seit dem Jahr 2020 durch Corona und den Digitalisierungsboost mehr in den allgemeinen Fokus der betrieblichen Abläufe gerückt. BCM gewinnt nun auch aktuell durch Richtlinien wie NIS, NIS2 und DORA nochmals erheblich an Stellenwert.

Business Continuity und NIS – für kritische Infrastruktur

Betrachtet man die NIS-Richtlinien im Überblick, zielen diese darauf ab, die Cyberresilienz von Unternehmen der kritischen Infrastruktur EU-weit mit der Vorgabe von Mindeststandards zu stärken. Um den Schutz von Netzwerken und Systemen zu gewährleisten, fordern die NIS-Richtlinien von den betroffenen Unternehmen nicht nur die Integration von Sicherheitsmaßnahmen im Bereich der Betriebskontinuität und Krisenmanagement. Sie rücken auch den risikobasierten Ansatz von Schnittstellenthemen wie Incident Management, Risiko Governance, Risikomanagement, Third Party Management, Lieferketten- und Servicesicherheit, nochmals verstärkt in den Fokus.

Business Continuity und DORA – für den Finanzsektor

DORA, der Digital Operational Resilience Act betrifft wiederum Unternehmen des Finanzsektors. Die Vorgaben dienen zur Überprüfung und Bestätigung der Widerstandsfähigkeit des Unternehmens auf IT-Ebene. Neben anderen, sehr detailliert geforderten Vorgaben müssen, um nur eine zu nennen, Analysen künftig Risiken durch Leistungen von Drittanbietern, wie Cloud-Dienstleister, berücksichtigen.

Das Spektrum von Notfallbewältigung zu Notfallvorsorge – Von reaktiv zu proaktiv

Als geläufiger Begriff ist BCM als solches einordenbar, es hat aber durch laufend neue regulatorische Anforderungen je nach Branche und Unternehmensgröße ein vielschichtiges passgenaues Spektrum, wobei der Knackpunkt in der Praxis auch schon einmal im Detail der bereichsübergreifenden Schnittstellenverantwortlichkeiten IT-Continuity und BCM oder Third Party und BCM liegt.

BCM versteht sich als vom reaktiven Verständnis der IT-Notfallbewältigung in Unternehmen zu einem proaktiven Verständnis der Notfallvorsorge mit unternehmensweitem Ansatz gereift, um kritische Services und Prozesse in Unternehmen zu erkennen, operative Risiken zu bewerten, etwaige Schwachstellen zu ermitteln und vor allem auch Transparenz für Zusammenhänge und Anforderungen der geschäftskritischen Bereiche zu schaffen. Es betrachtet hier besonders Schadereignisse, die den Unternehmensfortbestand in seiner Gesamtheit bedrohen könn(t)en, um hier soweit möglich gemeinsam mit den Geschäftsbereichen deren jeweiligen Risiken zu analysieren, zu bewerten und durch geeignete Maßnahmenplanung zu mitigieren.

Awareness, Zeit und die ISO 22301

Ein gut im Unternehmen und der Unternehmenskultur verankertes BCM benötigt Zeit, um sich zu entwickeln und Reife zu erlangen. Es gilt kontinuierliche Awareness bei internen Stakeholdern und externen Partner*innen zu schaffen und neue Anforderungen in einem Zyklus der fortlaufenden Verbesserung zu integrieren. Continuity Management ist in- und extrinsisch getrieben immer in Bewegung und entwickelt sich stets weiter. Dabei versteht sich BCM als ergänzendes Instrument zu anderen Managementsystemen. Die ISO 22301 beruht auf der High-Level-Structure, d.h sie hat den gleichen systematischen Aufbau wie z. B. die ISO 9001, ISO 14001 oder ISO 45001. Dadurch lässt sich die Norm einfach in bestehende Systeme integrieren und Synergien können so genutzt werden.

Strukturierte Hilfestellung bei der Entwicklung und Umsetzung eines betrieblichen BCM Systems gibt die ÖNORM EN ISO 22301, Sicherheit und Resilienz – Business Continuity Management System, die in bewährter ISO-Manier durch die Mindestanforderungen und zu betrachtenden Aspekte eines BCM Systems führt. Aus der aktuellen Erfüllung der Normkapitel lässt sich gut die Reife des BCM im Unternehmen ableiten und daraus Punkte der Verbesserung. Eine Systemzertifizierung nach ÖNORM EN ISO 22301 bietet ein Bild auf den aktuellen Stand des BCM Systems und dient als Bestätigung des Reifegrades ihres Business Continuity Management Systems für NIS, NIS2 und DORA.

Über die Autorin

Margit Mann, MSc.

Als Managerin des Bereiches Business Resilience, BCM eines großen Versicherungsunternehmens in Österreich kennt sie die Wichtigkeit des Zusammenspiels der Managementsysteme, der Schnittstellenthemen zur ISO 22301 und der Adaption neuer Richtlinien und Themen. Ihr persönliches Motto: Laufende Verbesserung als Weg zum Erfolg.

Weiterführende Informationen

ISO 22301

Zur NIS Überprüfung

 

Weitere News & Events

Immer topaktuell informiert

11. Jun 2024

Aufnahme von Aspekten des Klimawandels in die Normen für Management­systeme

Neuerungen und wie es weiter geht

Mehr erfahren
22. Mai 2024

Wie lernen Sie am Besten?

Welche Ansprüche stellen Sie an eine Weiterbildung?

Mehr erfahren
22. Mai 2024

Der neue Online-Kurs für Information Security Manager*innen ist da!

Flexibel bleiben und online lernen

Mehr erfahren
22. Mai 2024

Neu: Kompaktkurs Datenschutz

Stärken Sie Ihre Position als Expert*in in nur einem Tag!

Mehr erfahren
15. Mai 2024

TISAX® deep dive: die 12 Prüfziele (Labels)

Sicherheit in der Automobilindustrie

Mehr erfahren
13. Mai 2024

TISAX® deep dive: die drei Assessment-Levels

Sicherheit in der Automobilindustrie

Mehr erfahren
30. Apr 2024

TISAX®: Informations­sicherheit in der Automobilbranche

Auf der Überholspur

Mehr erfahren
29. Apr 2024

Erfolgreiche erste Prüfung nach dem Netz- und Informations­systemsicherheits­gesetz (NIS-Gesetz)

Success Story am Beispiel der KAGes.m.b.H.

Mehr erfahren
04. Apr 2024

Exklusives Führungskräfte­training für NIS-2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
01. Apr 2024

Smarte Compliance für Rechenzentren

NISG und EN 50600

Mehr erfahren
28. Mrz 2024

ISO 42001 – die neue Norm für Künstliche Intelligenz

Weltweit erster Standard für KI

Mehr erfahren
+43 1 532 98 90