12. Sep 2023

Ein Schnittstellenthema mit Boost durch NIS und DORA

Business Continuity rückt in den Fokus

Business Continuity Management (BCM), in der Vergangenheit immer ein wenig im Schatten von Risikomanagement, IT-Risikomanagement und Informationssicherheit, ist spätestens seit dem Jahr 2020 durch Corona und den Digitalisierungsboost mehr in den allgemeinen Fokus der betrieblichen Abläufe gerückt. BCM gewinnt nun auch aktuell durch Richtlinien wie NIS, NIS2 und DORA nochmals erheblich an Stellenwert.

Business Continuity und NIS – für kritische Infrastruktur

Betrachtet man die NIS-Richtlinien im Überblick, zielen diese darauf ab, die Cyberresilienz von Unternehmen der kritischen Infrastruktur EU-weit mit der Vorgabe von Mindeststandards zu stärken. Um den Schutz von Netzwerken und Systemen zu gewährleisten, fordern die NIS-Richtlinien von den betroffenen Unternehmen nicht nur die Integration von Sicherheitsmaßnahmen im Bereich der Betriebskontinuität und Krisenmanagement. Sie rücken auch den risikobasierten Ansatz von Schnittstellenthemen wie Incident Management, Risiko Governance, Risikomanagement, Third Party Management, Lieferketten- und Servicesicherheit, nochmals verstärkt in den Fokus.

Business Continuity und DORA – für den Finanzsektor

DORA, der Digital Operational Resilience Act betrifft wiederum Unternehmen des Finanzsektors. Die Vorgaben dienen zur Überprüfung und Bestätigung der Widerstandsfähigkeit des Unternehmens auf IT-Ebene. Neben anderen, sehr detailliert geforderten Vorgaben müssen, um nur eine zu nennen, Analysen künftig Risiken durch Leistungen von Drittanbietern, wie Cloud-Dienstleister, berücksichtigen.

Das Spektrum von Notfallbewältigung zu Notfallvorsorge – Von reaktiv zu proaktiv

Als geläufiger Begriff ist BCM als solches einordenbar, es hat aber durch laufend neue regulatorische Anforderungen je nach Branche und Unternehmensgröße ein vielschichtiges passgenaues Spektrum, wobei der Knackpunkt in der Praxis auch schon einmal im Detail der bereichsübergreifenden Schnittstellenverantwortlichkeiten IT-Continuity und BCM oder Third Party und BCM liegt.

BCM versteht sich als vom reaktiven Verständnis der IT-Notfallbewältigung in Unternehmen zu einem proaktiven Verständnis der Notfallvorsorge mit unternehmensweitem Ansatz gereift, um kritische Services und Prozesse in Unternehmen zu erkennen, operative Risiken zu bewerten, etwaige Schwachstellen zu ermitteln und vor allem auch Transparenz für Zusammenhänge und Anforderungen der geschäftskritischen Bereiche zu schaffen. Es betrachtet hier besonders Schadereignisse, die den Unternehmensfortbestand in seiner Gesamtheit bedrohen könn(t)en, um hier soweit möglich gemeinsam mit den Geschäftsbereichen deren jeweiligen Risiken zu analysieren, zu bewerten und durch geeignete Maßnahmenplanung zu mitigieren.

Awareness, Zeit und die ISO 22301

Ein gut im Unternehmen und der Unternehmenskultur verankertes BCM benötigt Zeit, um sich zu entwickeln und Reife zu erlangen. Es gilt kontinuierliche Awareness bei internen Stakeholdern und externen Partner*innen zu schaffen und neue Anforderungen in einem Zyklus der fortlaufenden Verbesserung zu integrieren. Continuity Management ist in- und extrinsisch getrieben immer in Bewegung und entwickelt sich stets weiter. Dabei versteht sich BCM als ergänzendes Instrument zu anderen Managementsystemen. Die ISO 22301 beruht auf der High-Level-Structure, d.h sie hat den gleichen systematischen Aufbau wie z. B. die ISO 9001, ISO 14001 oder ISO 45001. Dadurch lässt sich die Norm einfach in bestehende Systeme integrieren und Synergien können so genutzt werden.

Strukturierte Hilfestellung bei der Entwicklung und Umsetzung eines betrieblichen BCM Systems gibt die ÖNORM EN ISO 22301, Sicherheit und Resilienz – Business Continuity Management System, die in bewährter ISO-Manier durch die Mindestanforderungen und zu betrachtenden Aspekte eines BCM Systems führt. Aus der aktuellen Erfüllung der Normkapitel lässt sich gut die Reife des BCM im Unternehmen ableiten und daraus Punkte der Verbesserung. Eine Systemzertifizierung nach ÖNORM EN ISO 22301 bietet ein Bild auf den aktuellen Stand des BCM Systems und dient als Bestätigung des Reifegrades ihres Business Continuity Management Systems für NIS, NIS2 und DORA.

Über die Autorin

Margit Mann, MSc.

Als Managerin des Bereiches Business Resilience, BCM eines großen Versicherungsunternehmens in Österreich kennt sie die Wichtigkeit des Zusammenspiels der Managementsysteme, der Schnittstellenthemen zur ISO 22301 und der Adaption neuer Richtlinien und Themen. Ihr persönliches Motto: Laufende Verbesserung als Weg zum Erfolg.

Weiterführende Informationen

ISO 22301

Zur NIS Überprüfung

 

Weitere News & Events

Immer topaktuell informiert

15. Feb 2024

EN 50600 fördert Nachhaltigkeit

Wie passen Ressourcenfresser Rechenzentren und der European Green Deal zusammen?

Mehr erfahren
05. Feb 2024

Aktueller Stand zur Normenentwicklung EN 50600

Update für Rechenzentren 2024

Mehr erfahren
31. Jan 2024

CIS ist erste Prüfstelle für EN 50600

31. Jan 2024

Neue Firmenadresse

Wir sind umgezogen!

Mehr erfahren
29. Jan 2024

CISO of the Year: Ihr persönlicher Karrierebooster

CISO of the Year 2023 Marcel Lehner

Mehr erfahren
26. Jan 2024

CISO of the Year: Außergewöhnliche Leistungen, außergewöhnliche Auszeichnung

Sonderpreisträger Lifetime Achievement Award Thomas Schober

Mehr erfahren
24. Jan 2024

CISO of the Year: Erfolgreiche Projekte auf die Bühne

CISO of the Year 2023 Bettina Thurnher

Mehr erfahren
22. Jan 2024

Cyberattacken weltweit Nummer 1 Risiko

Neue Daten im Zuge des „Risk Barometer“ veröffentlicht

Mehr erfahren
18. Jan 2024

Praxis-Einblicke in die Umsetzung von DORA

Sind Sie von der DORA-Verordnung betroffen?

Mehr erfahren
03. Jan 2024

Resilienz im Finanzsektor – DORA

Digital Operational Resilience Act – Überblick zur EU-Verordnung

Mehr erfahren
07. Dez 2023

Bedeutende rechtliche Fortschritte für die Cyber-Security 2024

Relevante Gesetze und Richtlinien für Informationssicherheit

Mehr erfahren
13. Nov 2023

TISAX: Neuer ISA-Katalog vom VDA veröffentlicht

Wesentliche Neuerungen für Automobil-Industrie

Mehr erfahren
+43 1 532 98 90