Ein Schnittstellenthema mit Boost durch NIS und DORA
Business Continuity rückt in den Fokus
Business Continuity Management (BCM), in der Vergangenheit immer ein wenig im Schatten von Risikomanagement, IT-Risikomanagement und Informationssicherheit, ist spätestens seit dem Jahr 2020 durch Corona und den Digitalisierungsboost mehr in den allgemeinen Fokus der betrieblichen Abläufe gerückt. BCM gewinnt nun auch aktuell durch Richtlinien wie NIS, NIS2 und DORA nochmals erheblich an Stellenwert.
Business Continuity und NIS – für kritische Infrastruktur
Betrachtet man die NIS-Richtlinien im Überblick, zielen diese darauf ab, die Cyberresilienz von Unternehmen der kritischen Infrastruktur EU-weit mit der Vorgabe von Mindeststandards zu stärken. Um den Schutz von Netzwerken und Systemen zu gewährleisten, fordern die NIS-Richtlinien von den betroffenen Unternehmen nicht nur die Integration von Sicherheitsmaßnahmen im Bereich der Betriebskontinuität und Krisenmanagement. Sie rücken auch den risikobasierten Ansatz von Schnittstellenthemen wie Incident Management, Risiko Governance, Risikomanagement, Third Party Management, Lieferketten- und Servicesicherheit, nochmals verstärkt in den Fokus.
Business Continuity und DORA – für den Finanzsektor
DORA, der Digital Operational Resilience Act betrifft wiederum Unternehmen des Finanzsektors. Die Vorgaben dienen zur Überprüfung und Bestätigung der Widerstandsfähigkeit des Unternehmens auf IT-Ebene. Neben anderen, sehr detailliert geforderten Vorgaben müssen, um nur eine zu nennen, Analysen künftig Risiken durch Leistungen von Drittanbietern, wie Cloud-Dienstleister, berücksichtigen.
Das Spektrum von Notfallbewältigung zu Notfallvorsorge – Von reaktiv zu proaktiv
Als geläufiger Begriff ist BCM als solches einordenbar, es hat aber durch laufend neue regulatorische Anforderungen je nach Branche und Unternehmensgröße ein vielschichtiges passgenaues Spektrum, wobei der Knackpunkt in der Praxis auch schon einmal im Detail der bereichsübergreifenden Schnittstellenverantwortlichkeiten IT-Continuity und BCM oder Third Party und BCM liegt.
BCM versteht sich als vom reaktiven Verständnis der IT-Notfallbewältigung in Unternehmen zu einem proaktiven Verständnis der Notfallvorsorge mit unternehmensweitem Ansatz gereift, um kritische Services und Prozesse in Unternehmen zu erkennen, operative Risiken zu bewerten, etwaige Schwachstellen zu ermitteln und vor allem auch Transparenz für Zusammenhänge und Anforderungen der geschäftskritischen Bereiche zu schaffen. Es betrachtet hier besonders Schadereignisse, die den Unternehmensfortbestand in seiner Gesamtheit bedrohen könn(t)en, um hier soweit möglich gemeinsam mit den Geschäftsbereichen deren jeweiligen Risiken zu analysieren, zu bewerten und durch geeignete Maßnahmenplanung zu mitigieren.
Awareness, Zeit und die ISO 22301
Ein gut im Unternehmen und der Unternehmenskultur verankertes BCM benötigt Zeit, um sich zu entwickeln und Reife zu erlangen. Es gilt kontinuierliche Awareness bei internen Stakeholdern und externen Partner*innen zu schaffen und neue Anforderungen in einem Zyklus der fortlaufenden Verbesserung zu integrieren. Continuity Management ist in- und extrinsisch getrieben immer in Bewegung und entwickelt sich stets weiter. Dabei versteht sich BCM als ergänzendes Instrument zu anderen Managementsystemen. Die ISO 22301 beruht auf der High-Level-Structure, d.h sie hat den gleichen systematischen Aufbau wie z. B. die ISO 9001, ISO 14001 oder ISO 45001. Dadurch lässt sich die Norm einfach in bestehende Systeme integrieren und Synergien können so genutzt werden.
Strukturierte Hilfestellung bei der Entwicklung und Umsetzung eines betrieblichen BCM Systems gibt die ÖNORM EN ISO 22301, Sicherheit und Resilienz – Business Continuity Management System, die in bewährter ISO-Manier durch die Mindestanforderungen und zu betrachtenden Aspekte eines BCM Systems führt. Aus der aktuellen Erfüllung der Normkapitel lässt sich gut die Reife des BCM im Unternehmen ableiten und daraus Punkte der Verbesserung. Eine Systemzertifizierung nach ÖNORM EN ISO 22301 bietet ein Bild auf den aktuellen Stand des BCM Systems und dient als Bestätigung des Reifegrades ihres Business Continuity Management Systems für NIS, NIS2 und DORA.
Über die Autorin
Margit Mann, MSc.
Als Managerin des Bereiches Business Resilience, BCM eines großen Versicherungsunternehmens in Österreich kennt sie die Wichtigkeit des Zusammenspiels der Managementsysteme, der Schnittstellenthemen zur ISO 22301 und der Adaption neuer Richtlinien und Themen. Ihr persönliches Motto: Laufende Verbesserung als Weg zum Erfolg.