Anforderungen an die normengerechte Identifikation der rechtlichen und regulatorischen Anforderungen an das BCM

Christian ZĂ€nker, unser Normen-Experte, hat sich wieder einmal in die Tiefen des ISO 22301 vorgearbeitet und sehr interessante Erkenntnisse hinsichtlich der normengerechten Identifikation der rechtlichen und regulatorischen Anforderungen an das BCM herausgearbeitet. Da sind sicherlich in vielen Organisationen noch Hausaufgaben zu erledigen, bis dieser Prozess idealtypisch ablĂ€uft. Zumal auch hier wieder viele Disziplinen gut verzahnt ineinandergreifen mĂŒssen.

Legal and regulatory requirements

Die Welt des guten alten BCM hat sich geĂ€ndert. FrĂŒher war sie ĂŒberschaubar, oder zumindest schien es so und auch die Anforderungen waren noch so gehalten, dass man sich mit ein wenig Geschick im Formulieren und einem Blick ins Internet „sauber halten“ konnte. Dies galt vor allem fĂŒr die Frage nach den rechtlichen und regulatorischen Anforderungen.

Es ging um die „Ermittlung relevanter Normen, Gesetze und Vorschriften“, aber es wurde nirgendwo konkret, was Inhalt dieser Anforderung sein sollte. In der BIA sollten VerĂ€nderungen im Unternehmensumfeld berĂŒcksichtigt werden, zu denen natĂŒrlich auch die gesetzlichen Rahmenbedingen zĂ€hlten, oder diese zumindest als Aspekt aufgelistet wurden, der betrachtet werden sollte. Dementsprechend wurde unter der Schadenskategorie „Rechtliche und regulatorische VerstĂ¶ĂŸe“ zumeist nur vage die MaRisk, Basel II oder Kritis angedeutet, weil das wichtig klang und einem ansonsten nicht viel dazu einfiel.

Die ISO 22301:2012 forderte zumindest ein Verfahren, nach dem diese Anforderungen erhoben werden sollten. In der ISO 22301:2019 wird nunmehr, neu, ein Prozess gefordert. Unter Prozess wird per Definition verstanden “Process: set of interrelated or interacting activities which transforms inputs into outputs” cl. 3.26. Die Inhalte dieser Anforderung sind nicht zu unterschĂ€tzen. Sie eröffnen den PrĂŒfern und Revisoren ein weites Feld bei der Bewertung der Compliance:

“4.2.2 Legal and regulatory requirements
The organization shall:
a)          implement and maintain a process to identify, have access to, and assess the applicable legal and regulatory requirements related to the continuity of its products and services, processes, activities and resources;
b)          ensure that these applicable legal, regulatory and other requirements are taken into account in implementing and maintaining its BCMS;
c)          document this information and keep it up-to-date.”

Nun sind BCM Verantwortliche in der Regel keine ausgebildeten Juristen, andere haben allenfalls ihren Dr. Google gemacht und ĂŒben sich in bester Tradition im Abschreiben nicht verifizierter Quellen. Übersichten, wie z.B. (frĂŒher) vom BCI zur VerfĂŒgung gestellt, sind sehr schnell veraltet https://www.bcm-news.de/2016/01/15/neue-uebersicht-bcm-legislations-regulations-standards-produced-by-the-bci/ wenn sie nicht kontinuierlich aktualisiert werden. DarĂŒber hinaus fĂŒhren generelle Übersichten gesetzlicher, regulatorischer und normbasierter Anforderungen nur dazu, dass man in einer Flut nicht relevanter Informationen den Überblick verliert, welche davon fĂŒr die eigene Organisation gelten und welche darĂŒber hinaus Auswirkungen auf das Business Continuity Managementsystem (BCMS) haben und berĂŒcksichtigt werden mĂŒssen.

Was bedeutet nun die Anforderung an einen Prozess. Wenn wir Business Continuity als Managementsystem betrachten, ist es risikobasiert und prozessgesteuert. Die Prozesssicht (©BSi Group ISO 22301 Lead Auditor) veranschaulicht die Anforderung.

Zu jedem Prozess muss der geforderte Input und der erwartete Output definiert sein. In diesem Fall die Anforderung der ISO 22301 cl. 4.2.2 als Input und der Feststellung der geltenden und fĂŒr das BCMS relevanten rechtlichen und regulatorischen Anforderungen als Output. So weit, so einfach.

Nach 4.2.2.a) muss dieser Prozess drei Schritte beinhalten:

  1. die Identifikation der Anforderungen
  2. den Zugriff auf die Anforderungen
  3. die Bewertung der Anforderungen,

die sich auf die Produkte und Dienstleistungen und die zu ihrer Erbringung benötigten Steuerungs- und operativen Prozesse und die von ihnen benötigten Ressourcen beziehen.

Diese geltenden Anforderungen sind bei der Implementierung und Aufrechterhaltung des BCMS zu berĂŒcksichtigen (4.2.2.b). Um welche Anforderungen kann es sich hierbei handeln?

Legal requirements können sowohl gesetzliche, als auch rechtliche Anforderungen sein. Jede Organisation ist an geltendes Recht/Gesetze gebunden und zur Einhaltung vertraglicher Vereinbarungen verpflichtet. An dieser Stelle mĂŒssen z.B. auch die SLAs berĂŒcksichtigt werden, die man mit Kunden / Auftraggebern geschlossen hat. Auch diese stellen rechtliche Anforderungen dar, denen sich die Organisation unterworfen hat, die es zu erfĂŒllen gilt und die eventuell ĂŒber ein BCMS abzusichern sind.

Ob in einem ausgerufenen Notfall / einer Krise, durch die die regulĂ€re Linienorganisation außer Kraft gesetzt wird, eine Betriebsverfassung und Mitbestimmungspflicht gilt, diese Frage wird in der Regel verneint. Eine Krise, in der die Entscheidungskompetenz dem Leiter Krisenstab ĂŒbertragen wird, ist nicht mitbestimmungspflichtig. Aber die Grundanforderungen der Arbeitssicherheit sind auch in einem Notfall zu befolgen und das Grundrecht auf Informationelle Selbstbestimmung, das im Bundesdatenschutzgesetz und in der Datenschutzgrundverordnung niedergelegt ist, ist auch im Notfall zu achten. Mitarbeiterdaten dĂŒrfen nur mit Zustimmung der Betroffenen in Calltrees und Alarmierungslisten etc. verarbeitet werden und zugĂ€nglich sein.

Diese Beispiele sollen genĂŒgen, um zu zeigen, wie komplex die Thematik ist. Dazu kommen eine vielschichtige Zahl branchenspezifischer regulatorischer Anforderungen, Normen, Industriestandards und Best Practices und je nachdem auch internationale Gesetze und Regularien.

Deswegen scheint hier auch der Prozessansatz berechtigt zu sein. Wenn diese komplexe Materie nicht mehr beiseite geschoben und nur oberflÀchlich abgehandelt werden soll, ist in einem Prozess siehe oben festzulegen,

  • von wem,
  • mit welcher Verantwortung
  • mit welchen Skills and Knowledges
  • unter RĂŒckgriff auf welche Ressourcen,
  • nach welchen Methoden und Verfahren
  • diese Daten aufbereitet werden und
  • wie die Resultate gemessen und ĂŒberprĂŒft werden sollen

womit auch wieder der Managementsystemen zugrunde liegende P-D-C-A Zyklus (Plan Do Check Act) zur Anwendung kommt.

Von wem, mit welchem Wissen und FĂ€higkeiten? Wie eingangs gesagt, arbeiten die Hausjuristen in der Regel nicht im BCM, sondern fĂŒr die Rechtsabteilung (Legal & Complience) oder die Rechtsberatung ist als ganzes an externe Kanzleien ausgelagert. Hier sollte, vom BCM Verantwortlichen initiiert, eine Entscheidung des (Top) Managements herbeigefĂŒhrt werden, die Identifikation und Bewertung an die fachlich kompetenten Einheiten zu delegieren oder auszulagern. Die ErfĂŒllung (oder NichterfĂŒllung) der BCM relevanten Anforderungen liegt bei BCM und die Gesamtverantwortung wiederum bei der GeschĂ€ftsleitung. Deshalb sollte es auch in deren Eigeninteresse liegen, hierzu verlĂ€ssliche Anforderungen aufzustellen.

Um die Anforderung der 22301 abzurunden, sind die Ergebnisse dieses Prozesses als dokumentierte Information aufzubewahren und aktuell zu halten (4.2.2.c). Als Lösungsansatz kommt mir hierfĂŒr die aus der Informationssicherheit bekannte SoA in den Sinn. Die ISO 27001 fĂŒhrt in ihrem Anhang A 133 Controls auf, deren Anwendbarkeit und Umsetzung in einer AnwendbarkeitserklĂ€rung (Statement of Applicability – SoA) dokumentiert wird.

FĂŒr jede rechtliche, regulatorische oder andere Anforderung (z.B. organisationseigene Richtlinien und Anweisungen) ist auf einer Zeile zu vermerken,

  • welche Anforderung identifiziert wurde,
  • was Kern dieser Anforderung ist
  • ihre Umsetzung in der Organisation (ja/nein)
  • wenn ja, wo dies dokumentiert ist
  • wenn nein, die BegrĂŒndung der Nichtanwendung

Diese Erhebung und Bewertung der rechtlichen und regulatorischen Anforderungen, die grundlegend fĂŒr den Kontext der Organisation ist, in dem diese handelt, 4.2 Understanding the needs and expectations of interested parties, und die Feststellung ihrer Anwendbarkeit, sollten Bestandteil jedes Managementreviews sein und somit in regulĂ€ren AbstĂ€nden aktualisiert werden. Dann erzeugt der Managementsystemprozess aus sich heraus die Nachweise (documented information), die man jederzeit den internen und externen PrĂŒfern vorlegen kann – und auf die diese gerne zugreifen werden.

Christian ZĂ€nker, bcmpartner, ist Berater fĂŒr Business Continuity Managementsysteme und Tutor der BSi Group Deutschland in Frankfurt am Main

0 Responses

Schreibe einen Kommentar