NIS-Richtlinie

Direktive für Netz- und Informationssicherheit (Network and Information Security Directive) der EU. Die Vertreter der EU-Kommission, des Europaparlaments und der Mitgliedstaaten haben sich im Dezember 2015 auf das erste europäische Gesetz zur Cybersicherheit geeinigt. Unternehmen der Kritischen Infrastrukturen müssen nach dieser Direktive Hackervorfälle melden und Mindestsicherheitsmaßnahmen umsetzen. Die EU-Mitgliedsländer müssen die Direktive in nationalen Gesetzen umsetzen. In Deutschland wurde im Sommer bereits das IT-Sicherheitsgesetz als Sammlung von Gesetzesänderungen beschlossen. Die NIS-Richtlinie kann zu Anpassungen im IT-Sicherheitsgesetz führen.
Link zur Pressemitteilung der EU:
http://www.europarl.europa.eu/news/en/news-room/20151207IPR06449/MEPs-close-deal-with-Council-on-first-ever-EU-rules-on-cybersecurity

non property damage risks

Risiken, die zu keinen Geschäftsunterbrechungen durch physische Schäden führen (Feuer, Erdbeben etc.), aber trotzdem dem Unternehmen hohe finanzielle Schäden zum Beispiel in Folge von Reputationsverlusten zufügen können. Beispiel: Cyber-Attacken, geo-politische Risiken, Produktrückrufe.

Normen

Eine Norm ist durch ein geregeltes Normungsverfahren und dem Konsens aller am Verfahren beteiligten beschlossenes Regelwerk. Sie stellt den Stand von Wissenschaft und Technik dar. Die Nutzung dieses Regelwerks basiert auf Freiwilligkeit. Verbindlich werden Normen, wenn Sie Bestandteil eines Vertrages, Gesetzes oder einer Verordnung werden.
Organisationen, die Normen erarbeiten:

  • DIN (Deutsches Institut für Normung e.V.)
  • CEN (Europäisches Komitee für Normung (Comite` Europeèn de Normalisation))
  • ISO ( International Organization for Standartization)
  • IEC (Internationale Elektrotechnische Kommission).

Normen werden in Deutschland ausschließlich über die DIN vertrieben. Normen können in Deutschland ausschließlich über den Beuth-Verlag in Berlin bezogen werden (www.beuth.de)

Notbetrieb

Notbetrieb  beschreibt den eingeschränkten Betrieb eines Geschäftsprozesses nach einem Ausfall bzw. einer Unterbrechung. Der Notbetrieb wird für kritische Geschäftsprozesse im Rahmen der Business Impact Analyse des BCM beschrieben. Der Notbetrieb bezieht sich auf die Mindestanforderungen der Ressourcen eines Geschäftsprozesses, um dessen mindestens erforderliche Ergebnisse im Notbetrieb (MBCO) zu erreichen.

Notfall

Leider gibt es keine einheitliche Begriffswelt im Business Continuity Management für die Bezeichnung von Geschäftsunterbrechungen. Gängige Bezeichnungen hierfür sind “Notfall”, “Krise”, “Katastrophe”. Der deutsche Standard BSI 100-4 verwendet diese Begriffe. In der Praxis werden jedoch auch auch Begriffe wie “Störfall” verwendet, die irreführend sind, da es eine Störfallverordnung gibt, die  Störfälle für die betroffenen Unternehmen regelt. Innerhalb eines Unternehmens führen unterschiedliche Begriffsverwendungen zu Missverständnissen. Zum Beispiel zwischen dem BCM und der IT. Die IT verwendet Begrifflichkeiten aus der ITIL-Welt und versteht unter einem IT-Notfall etwas anderes als das BCM. In der Zusammenarbeit mit anderen Unternehmen werden unterschiedliche Begriffsverwendungen ebenfalls zum Problem: was bedeutet es konkret, wenn ein Unternehmen den Notfall erklärt. Ist es schon die höchste Eskalationsstufe oder gibt es noch ein oder mehrere Eskalationsstufen zum Beispiel zur Krise und Katastrophe. Eine interne und externe Abstimmung der Begrifflichkeiten und der dahinter liegenden Bedeutung im Unternehmen ist daher zwingend. Ein Glossar bildet die Grundlage hierfür.

Notfallplan

Der  Notfallplan dokumentiert den Notbetrieb eines Prozesses mit den Ersatzlösungen und Workarounds für die kritischen Ressourcen, die Schritte zur Einleitung des Notbetriebs sowie zum Wiederanlauf in den Normalbetrieb. Ergänzt wird der Notfallplan um Kontaktlisten, Wegbeschreibungen, Hersteller-, Lieferanten und Dienstleisterverzeichnisse.

Nach der zeitlichen Phase können Notfallpläne unterscheiden werden in

  • Geschäftsfortführungsplan
  • Wiederanlaufplan.

Dies müssen nicht zwingendermaßen zwei getrennte Planungsdokumente sein.

In einem Notfall bleibt keine Zeit, umfangreiche Planungsdokumente zu lesen. Auch Piloten arbeiten im Notfall stringent die jeweiligen Checklisten ab. Ich teile daher die Notfallplanung in zwei Teile auf:

  1. Notfallkonzepte:
    Notfallstrategien und -taktiken für die Prozesse und Ressourcen. Diese beinhalten die Beschreibung der Ausweich- und Ersatzlösungen für Prozesse und Ressourcen
  2. Notfallchecklisten:
    Checklisten für Sofortmaßnahmen für die wichtigen Szenarien, Schritte zur Einleitung des Notbetriebs und Inbetriebnahme von Ausweich- und Ersatzlösungen, Kommunikation intern und extern. Nach dem Prinzip: wer – macht was – mit welcher Priorität – womit und mit wem. Ergänzt um Kontaktlisten. Notfallchecklisten können neben der klassischen Papierform auch elektronisch als App abgebildet werden.

“Plans are worthless, but planning is everything.” hat Dwight D. Eisenhower in einer Rede bei der National Defense Executive Reserve Conference in Washington DC, 14. November 1957 gesagt.

Die Aktivitäten zur Erstellung der Pläne, sind elementar, d.h. die inhaltliche Konzeption und Formulierung der Inhalte. Wer einen Plan geschrieben hat, benötigt den Plan selbst nicht mehr, da die Inhalte des Plans “internalisiert” sind. Was fehlt ist das Wissen, ob der Plan auch im Notfall funktioniert.

Die Validierung und Einübung der Pläne (“Drills” wie die Amerikaner sagen)ist daher der zweite wesentliche Baustein ein der Notfallvorsorge.

Operative BIA

Good Practice Guidelines (GPG) des Business Continuity Institute (BCI) wie auch der ISO Standard für die BIA ISO 22317:215 unterscheiden zwischen strategischer, taktischer und operativer Business Impact Analyse (BIA).

Im Rahmen der strategischen BIA erfolgt die Priorisierung der Produkte und Prozesse durch das Top Management unter Berücksichtigung der betriebswirtschaftlichen Anforderungen des Unternehmens sowie der Anforderungen der interested parties. Für die Produkte und Prozesse wird die maximal tolerierbare Ausfallzeit festgelegt.

Im Rahmen der taktischen BIA werden die kritischen Prozesse identifiziert, deren Prozessabhängigkeiten, erforderliche Aktivitäten und Wiederanlaufanforderungen.

Im Rahmen der operativen BIA werden die erforderlichen Ressourcen für jede Aktivität erhoben:

  • Personen, Skills, Rollen
  • Gebäude
  • Ausrüstung
  • Dokumente
  • Finanzierung
  • IKT
  • Dienstleister
  • Andere Prozesse
  • Spezielle Anforderungen

PDCA

Begriff:

Plan-Do-Check-Act für BCM (Demingkreis)

Beschreibung:

Plan:

Establish business continuity policy, objectives, targets, controls, processes and procedures relevant to improving business continuity in order to deliver results that align with the organization’s overall policies and objectives

Do:

Implement and operate the business continuity policy, controls, processes and procedures

Check:

Monitor and review performance against business continuity policy and objectives, report the results to management for review, and determine and authorize actions for remediation and improvement

Act:

Maintain and improve the BCMS by taking corrective action, based on the results of management review and reappraising the scope of the BCMS and business continuity policy and objectives

PDCA

 

Verweise:

ISO 22301:2012

Personalausfall

Personalausfall gehört zu den “klassischen” Szenarien des BCM. Die Ursachen für einen existenzbedrohlichen Personalausfall sind vielfältig und reichen von Streiks, Krankheiten bis zu Verkehrsbehinderungen. Im Rahmen der Business Impact Analyse werden die Kritischen Schwellwerte für Personalausfälle in den kritischen Prozessen sowie Schlüsselrollen identifiziert. In der Notfallplanung sind kurz-,  mittel- und langfristige Personalausfälle zu berücksichtigen. Zu den langfristigen Personalausfällen zählt auch das Szenario einer Pandemie. Zum Teil wird dies in einer eigenständigen Pandemieplanung implementiert. Notfallmaßnamen für Personalausfälle bedürfen einer engen Abstimmung mit den Bereichen Personal und den Arbeitnehmervertretungen. Gesetzliche und betriebliche Regelungen (Bsp. Betreibsvereinbarungen) können den Handlungsspielraum einschränken. Zudem sind soziale Belange (Bsp. Alleinerziehende, Behinderte, Schwangere etc.) zu berücksichtigen. Maßnahmen bei Personalausfällen können im Rahmen von Betriebsvereinbarungen geregelt werden.

Prepper

englischer Begriff für Menschen, die sich intensiv durch verschiedene Vorsorgemaßnahmen auf das Eintreffen einer Katastrophe vorbereiten  (von “to prepare” – vorbereiten). Prepper legen sich Depots mit Vorräten an Lebensmitteln, Wasser, Medikamente und Ausrüstung zu Hause und an geheimen Orten an. In den USA verfügen Prepper zum Teil über Waffen und eine entsprechende Ausbildung, um sich und ihre Vorräte im Notfall verteidigen zu können. In den USA spricht man von einer Prepper-Bewegung.