Risiken, die zu keinen Geschäftsunterbrechungen durch physische Schäden führen (Feuer, Erdbeben etc.), aber trotzdem dem Unternehmen hohe finanzielle Schäden zum Beispiel in Folge von Reputationsverlusten zufügen können. Beispiel: Cyber-Attacken, geo-politische Risiken, Produktrückrufe.

Direktive für Netz- und Informationssicherheit (Network and Information Security Directive) der EU. Die Vertreter der EU-Kommission, des Europaparlaments und der Mitgliedstaaten haben sich im Dezember 2015 auf das erste europäische Gesetz zur Cybersicherheit geeinigt. Unternehmen der Kritischen Infrastrukturen müssen nach dieser Direktive Hackervorfälle melden und Mindestsicherheitsmaßnahmen umsetzen. Die EU-Mitgliedsländer müssen die Direktive in nationalen Gesetzen umsetzen. In Deutschland wurde im Sommer bereits das IT-Sicherheitsgesetz als Sammlung von Gesetzesänderungen beschlossen. Die NIS-Richtlinie kann zu Anpassungen im IT-Sicherheitsgesetz führen.
Link zur Pressemitteilung der EU:
http://www.europarl.europa.eu/news/en/news-room/20151207IPR06449/MEPs-close-deal-with-Council-on-first-ever-EU-rules-on-cybersecurity

Während des Notbetriebs eines Geschäftsprozesses wird dieser nur mit eingeschränkter Leistung und / oder Kapazität durchgeführt. Nicht kritische Teilprozesse werden während des Notbetriebs ausgesetzt. Dies führt zu Nacharbeiten nachdem der Geschäftsprozess wieder voll funktionsfähig ist.

Notbetrieb  beschreibt den eingeschränkten Betrieb eines Geschäftsprozesses nach einem Ausfall bzw. einer Unterbrechung. Der Notbetrieb wird für kritische Geschäftsprozesse im Rahmen der Business Impact Analyse des BCM beschrieben. Der Notbetrieb bezieht sich auf die Mindestanforderungen der Ressourcen eines Geschäftsprozesses, um dessen mindestens erforderliche Ergebnisse im Notbetrieb (MBCO) zu erreichen.

NINA ist die Notfall-Informations- und Nachrichten-App des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK). NINA warnt Sie deutschlandweit und – wenn Sie dies wünschen – standortbezogen vor Gefahren, wie z. B. Hochwasser und anderen sogenannten Großschadenslagen.

Link

Eine Norm ist durch ein geregeltes Normungsverfahren und dem Konsens aller am Verfahren beteiligten beschlossenes Regelwerk. Sie stellt den Stand von Wissenschaft und Technik dar. Die Nutzung dieses Regelwerks basiert auf Freiwilligkeit. Verbindlich werden Normen, wenn Sie Bestandteil eines Vertrages, Gesetzes oder einer Verordnung werden.
Organisationen, die Normen erarbeiten:

• DIN (Deutsches Institut für Normung e.V.)
• CEN (Europäisches Komitee für Normung (Comite` Europeèn de Normalisation))
• ISO ( International Organization for Standartization)
• IEC (Internationale Elektrotechnische Kommission).

Normen werden in Deutschland ausschließlich über die DIN vertrieben. Normen können in Deutschland ausschließlich über den Beuth-Verlag in Berlin bezogen werden (www.beuth.de)

Notstromersatzaggregat

Der  Notfallplan dokumentiert den Notbetrieb eines Prozesses mit den Ersatzlösungen und Workarounds für die kritischen Ressourcen, die Schritte zur Einleitung des Notbetriebs sowie zum Wiederanlauf in den Normalbetrieb. Ergänzt wird der Notfallplan um Kontaktlisten, Wegbeschreibungen, Hersteller-, Lieferanten und Dienstleisterverzeichnisse.

Nach der zeitlichen Phase können Notfallpläne unterscheiden werden in

• Geschäftsfortführungsplan
• Wiederanlaufplan.

Dies müssen nicht zwingendermaßen zwei getrennte Planungsdokumente sein.

In einem Notfall bleibt keine Zeit, umfangreiche Planungsdokumente zu lesen. Auch Piloten arbeiten im Notfall stringent die jeweiligen Checklisten ab. Ich teile daher die Notfallplanung in zwei Teile auf:

1. Notfallkonzepte:
   Notfallstrategien und -taktiken für die Prozesse und Ressourcen. Diese beinhalten die Beschreibung der Ausweich- und Ersatzlösungen für Prozesse und Ressourcen
2. Notfallchecklisten:
   Checklisten für Sofortmaßnahmen für die wichtigen Szenarien, Schritte zur Einleitung des Notbetriebs und Inbetriebnahme von Ausweich- und Ersatzlösungen, Kommunikation intern und extern. Nach dem Prinzip: wer – macht was – mit welcher Priorität – womit und mit wem. Ergänzt um Kontaktlisten. Notfallchecklisten können neben der klassischen Papierform auch elektronisch als App abgebildet werden.

“Plans are worthless, but planning is everything.” hat Dwight D. Eisenhower in einer Rede bei der National Defense Executive Reserve Conference in Washington DC, 14. November 1957 gesagt.

Die Aktivitäten zur Erstellung der Pläne, sind elementar, d.h. die inhaltliche Konzeption und Formulierung der Inhalte. Wer einen Plan geschrieben hat, benötigt den Plan selbst nicht mehr, da die Inhalte des Plans “internalisiert” sind. Was fehlt ist das Wissen, ob der Plan auch im Notfall funktioniert.

Die Validierung und Einübung der Pläne (“Drills” wie die Amerikaner sagen)ist daher der zweite wesentliche Baustein ein der Notfallvorsorge.

Leider gibt es keine einheitliche Begriffswelt im Business Continuity Management für die Bezeichnung von Geschäftsunterbrechungen. Gängige Bezeichnungen hierfür sind “Notfall”, “Krise”, “Katastrophe”. Der deutsche Standard BSI 100-4 verwendet diese Begriffe. In der Praxis werden jedoch auch auch Begriffe wie “Störfall” verwendet, die irreführend sind, da es eine Störfallverordnung gibt, die  Störfälle für die betroffenen Unternehmen regelt. Innerhalb eines Unternehmens führen unterschiedliche Begriffsverwendungen zu Missverständnissen. Zum Beispiel zwischen dem BCM und der IT. Die IT verwendet Begrifflichkeiten aus der ITIL-Welt und versteht unter einem IT-Notfall etwas anderes als das BCM. In der Zusammenarbeit mit anderen Unternehmen werden unterschiedliche Begriffsverwendungen ebenfalls zum Problem: was bedeutet es konkret, wenn ein Unternehmen den Notfall erklärt. Ist es schon die höchste Eskalationsstufe oder gibt es noch ein oder mehrere Eskalationsstufen zum Beispiel zur Krise und Katastrophe. Eine interne und externe Abstimmung der Begrifflichkeiten und der dahinter liegenden Bedeutung im Unternehmen ist daher zwingend. Ein Glossar bildet die Grundlage hierfür.