non property damage risks

Risiken, die zu keinen Gesch√§ftsunterbrechungen durch physische Sch√§den f√ľhren (Feuer, Erdbeben etc.), aber trotzdem dem Unternehmen hohe finanzielle Sch√§den zum Beispiel in Folge von¬†Reputationsverlusten zuf√ľgen k√∂nnen. Beispiel: Cyber-Attacken, geo-politische Risiken, Produktr√ľckrufe.

NIS-Richtlinie

Direktive f√ľr Netz- und Informationssicherheit (Network and Information Security Directive) der EU. Die Vertreter der EU-Kommission, des Europaparlaments und der Mitgliedstaaten haben sich im Dezember 2015 auf das erste europ√§ische Gesetz zur Cybersicherheit geeinigt. Unternehmen der Kritischen Infrastrukturen m√ľssen nach dieser Direktive Hackervorf√§lle melden und Mindestsicherheitsma√ünahmen umsetzen. Die EU-Mitgliedsl√§nder m√ľssen die Direktive in nationalen Gesetzen umsetzen. In Deutschland wurde im Sommer bereits das IT-Sicherheitsgesetz als Sammlung von Gesetzes√§nderungen beschlossen. Die NIS-Richtlinie kann zu Anpassungen im IT-Sicherheitsgesetz f√ľhren.
Link zur Pressemitteilung der EU:
http://www.europarl.europa.eu/news/en/news-room/20151207IPR06449/MEPs-close-deal-with-Council-on-first-ever-EU-rules-on-cybersecurity

Nacharbeiten

W√§hrend des Notbetriebs eines Gesch√§ftsprozesses wird dieser nur mit eingeschr√§nkter Leistung und / oder Kapazit√§t durchgef√ľhrt. Nicht kritische Teilprozesse werden w√§hrend des Notbetriebs ausgesetzt. Dies f√ľhrt zu Nacharbeiten nachdem der Gesch√§ftsprozess wieder voll funktionsf√§hig ist.

Notbetrieb

Notbetrieb¬† beschreibt den eingeschr√§nkten Betrieb eines Gesch√§ftsprozesses nach einem Ausfall bzw. einer Unterbrechung. Der Notbetrieb wird f√ľr kritische Gesch√§ftsprozesse im Rahmen der Business Impact Analyse des BCM beschrieben. Der Notbetrieb bezieht sich auf die Mindestanforderungen der Ressourcen eines Gesch√§ftsprozesses, um dessen mindestens erforderliche Ergebnisse im Notbetrieb (MBCO) zu erreichen.

NINA

NINA ist die Notfall-Informations- und Nachrichten-App des Bundesamtes f√ľr Bev√∂lkerungsschutz und Katastrophenhilfe (BBK). NINA warnt Sie deutschlandweit und ‚Äď wenn Sie dies w√ľnschen ‚Äď standortbezogen vor Gefahren, wie z. B. Hochwasser und anderen sogenannten Gro√üschadenslagen.

Link

Normen

Eine Norm ist durch ein geregeltes Normungsverfahren und dem Konsens aller am Verfahren beteiligten beschlossenes Regelwerk. Sie stellt den Stand von Wissenschaft und Technik dar. Die Nutzung dieses Regelwerks basiert auf Freiwilligkeit. Verbindlich werden Normen, wenn Sie Bestandteil eines Vertrages, Gesetzes oder einer Verordnung werden.
Organisationen, die Normen erarbeiten:

  • DIN (Deutsches Institut f√ľr Normung e.V.)
  • CEN (Europ√§isches Komitee f√ľr Normung (Comite` Europe√®n de Normalisation))
  • ISO (¬†International Organization for Standartization)
  • IEC (Internationale Elektrotechnische Kommission).

Normen werden in Deutschland ausschlie√ülich √ľber die DIN vertrieben. Normen k√∂nnen in Deutschland ausschlie√ülich √ľber den Beuth-Verlag in Berlin bezogen werden (www.beuth.de)

Notfallplan

Der ¬†Notfallplan dokumentiert den Notbetrieb eines Prozesses mit den Ersatzl√∂sungen und Workarounds f√ľr die kritischen Ressourcen, die Schritte zur Einleitung des Notbetriebs sowie zum Wiederanlauf in den Normalbetrieb. Erg√§nzt wird der Notfallplan um Kontaktlisten, Wegbeschreibungen, Hersteller-, Lieferanten und Dienstleisterverzeichnisse.

Nach der zeitlichen Phase können Notfallpläne unterscheiden werden in

  • Gesch√§ftsfortf√ľhrungsplan
  • Wiederanlaufplan.

Dies m√ľssen nicht zwingenderma√üen zwei getrennte Planungsdokumente sein.

In einem Notfall bleibt keine Zeit, umfangreiche Planungsdokumente zu lesen. Auch Piloten arbeiten im Notfall stringent die jeweiligen Checklisten ab. Ich teile daher die Notfallplanung in zwei Teile auf:

  1. Notfallkonzepte:
    Notfallstrategien und -taktiken f√ľr die Prozesse und Ressourcen. Diese beinhalten die Beschreibung der Ausweich- und Ersatzl√∂sungen f√ľr Prozesse und Ressourcen
  2. Notfallchecklisten:
    Checklisten f√ľr Sofortma√ünahmen f√ľr die wichtigen Szenarien, Schritte zur Einleitung des Notbetriebs und Inbetriebnahme von Ausweich- und Ersatzl√∂sungen, Kommunikation intern und extern. Nach dem Prinzip: wer – macht was – mit welcher Priorit√§t – womit und mit wem. Erg√§nzt um Kontaktlisten. Notfallchecklisten k√∂nnen neben der klassischen Papierform auch elektronisch als App abgebildet werden.

“Plans are worthless, but planning is everything.” hat Dwight D. Eisenhower in einer¬†Rede bei der National Defense Executive Reserve Conference in Washington DC, 14. November 1957 gesagt.

Die Aktivit√§ten zur¬†Erstellung der Pl√§ne, sind elementar, d.h. die inhaltliche Konzeption und Formulierung der Inhalte. Wer einen Plan geschrieben hat, ben√∂tigt den Plan selbst nicht mehr, da die Inhalte des Plans “internalisiert” sind. Was fehlt ist das Wissen, ob der Plan auch im Notfall funktioniert.

Die Validierung und Ein√ľbung der Pl√§ne (“Drills” wie die Amerikaner sagen)ist daher der zweite wesentliche Baustein ein der Notfallvorsorge.

Notfall

Leider gibt es keine einheitliche Begriffswelt im Business Continuity Management f√ľr die Bezeichnung von Gesch√§ftsunterbrechungen. G√§ngige Bezeichnungen hierf√ľr sind “Notfall”, “Krise”, “Katastrophe”. Der deutsche Standard BSI 100-4 verwendet diese Begriffe.¬†In der Praxis werden jedoch auch auch Begriffe wie “St√∂rfall” verwendet, die irref√ľhrend sind, da es eine St√∂rfallverordnung gibt, die ¬†St√∂rf√§lle f√ľr die betroffenen Unternehmen regelt. Innerhalb eines Unternehmens f√ľhren unterschiedliche Begriffsverwendungen zu Missverst√§ndnissen. Zum Beispiel zwischen dem BCM und der IT. Die IT verwendet Begrifflichkeiten aus der ITIL-Welt und versteht unter einem IT-Notfall etwas anderes als das BCM. In der Zusammenarbeit mit anderen Unternehmen werden unterschiedliche Begriffsverwendungen ebenfalls zum Problem: was bedeutet es konkret, wenn ein Unternehmen den Notfall erkl√§rt. Ist es schon die h√∂chste Eskalationsstufe oder gibt es noch ein oder mehrere Eskalationsstufen zum Beispiel zur Krise und Katastrophe. Eine interne und externe Abstimmung der Begrifflichkeiten und der dahinter liegenden Bedeutung im Unternehmen ist daher zwingend. Ein Glossar bildet die Grundlage hierf√ľr.