Nacharbeiten

WĂ€hrend des Notbetriebs eines GeschĂ€ftsprozesses wird dieser nur mit eingeschrĂ€nkter Leistung und / oder KapazitĂ€t durchgefĂŒhrt. Nicht kritische Teilprozesse werden wĂ€hrend des Notbetriebs ausgesetzt. Dies fĂŒhrt zu Nacharbeiten nachdem der GeschĂ€ftsprozess wieder voll funktionsfĂ€hig ist.

NFPA 1600

Titel:

Standard on Disaster / Emergency Management and Business Continuity Programs

Herausgeber:

National Fire Protection Association NFPA (USA)

Veröffentlichung:

2013

Beschreibung:

The National Commission on Terrorist Attacks Upon the United States (the 9/11 Commission), recognized NFPA 1600 as our National Preparedness Standard. Widely used by public, not-for-profit, nongovernmental, and private entities on a local, regional, national, international and global basis, NFPA 1600 has been adopted by the U.S. Department of Homeland Security as a voluntary consensus standard for emergency preparedness.

Zertifizierung:

Zertifizierung möglich

Bezug:

NFPA

NINA

NINA ist die Notfall-Informations- und Nachrichten-App des Bundesamtes fĂŒr Bevölkerungsschutz und Katastrophenhilfe (BBK). NINA warnt Sie deutschlandweit und – wenn Sie dies wĂŒnschen – standortbezogen vor Gefahren, wie z. B. Hochwasser und anderen sogenannten Großschadenslagen.

Link

NIS-Richtlinie

Direktive fĂŒr Netz- und Informationssicherheit (Network and Information Security Directive) der EU. Die Vertreter der EU-Kommission, des Europaparlaments und der Mitgliedstaaten haben sich im Dezember 2015 auf das erste europĂ€ische Gesetz zur Cybersicherheit geeinigt. Unternehmen der Kritischen Infrastrukturen mĂŒssen nach dieser Direktive HackervorfĂ€lle melden und Mindestsicherheitsmaßnahmen umsetzen. Die EU-MitgliedslĂ€nder mĂŒssen die Direktive in nationalen Gesetzen umsetzen. In Deutschland wurde im Sommer bereits das IT-Sicherheitsgesetz als Sammlung von GesetzesĂ€nderungen beschlossen. Die NIS-Richtlinie kann zu Anpassungen im IT-Sicherheitsgesetz fĂŒhren.
Link zur Pressemitteilung der EU:
http://www.europarl.europa.eu/news/en/news-room/20151207IPR06449/MEPs-close-deal-with-Council-on-first-ever-EU-rules-on-cybersecurity

non property damage risks

Risiken, die zu keinen GeschĂ€ftsunterbrechungen durch physische SchĂ€den fĂŒhren (Feuer, Erdbeben etc.), aber trotzdem dem Unternehmen hohe finanzielle SchĂ€den zum Beispiel in Folge von Reputationsverlusten zufĂŒgen können. Beispiel: Cyber-Attacken, geo-politische Risiken, ProduktrĂŒckrufe.

Normen

Eine Norm ist durch ein geregeltes Normungsverfahren und dem Konsens aller am Verfahren beteiligten beschlossenes Regelwerk. Sie stellt den Stand von Wissenschaft und Technik dar. Die Nutzung dieses Regelwerks basiert auf Freiwilligkeit. Verbindlich werden Normen, wenn Sie Bestandteil eines Vertrages, Gesetzes oder einer Verordnung werden.
Organisationen, die Normen erarbeiten:

  • DIN (Deutsches Institut fĂŒr Normung e.V.)
  • CEN (EuropĂ€isches Komitee fĂŒr Normung (Comite` EuropeĂšn de Normalisation))
  • ISO ( International Organization for Standartization)
  • IEC (Internationale Elektrotechnische Kommission).

Normen werden in Deutschland ausschließlich ĂŒber die DIN vertrieben. Normen können in Deutschland ausschließlich ĂŒber den Beuth-Verlag in Berlin bezogen werden (www.beuth.de)

Notbetrieb

Notbetrieb  beschreibt den eingeschrĂ€nkten Betrieb eines GeschĂ€ftsprozesses nach einem Ausfall bzw. einer Unterbrechung. Der Notbetrieb wird fĂŒr kritische GeschĂ€ftsprozesse im Rahmen der Business Impact Analyse des BCM beschrieben. Der Notbetrieb bezieht sich auf die Mindestanforderungen der Ressourcen eines GeschĂ€ftsprozesses, um dessen mindestens erforderliche Ergebnisse im Notbetrieb (MBCO) zu erreichen.

Notfall

Leider gibt es keine einheitliche Begriffswelt im Business Continuity Management fĂŒr die Bezeichnung von GeschĂ€ftsunterbrechungen. GĂ€ngige Bezeichnungen hierfĂŒr sind “Notfall”, “Krise”, “Katastrophe”. Der deutsche Standard BSI 100-4 verwendet diese Begriffe. In der Praxis werden jedoch auch auch Begriffe wie “Störfall” verwendet, die irrefĂŒhrend sind, da es eine Störfallverordnung gibt, die  StörfĂ€lle fĂŒr die betroffenen Unternehmen regelt. Innerhalb eines Unternehmens fĂŒhren unterschiedliche Begriffsverwendungen zu MissverstĂ€ndnissen. Zum Beispiel zwischen dem BCM und der IT. Die IT verwendet Begrifflichkeiten aus der ITIL-Welt und versteht unter einem IT-Notfall etwas anderes als das BCM. In der Zusammenarbeit mit anderen Unternehmen werden unterschiedliche Begriffsverwendungen ebenfalls zum Problem: was bedeutet es konkret, wenn ein Unternehmen den Notfall erklĂ€rt. Ist es schon die höchste Eskalationsstufe oder gibt es noch ein oder mehrere Eskalationsstufen zum Beispiel zur Krise und Katastrophe. Eine interne und externe Abstimmung der Begrifflichkeiten und der dahinter liegenden Bedeutung im Unternehmen ist daher zwingend. Ein Glossar bildet die Grundlage hierfĂŒr.

Notfallplan

Der  Notfallplan dokumentiert den Notbetrieb eines Prozesses mit den Ersatzlösungen und Workarounds fĂŒr die kritischen Ressourcen, die Schritte zur Einleitung des Notbetriebs sowie zum Wiederanlauf in den Normalbetrieb. ErgĂ€nzt wird der Notfallplan um Kontaktlisten, Wegbeschreibungen, Hersteller-, Lieferanten und Dienstleisterverzeichnisse.

Nach der zeitlichen Phase können NotfallplÀne unterscheiden werden in

  • GeschĂ€ftsfortfĂŒhrungsplan
  • Wiederanlaufplan.

Dies mĂŒssen nicht zwingendermaßen zwei getrennte Planungsdokumente sein.

In einem Notfall bleibt keine Zeit, umfangreiche Planungsdokumente zu lesen. Auch Piloten arbeiten im Notfall stringent die jeweiligen Checklisten ab. Ich teile daher die Notfallplanung in zwei Teile auf:

  1. Notfallkonzepte:
    Notfallstrategien und -taktiken fĂŒr die Prozesse und Ressourcen. Diese beinhalten die Beschreibung der Ausweich- und Ersatzlösungen fĂŒr Prozesse und Ressourcen
  2. Notfallchecklisten:
    Checklisten fĂŒr Sofortmaßnahmen fĂŒr die wichtigen Szenarien, Schritte zur Einleitung des Notbetriebs und Inbetriebnahme von Ausweich- und Ersatzlösungen, Kommunikation intern und extern. Nach dem Prinzip: wer – macht was – mit welcher PrioritĂ€t – womit und mit wem. ErgĂ€nzt um Kontaktlisten. Notfallchecklisten können neben der klassischen Papierform auch elektronisch als App abgebildet werden.

“Plans are worthless, but planning is everything.” hat Dwight D. Eisenhower in einer Rede bei der National Defense Executive Reserve Conference in Washington DC, 14. November 1957 gesagt.

Die AktivitĂ€ten zur Erstellung der PlĂ€ne, sind elementar, d.h. die inhaltliche Konzeption und Formulierung der Inhalte. Wer einen Plan geschrieben hat, benötigt den Plan selbst nicht mehr, da die Inhalte des Plans “internalisiert” sind. Was fehlt ist das Wissen, ob der Plan auch im Notfall funktioniert.

Die Validierung und EinĂŒbung der PlĂ€ne (“Drills” wie die Amerikaner sagen)ist daher der zweite wesentliche Baustein ein der Notfallvorsorge.