Reifegradorientierte Planung von Business Continuity Managementsystemen

Business Continuity Managementsysteme (BCMS) dienen Unternehmen und Organisationen dazu, zeitkritische Geschäftsprozesse und Ressourcen zu identifizieren und ihre Resilienz gegenüber #Betriebsunterbrechungsrisiken zu erhöhen.

Nicht zuletzt durch Inkrafttreten der Richtlinie über die Resilienz kritischer Einrichtungen (EU 2022/2557) ist das BCMS perspektivisch als modularer Bestandteil der Gesamtresilienzstrategie #Resilienzplanung zu betrachten.

In Abhängigkeit des spezifischen Reifegrades (Reaktiv-, Aufbau- bzw. Standard-BCMS) bieten sich betroffenen Unternehmen und Organisationen weitreichende Synergiepotentiale zu anderen Corporate Governance Systemen.

Doch welcher BCMS-Reifegrad bietet sich für Ihr Unternehmen an?

Dazu ein kurzer Überblick über die drei Reifegrade auf Basis des BSI-Standard 200-4 als zukünftig konkrete Umsetzungshilfe:

• Reaktiv-BCMS
• Aufbau-BCMS
• Standard-BCMS

Reaktiv-BCMS:

Das Reaktiv-BCMS eignet sich besonders für Unternehmen und Institutionen, die im Status quo über keine Absicherung der zeitkritischen Geschäftsprozesse verfügen und sich daraus resultierend möglichst schnell in die Lage versetzen möchten, eine Grundabsicherung dieser zu etablieren.

Dazu bietet es sich an, den Regelprozess rückwärtsgewandt zu beschreiten, sprich zuerst die Besondere Aufbauorganisation (BAO) zu installieren.

Durch diese Vorgehensweise ist im Ereignisfall eine rudimentäre aber durchaus schnelle Reaktionsfähigkeit zur Lagebewältigung gewährleistet.

Grundsätzlich muss aber das Bewusstsein darüber bestehen, dass ein Reaktiv-BCMS nur ausgewählte zeitkritische Geschäftsprozesse und Ressourcen der Organisation berücksichtigt.

Weitere Geschäftsprozesse werden erst mit der Weiterentwicklung des BCMS zum Aufbau- bzw. Standard-BCMS in den Prozessumfang integriert.

Gesamtprozessual bildet das Reaktiv-BCMS gemäß BSI-Standard 200-4 somit eine stark vereinfachte Einstiegsstufe, die nach einmaligem Durchlaufen des PDCA-Zyklus (i.d.R. ein Geschäftsjahr) im Reifegrad weiterentwickelt werden muss.

Aufbau-BCMS:

Das Aufbau-BCMS bildet die grundsätzliche Einstiegsvorgehensweise für die Absicherung zeitkritischer Geschäftsprozesse.

Im Vergleich zum Reaktiv-BCMS besteht der Unterschied darin, dass innerhalb des Aufbau-BCMS initial ein eingeschränkter Prozessumfang aus dem Geltungsbereich des BCMS betrachtet und abgesichert wird.

Der Scope wird idealerweise so gewählt, dass er die zeitkritischsten der in der Gesamtheit zu betrachtenden Geschäftsprozesse umfasst, sodass weitere prioritätenbasiert im Rahmen weiterer PDCA-Zyklen in den Prozesumfang integriert werden können.

Idealerweise bewertet der Business Continuity Beauftragte (BCB) des Unternehmens die Zeitkritikalität der Geschäftsprozesse in enger Abstimmung mit den Business Continuity Koordinatoren (BCK) der Organisationseinheiten fortlaufend, um die Reifegradentwicklung des BCMS proaktiv zu gestalten und gegenüber der Institutionsleitung verteidigen zu können.

Für die Institution besteht der Vorteil eines Einstiegs in den Reifegrad eines Aufbau-BCMS darin, dass erforderliche Ressourcen (personell, organisatorisch, finanziell) mit jedem weiteren Zyklus schrittweise skaliert werden können.

Das Aufbau-BCMS ist somit für Organisationen geeignet, die ihr #BCMS schrittweise und über mehrere Zyklen risikoorientiert initiieren und integrieren möchten, um eine punktuelle Ressourcenbelastung in allen drei Dimensionen zu vermeiden.

Standard-BCMS:

Das Standard-BCMS bildet den Goldstandard der Business Continuity Managementsysteme und entspricht einem vollständigen und angemessenen BCMS im Sinner einer Angemessenheitsprüfung.

Darüber hinaus bildet ein vollständig umgesetztes Standard-BCMS das Fundament einer Zertifizierung gemäß des normativen ISO-Standards 22301.

Es sichert konsistent alle zeitkritischen Geschäftsprozesse anhand des zugrundeliegenden Phasenkonzeptes (Notfallvorsorge, Notfallbewältigung) durch ein Notfallvorsorgekonzept und szenariobasierten Notfalldokumenten (u.a. Geschäftsfortführungs-, Wiederanlauf- und Wiederherstellungspläne auf Prozessebene) ab.

No Surprises: Existieren sektoren- bzw. unternehmensspezifisch gesetzliche und/oder regulatorische Anforderungen entfällt der Einstieg über ein Reaktiv-BCMS grundsätzlich aufgrund des minimalen Prozessumfangs.

Der Einstieg über ein Aufbau-BCMS ist hingegen möglich, sofern alle regulierten Geschäftsprozesse im Prozessumfang berücksichtigt sind.

Im Rahmen der gemäß EU RCE-Directive (bzw. deren nationale Überführung in Form des #KRITIS-Dachgesetzes) zu erstellenden #Resilienzpläne werden Business Continuity Managementsysteme voraussichtlich reifegradabhängig eine tragende Rolle der betrieblichen Gesamtresilienzstrategie stellen.

Für die Synchronität der #Notfalldokumente sind klare Aktivierungs-, Eskalations- sowie Deeskalationskriterien zu definieren, um auf ad hoc- sowie aufwachsende Schadenereignisse adäquat und wirksam (effektiv & effizient) reagieren zu können.

Im Übrigen wird es im Sinne der #Gesamtresilienzstrategie schon dahingehend interessant, als dass sich die Begriffsdefinition für die Ereignisklassifizierung "Notfall" von #BCM zu #Krisenmanagement (ISO 22361:2022) grundlegend differenzieren.