Was ist ein Business Continuity Management System (BCMS)?
Ein BCMS ist ein strukturiertes Managementsystem, das darauf abzielt, die Resilienz einer Organisation gegenüber Störungen zu erhöhen. Es umfasst die Planung, Entwicklung, Implementierung, Überwachung und kontinuierliche Verbesserung von Strategien und Verfahren, die sicherstellen, dass kritische Funktionen auch während und nach einer Krise aufrechterhalten werden können. Zu den möglichen Störungen zählen Naturkatastrophen, technische Ausfälle, Cyberangriffe oder auch pandemiebedingte Herausforderungen.
Gesetzliche und normative Rahmenbedingungen
In Deutschland und in der EU gibt es zahlreiche gesetzliche Anforderungen und Normen, die die Einführung eines BCMS formal fordern. So verpflichtet das IT-
Sicherheitsgesetz Betreiber kritischer Infrastrukturen, Sicherheitsvorkehrungen zu treffen und entsprechende Notfallpläne zu entwickeln. In den Branchenspezifischen Sicherheitsstandards (B3S) ist ein funktionierendes BCM ein zentraler Bestandteil des zu implementierenden ganzheitlichen Informations-Sicherheits-Management-Systems (ISMS).
Durch das Patientendatenschutzgesetz und die Einführung des § 75c SGB V wurden alle Krankenhäuser und MVZs verpflichtet, zu Beginn des Jahres 2022 ein ISMS inkl. eines BCMS einzurichten. Obwohl es bisher keine Nachweis- und Prüfpflicht gibt – diese wird ggf. über die NIS2-Richtlinie eingeführt werden – sind Krankenhäuser faktisch zu einer ISMS/BCMS-Umsetzung verpflichtet.
Zur Stärkung der kritischen und wichtigen Infrastruktur in Europa wurde außerdem 2023 die NIS2-Richtlinie verabschiedet, die bis Mitte Oktober 2024 in nationales Recht umgesetzt werden muss (NIS2UmsuCG). Eine für alle Betroffenen relevante Anforderung dieser Vorgaben ist das Risikomanagement, in dem es unter anderem auch um die Implementierung von BCM und Notfallplänen geht. Auch die Datenschutz-Grundverordnung (DS-GVO) verpflichtet Organisationen dazu sicherzustellen, dass sie für den Fall von Datenpannen oder anderen Vorfällen, die die Verfügbarkeit von Daten betreffen, angemessene Maßnahmen zur Wiederherstellung und Kommunikation getroffen haben.
Richtlinien und Standards
Die internationale Norm ISO 22301 legt die Anforderungen an ein BCMS fest und wird häufig als Best Practice angesehen. Auf nationaler Ebene bietet der modernisierte BSI-Standard 200-4 eine praxisnahe Anleitung, um ein BCMS in der eigenen Institution aufzubauen und zu etablieren. Der BSI-Standard geht insbesondere auf die möglichen Synergiepotenziale mit den angrenzenden Themen Informationssicherheit und Krisenmanagement ein und stellt somit einen zentralen Bestandteil bei der Erhöhung der organisatorischen Resilienz dar.
Relevanz und Notwendigkeit eines BCMS
Der Nutzen eines BCMS für das Unternehmen lässt sich durch folgende Faktoren beschreiben:
- Risikomanagement bzw. Business-Impact-Analyse
Ein BCMS hilft, potenzielle Bedrohungen zu identifizieren und Strategien zu entwickeln, um deren Auswirkungen zu minimieren. - Reputation und Kundenvertrauen
Die Fähigkeit eines Unternehmens, auch in Krisensituationen stabil zu bleiben, stärkt das Vertrauen von Kunden, Partnern und Investoren. Ein gut implementiertes BCMS sendet das Signal, dass die Organisation auf alle Eventualitäten vorbereitet ist. - Wettbewerbsvorteil
Unternehmen, die in der Lage sind, schnell auf Störungen zu reagieren, haben einen klaren Vorteil gegenüber Wettbewerbern, die weniger gut vorbereitet sind.
Implementierung eines BCMS
Die Implementierung eines BCMS erfolgt typischerweise in folgenden Schritten:
- Analyse und Bewertung
Der erste Schritt besteht darin, eine gründliche Analyse der bestehenden Geschäftsprozesse durchzuführen. Dabei sollten folgende Fragen beantwortet werden:
- Welche Prozesse sind kritisch für den Geschäftsbetrieb?
- Welche Gefahren könnten auf diese Prozesse einwirken?
- Welche Auswirkungen hätte eine Unterbrechung auf das Unternehmen?
- Entwicklung von Strategien
Basierend auf der Analyse sind Strategien zu entwickeln, um die identifizierten Risiken zu minimieren. Dazu gehören die Festlegung von Notfallplänen, die Definition von Verantwortlichkeiten und die Festlegung von Ressourcen, die im Krisenfall benötigt werden. - Schulung und Sensibilisierung
Ein BCMS ist nur so stark wie die Menschen, die es umsetzen. Daher ist es wichtig, alle Mitarbeiter in die Prozesse einzubeziehen und sie entsprechend zu schulen. Regelmäßige Schulungen und Übungen helfen, das Bewusstsein für Notfallpläne zu schärfen und sicherzustellen, dass alle Mitarbeiter wissen, wie sie im Krisenfall reagieren müssen. - Testen und Überprüfen
Die Wirksamkeit eines BCMS sollte regelmäßig getestet und überprüft werden. Das kann durch Simulationen, Übungen oder Audits erfolgen. Ziel ist es, Schwachstellen zu identifizieren und das System kontinuierlich zu verbessern. - Aufrechterhaltung und kontinuierliche Verbesserung
Ein BCMS ist ein dynamisches System, das kontinuierlich weiterentwickelt werden muss. Die regelmäßige Überprüfung und Anpassung der Strategien und Pläne ist entscheidend, um sicherzustellen, dass sie auch in Zukunft relevant und effektiv sind. Dies kann durch die Analyse von Vorfällen, das Feedback von Mitarbeitern und die Berücksichtigung von Änderungen im Geschäftsumfeld erfolgen.
Fazit
Unabhängig von regulatorischen Anforderungen ist die Einführung eines Business Continuity Management Systems für Unternehmen wichtig, um in einer unsicheren und sich schnell verändernden Welt resilient und wettbewerbsfähig zu bleiben. Für Einrichtungen, die zur kritischen Infrastruktur gehören bzw. unter die NIS2-Richtlinie fallen, ist dies verpflichtend. Durch die Identifizierung von Risiken, die Entwicklung von Strategien zur Risikominderung und die Schulung der Mitarbeiter können Organisationen sicherstellen, dass sie auch in Krisensituationen handlungsfähig bleiben. Ein gut implementiertes BCMS ist nicht nur ein Zeichen für Verantwortung und Professionalität, sondern kann auch entscheidend für den langfristigen Erfolg eines Unternehmens sein.