BSI stellt neuen Standard 200-4 zum Notfallmanagement (BCM) vor

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 19. Januar 2021 den Entwurf des neuen BSI-Standards 200-4 als Community Draft vorgestellt, dieser kann bis Ende Juni 2021 kommentiert werden. Der neue Standard beschreibt, wie ein Business Continuity Management (BCM) initiiert, betrieben und verbessert werden kann.

Die erste sichtbare Änderung ist bereits im Titel erkennbar: der Begriff "Notfallmanagement" wird durch "Business Continuity Management" ersetzt. Das Business Continuity Management System (BCMS) bildet dabei ein eigenes Managementsystem, welches passend zum - aber auch losgelöst vom -  Informationssicherheitsmanagementsystem (ISMS) betrieben werden kann.

Ein ISMS ist also keine Voraussetzung, aber dennoch eine Unterstützung für ein BCM. Schnittstellen des BCM u.a. zum ISMS, Risiko- und Krisenmanagement wurden berücksichtigt, der Standard wurde an die Norm ISO 22301:2019 angepasst. Die Reihe der BSI-Standards 200-1 (ISMS),200-2 (IT-Grundschutz-Methodik), 200-3 (Risikomanagement) wird mit dem BSI-Standard 200-4 fortgesetzt, insbesondere bei den Schritten

  • Strukturanalyse
  • Schutzbedarfsfeststellung 
  • Risikoanalyse

ergeben sich sinnvolle Synergien zwischen den BSI-Standards.

Ähnlich zum BSI IT-Grundschutz gibt es mehrere Stufen, um einen einfachen und schnellen Einstieg zu ermöglichen und sich weiterzuentwickeln: Reaktiv-BCMS, Aufbau-BCMS und Standard-BCMS. Auch hier gilt, dass alle Empfehlungen des Standards im Kontext der jeweiligen Organisation betrachtet und angepasst werden müssen. Eine Zertifizierungsreife nach ISO 22301 ist jedoch erst mit einem vollständig eingeführten Standard-BCMS nach 200-4 gegeben, dabei gibt der BSI-Standard konkretere Empfehlungen als die ISO-Norm und liefert Wege zur Umsetzung

Unterschieden wird grundsätzlich zwischen Notfallvorsorge- (präventiv) und Notfallbewältigungsprozessen (reaktiv), wobei die Notfallvorsorge (PDCA-Zyklus) dem Aufbau eines BCMS dient. Der Notfallbewältigungsprozess ist ereignisbezogen und ruht im Normalbetrieb, bis ein Schadensereignis mit Notfallpotenzial eintritt.

Wir sind Ihr Experten-Team: neam wird Teil des Cyber-Sicherheitsnetzwerks (BSI)

Die Einstiegsstufe Reaktiv-BCMS mit vereinfachter Methodik und reduziertem Umfang ermöglicht eine rudimentäre Reaktion auf Notfälle bei geringem Ressourceneinsatz. Damit sind Organisationen schnell in der Lage, angemessen auf Notfälle reagieren zu können. Bereits in dieser Vorgehensweise spielen Tests und Übungen eine essentielle Rolle.

Die Vorgehensweise Aufbau-BCMS mit vollständiger Methodik umfasst zusätzlich zum Reaktiv-BCMS zusätzliche umfangreiche Analyseschritte im Vorfeld (z. Bsp. Interessensgruppenanalyse), die Durchführung von Risikoanalysen, Kontinuitätsstrategien und Wiederanlauf- und Wiederherstellungspläne - jedoch reduziert bzw. fokussiert auf die zeitkritischen Geschäftsprozesse. 

Das Standard-BCMS entspricht einem vollständigen und angemessenen BCMS für alle Geschäftsprozesse im Geltungsbereich.

Wir bilden Sie zum Vorfall-Experten aus - jetzt Schulung buchen (auch online)!

Bei der Entscheidung über die Auswahl der passenden Vorgehensweise spielen gesetzliche bzw. regulatorischen Anforderungen (MARisk, UPBund, KritisV etc), Vorerfahrungen mit Notfallmanagement bzw. anderen Managementsystemen und die verfügbaren Ressourcen eine Rolle.

Ein eigenes Kapitel widmet der Standard dem Thema BCM im Rahmen von Outsourcing und Lieferketten und fordert in sechs Prozessschritten:

  • Indeitifizierung zeitkritischer Leistungsbezüge
  • Definition von BCM-Anforderungen
  • Prüfung der Eignung des Dienstleisters
  • Entwicklung einer Exit-Strategie
  • Festlegung von Vertragsanforderungen
  • Einbindung des Dienstleisters
  • Steuerung des Dienstleisters

Ergänzend zum Standard stellt das BSI verschiedene Hilfsmittel und Dokumentenvorlagen zur Verfügung.

Mehr Informationen zum Thema Notfallmanagement (BCM)