IT-Compliance

Business Continuity

Modernisierung des BSI-Standard 200-4
Im Jahresverlauf hat das Bundesamt für Sicherheit in der Informationstechnik den Standard 200-4 Business Continuity Management modernisiert.

Dies umfasst u.a. eine Umbenennung der bisherigen BCM-Voranalyse in Business Impact Analysis (BIA)-Vorfilter oder des bisherigen Begriffs Notfallmanagement in BCM.

BCM erfordert u.a. Wiederherstellungs- und -anlaufpläne. Derartige Pläne wurden bis dato (noch) nicht immer konsequent weder zwischen Business & IT noch mit anderen Konzerngesellschaften oder mit IKT-Dienstleistern abgestimmt.

Operationale Resilienz zügig stärken
Die bis spätestens Januar 2025 nötige Umsetzung der EU-Verordnung DORA wirft ihre Schatten voraus. Institute sollten ihre laufenden Gap-Analysen unter Berücksichtigung aller mittlerweile veröffentlichter technischer Standards u.a. inkl. einer BCM Policy Detaillierung weiter vorantreiben. Der zweite Teil (second batch) dieser Standards wurde u.a. durch die EBA Ende 2023 veröffentlicht und die Konsultationsphase wird bis März 2024 laufen.

Das vorliegende BCM Whitepaper verschafft einen Überblick über derzeitige aufsichtsrechtliche Anforderungen an BCM und analysiert die neuen Anforderungen u.a. von DORA, des BSI 200-4 oder erwartete Änderungen der Norm ISO/IEC 22301:2023 (draft).

BCM als wesentlicher Teil von DORA
Business Continuity Management stellt ein wesentliches Element der neuen, im Januar 2023 in Kraft getretenenen EU-Verordnung DORA (digital operational resilience act) dar.

In den Artikeln 11 und 12 des Kapitels II IKT Risiko Management-Rahmen werden u.a. die Anforderungen an eine IKT-Geschäftsfortführungs-Leitlinie und nötige Wiederherstellungs-Pläne detailliert.

Diese werden durch die im Juni 2023 durch die ESAs entworfenen technischen Standards (first batch of policy products) bis hin zu konkreten Inhalten dieser Business Continuity Policy konkretisiert.