Business Continuity Management

Lesen Sie in dieser Rubrik alle Blog-Beiträge zum Thema Business Continuity Management.

Schlagwortarchiv für: Business Continuity Management

NIS2 für den Luftfahrtbereich

Luftfahrt-spezifische Regulatorik für Cyber-Sicherheit a la NIS2

Über die NIS2 Richtlinie haben wir bereits einige Blogs geschrieben und auch unser Whitepaper zum Thema ist seit Monaten stark nachgefragt. Als Ingenieur, der lange in der Luftfahrt unterwegs war, habe ich mich mit den spezifischen Pendants bzw. Erweiterungen für diese Branche beschäftigt und fasse die Erkenntnisse hier als Ergänzung zu den NIS 2-Informationen für Interessierte mit Luftfahrtbezug zusammen.

Geltungsbereich und Anforderungen – wer ist betroffen?

Die EU-Richtlinie 2023/203 und die EU-Richtlinie 2022/1645 stellen spezifische Anforderungen insbesondere in Bezug auf das Management von Informationssicherheitsrisiken an Unternehmen, die im Bereich der zivilen Luftfahrt tätig sind. Unternehmen, die unter diese Richtlinien fallen, müssen ein Managementsystem für IT-Sicherheitsrisiken einführen und betreiben, das sowohl strukturierte Bedrohungen der Informationssicherheit von außen als auch zufällige, ungeplante Ereignisse abdeckt.

Die Hauptunterschiede zwischen der EU-Richtlinie 2023/203 und der EU-Richtlinie 2022/1645 liegen in ihrem Anwendungsbereich und den spezifischen Anforderungen, die sie an Organisationen stellen. Sie beziehen sich insgesamt auf Organisationen, die unter verschiedene EU-Verordnungen fallen, einschließlich Entwicklungs- und Herstellerbetrieben, Unternehmen zur Instandhaltung von Luftfahrzeugen, Flughafenbetrieb und Vorfeldkontrolldiensten aber auch Unternehmen aus dem luftfahrtbezogenen Ausbildungsbereich.

Welche Anforderungen werden gestellt?

Die detaillierten Anforderungen im Anhang bzw. Anhang II sind weitestgehend identisch, so ergeben sich z. B. für Unternehmen, die sowohl Part 145 als auch Part 21 Betriebe sind, starke Synergien bei der Umsetzung im Management Tool.

Letztendlich kann man aus meiner Sicht die Anforderungen auf die wesentlichen Punkte reduzieren:

  1. Es muss ein Informationssicherheits-Managementsystem implementiert werden
  2. Es muss ein Business Continuity Management implementiert werden
  3. Es muss ein internes Meldesystem analog eines Hinweisgebersystems implementiert werden
  4. Es muss ein Lieferantenmanagement mit entsprechender Risikoanalyse und -behandlung implementiert werden
  5. Die oben genannten Aufgaben können auch extern vergeben werden
  6. Das Verantwortliche Personal muss mit den nötigen Kenntnissen, Ressourcen und Befugnissen ausgestattet werden, um die Anforderungen zu erfüllen
  7. Die oben genannten Punkte müssen adäquat dokumentiert sein, die Aufbewahrungsfristen müssen beachtet und der Behörde muss ein entsprechendes Informationssicherheits-Handbuch zur Verfügung gestellt werden.
  8. Der gesamte Prozess muss einer kontinuierlichen Verbesserung unterliegen (das ist ein wenig überflüssig, da dies im ISMS und BCM gem. der einschlägigen Normen, z.B. IT-Grundschutz oder ISO 27001 ohnehin der Fall ist)

Gegenüberstellung der Anforderungen

Wann müssen die Anforderungen umgesetzt sein?

Für die Umsetzung der Anforderungen aus der EU-Richtlinie 2023/203 müssen die Mitgliedstaaten die notwendigen Rechts- und Verwaltungsvorschriften bis spätestens 24. Dezember 2024 in Kraft setzen.

Die EU-Richtlinie 2022/1645 enthält keine explizit genannt Fristen, in den Erwägungsgründen steht lediglich: „Damit die Organisationen ausreichend Zeit haben, um die Einhaltung der mit dieser Verordnung eingeführten neuen Vorschriften und Verfahren sicherzustellen, sollte die Geltung dieser Verordnung erst nach einem Zeitraum von drei Jahren ab ihrem Inkrafttreten beginnen.“

Welche Sanktionen drohen?

Unternehmen, die die Anforderungen der EU-Richtlinien 2023/203 und 2022/1645 nicht einhalten, können mit einer Reihe von Sanktionen konfrontiert werden, die von Geldbußen bis hin zu strafrechtlichen Konsequenzen reichen können. Die spezifischen Sanktionen hängen von den nationalen Gesetzen der Mitgliedstaaten ab, die die EU-Richtlinien in nationales Recht umsetzen. Schaut man sich die neuere Regulatorik in der EU und in Deutschland an, beziehen sich die Sanktionen in der Regel auf Prozente des weltweiten Unternehmensumsatzes (oft zwischen 2 und 4 %) und beginnen häufig mit Mindestsummen im Millionenbereich, je nach Schwere des Versäumnisses.

In einigen Fällen können auch individuelle Verantwortliche innerhalb des Unternehmens strafrechtlich verfolgt werden, insbesondere wenn nachgewiesen wird, dass sie vorsätzlich oder grob fahrlässig gehandelt haben. Darüber hinaus können Unternehmen, die die Richtlinien nicht einhalten, von der Teilnahme an öffentlichen Ausschreibungen und Förderprogrammen ausgeschlossen werden, was langfristige finanzielle Auswirkungen haben kann. Im schlimmsten Fall können Unternehmen, die gegen die Richtlinien verstoßen, ihre Betriebslizenzen oder Zertifizierungen verlieren, was den Unternehmen letztendlich teilweise oder gänzlich die Geschäftsgrundlage entzieht.

Fazit:

Die Übereinstimmungen zwischen den beiden Richtlinien liegen vor allem in den grundlegenden Anforderungen an das Risikomanagement und die Informationssicherheit, die für alle relevanten Organisationen innerhalb der zivilen Luftfahrtindustrie gelten. Es ist wichtig, dass Unternehmen, die von diesen Richtlinien betroffen sind, die spezifischen Anforderungen verstehen und umsetzen, um die Sicherheit und Integrität der Zivilluftfahrt zu gewährleisten.

Die Implementierung eines robusten Risikomanagementsystems ist zunehmend von großer Bedeutung, das zeigen auch andere Regulierungen (Lieferkettengesetz, Geldwäschegesetz, etc.). Unternehmen müssen proaktiv handeln, um diese Risiken zu identifizieren, zu bewerten und zu behandeln. Die Einrichtung interner Kontrollmechanismen und die Durchführung regelmäßiger Audits können ebenfalls dazu beitragen, die Einhaltung der Richtlinien zu gewährleisten. Die Einbindung von Stakeholdern, einschließlich Lieferanten und Partnern, ist empfehlenswert, um sicherzustellen, dass die gesamte Lieferkette den Richtlinien entspricht.

Technologische Lösungen wie die Automatisierung von Compliance-Prozessen können erheblich dazu beitragen, entsprechende Prozesse schlank umzusetzen, die Einhaltung der Vorschriften zu überwachen und zu verbessern. Unser SAVISCON GRC-COCKPIT ist genau dafür ausgelegt. Als Compliance-Management-, Risikomanagement- und ISMS-Plattform schafft es die Grundlage, alle Anforderungen synergetisch in einem System zu managen und damit Mehraufwand und Datensilos zu vermeiden.

Über den Autor

Foto Ingo Simon

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:

XING Profil Ingo Simon LinkedIn Profil Ingo Simon

Risk-Update 2024: IT-Risiken

Das ist 2024 wichtig: NIS2, DORA, BCM und KI

In 2023 nannte der Allianz Risk-Report 2023 Cybervorfälle zusammen mit Betriebsunterbrechungen als Top-Risiko. Die Studien für 2024 sind noch nicht geschrieben oder veröffentlicht, aber man darf davon ausgehen, dass sich IT-getriebene Risiken im Jahr 2024 weiter in Spitzenpositionen halten werden. Wir werden uns in diesem Artikel auf diese IT-Risiken beschränken.

Cyberangriffe

Es gibt eine erhöhte Bedrohungslage durch Cyberangriffe mit möglichen massiven Auswirkungen –nicht nur auf Unternehmen, sondern in der Folge auch auf die Bevölkerung. Der Ernst der Lage wird daran sichtbar, dass die Gesetzgebung mit regulatorischen Maßnahmen diesbezüglich nicht spart:

  • Die neue NIS2 Direktive (EU 2022/2555) „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ ersetzt die NIS-Richtlinie aus 2016. Betroffen sind hier Unternehmen aus den sogenannten „Essential Entities“, aufgeteilt in elf Sektoren, z. B. Bankwesen, Trinkwasser und Digitale Infrastruktur, sowie aus „Important Entities“ mit sieben Sektoren, z. B. Post und Kurier, Lebensmittel und Digitale Dienste. Für alle diese Entities und Sektoren werden Mindestanforderungen definiert, die einzuhalten sind. Non-Compliance ist mit hohen Sanktionen belegt. Die Direktive wird in Deutschland in ein neues IT-Sicherheitsgesetz münden: das NIS2 Umsetzungsgesetz. Das Inkrafttreten ist für Oktober 2024 angesetzt.

  • Für die Finanzindustrie wird noch eines obendrauf gesetzt: DORA (Digital Operational Resilience Act) ist die Verordnung (EU 2022/2554) über die digitale, operationale Resilienz im Finanzsektor. Auch hier werden hohe Anforderungen an IT-Sicherheit, aber auch an Testverfahren und operative IT-Prozesse normiert und Non-Compliance empfindlich sanktioniert. Die BaFin ist als Aufsichtsbehörde involviert und die Richtlinie soll ab 17.01.2025 Anwendung finden.

In beiden Normen steht auch das IT-bezogene Risiko-Management im Fokus. Es gilt, seine IT-Risiken zu kennen und zu managen. Das gilt sowohl für Angriffsvektoren in Bezug auf Infrastruktur mit Exposition ins Internet als auch für Partner und IKT-Dienstleister, die Dienste für das Unternehmen übernehmen, sowie auch für interne Risiken durch menschliche Schwachstellen.

Übrigens: Der Mensch ist eine der größten Schwachstellen. Eine der häufigsten Formen von Cyberangriffen ist Ransomware, mit denen Unternehmensdaten verschlüsselt und die Wiederfreigabe der Daten mittels Zahlungen erpresst werden. Solche Fälle legen Organisationen über Wochen lahm und sind in den letzten Monaten gehäuft in den Nachrichten. Rund zwei Drittel der Ransomware-Angriffe haben als Ursache, dass E-Mail-Anhänge oder Links zu Webseiten durch unachtsame Mitarbeitende in eingehenden Mails angeklickt werden. Eine geringe Investition in die Sensibilisierung der Mitarbeitenden hat daher eine hohe positive Auswirkung auf das Risikoportfolio. Es muss also nicht immer nur eine technische Lösung sein, die hilft.

NIS2 Whitepaper herunterladen

Betriebsunterbrechungen und Ausfälle durch IT-Fehler

Aber nicht nur Cyberbedrohungen von außen führen zu IT-bezogenen Risiken. Selbst wenn keine Bedrohung vorherrschen würde, bringt die zunehmende Digitalisierung über alle Geschäftsprozesse von Unternehmen weitere Risiken ins Spiel. Der Ausfall zentraler Infrastruktur oder Anwendungen durch Fehlbedienung, nachlässiges oder fehlerhaftes Change-Management in den IT-Betriebsabteilungen kann erhebliches Gefährdungspotenzial für das Überleben der Unternehmen mit sich bringen. Umso wichtiger ist es, bei einem eingetretenen Risiko einen Notfallplan an der Hand zu haben. Das Bundesamt für Sicherheit in der Informationstechnik lieferte dazu in diesem Jahr den neuen Standard 200-4 für das Business Continuity Management, kurz BCM. Dies ist (außer für KRITIS Unternehmen) zwar keine Norm im Sinne einer notwendigen Einhaltung zur Vermeidung von Sanktionen, aber dennoch sollten Unternehmen und Organisationen schon aus Selbstschutz eine gesteigerte Motivation haben, in diese Richtung aktiv zu werden.

Künstliche Intelligenz

Das dritte und vielleicht aktuellste Thema kommt aus dem kometenhaften Aufstieg der künstlichen Intelligenz (KI), der sich aus dem ChatGPT Hype als Katalysator ergeben hat. Auch im Bereich KI-Compliance ist der Gesetzgeber, in diesem Falle das Europäische Parlament, im Aufbruch, eine KI-Gesetzgebung zu schaffen, die sicherstellt, „dass die in der EU eingesetzten KI-Systeme sicher, transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sind.“

Daraus ergeben sich wiederum neue Risiken. Zum einen die Risiken durch den Einsatz von KI generell, also z. B. durch fehlerhafte KI-Ergebnisse falsche Entscheidungen zu treffen. Aber für die Unternehmen, die KI schon sehr früh einsetzen, ergibt sich auch ein Risiko, dass die kommende Gesetzgebung den schon implementierten Einsatz einschränkt und die Unternehmen zwingt, die bereits getätigten Investitionen durch weitere, nun notwendig werdende Modifikationen compliant zu machen. Hier empfiehlt es sich, den Gesetzgebungsverlauf genau zu beobachten und frühzeitig derartige Entwicklungen zu antizipieren.

Fazit:

Bei den IT-Risiken ist es nicht ausreichend, nur mögliche Cyberbedrohungen zu betrachten. Sondern es muss genauso auf die internen IT-Prozesse und die sich daraus ergebenden Risiken geschaut werden. Das neue KI-Feld wird ebenfalls im Jahr 2024 eine zunehmend große Rolle in der Risikobetrachtung der Unternehmen spielen, die diese einsetzen wollen.

Mit der aktuellen und kommenden Gesetzgebung wird IT-Sicherheit immer mehr auch ein Compliance-Themenfeld, womit sich eben auch Compliance-Risiken ergeben. Unternehmen und Organisationen sollten sich daher mit dem Thema IT-Sicherheit, Business Continuity und den dafür relevanten Gesetzestexten auseinandersetzen. Die Einführung eines Informationssicherheits-Management-Systems ist auf jeden Fall ein Schritt in die richtige Richtung. Auch wenn eine Zertifizierung nach gängigen Standards wie ISO 27001 oder IT-Grundschutz nicht Ziel einer Organisation ist, so geben diese Standards doch sehr viel Informationen an die Hand, wie man hier die Abläufe verbessern kann, um compliant zu werden.

Mit unserer Software, dem SAVISCON GRC-COCKPIT, bieten wir Organisationen jeglicher Größe ein effizientes Handwerkszeug, um ihr ISMS strukturiert abzubilden und effizient zu betreiben.

Über den Autor

Foto Ingo Simon

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:

XING Profil Ingo Simon LinkedIn Profil Ingo Simon

Hinweisgeberschutzgesetz: am 02.07.2023 in Kraft getreten

Was es jetzt zu beachten gibt

von Karin Selzer, Consultant Compliance und Datenschutz der SAVISCON GmbH

Im März 2023 hat unser Geschäftsführer, Ingo Simon, bereits über das Hinweisgeberschutzgesetz in einem Blog-Beitrag berichtet. Dort hat er erklärt, was das Hinweisgeberschutzgesetz (HinSchG) überhaupt ist, wen es betrifft und was die wichtigsten Anforderungen sein werden.

Nun ist das Hinweisgeberschutzgesetz zum 02.07.2023 in Kraft getreten und wir wollen Ihnen heute einen Überblick geben, was jetzt für Sie zu beachten ist und wie einfach Sie die Einrichtung eines internen Hinweisgebersystems mit unserer Software, dem GRC-COCKPIT umsetzen können.

Aber blicken wir nochmal kurz zurück:

Das HinSchG ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie von 2019. Bereits im November 2020 wurde der erste Referentenentwurf des HinSchG durch das Bundesministerium der Justiz vorgelegt, der allerdings scheiterte. Dann passierte erstmal lange nichts, denn die Bundesregierung ließ die Frist zur Umsetzung eines deutschen Hinweisgeberschutzgesetzes verstreichen. Es folgte die Einleitung eines Vertragsverletzungsverfahrens der EU-Kommission gegen die Bundesrepublik Deutschland. Im April 2022 wurde ein zweiter Referentenentwurf vorgelegt und letztlich am 27. Juli 2022 ein Regierungsentwurf beschlossen und veröffentlicht. Doch damit war man noch nicht am Ziel, denn im Februar 2023 wurde dieser Entwurf durch den Bundesrat abgelehnt. In einem Vermittlungsausschuss haben sich Bund und Länder dann auf einen Kompromiss geeinigt und der Bundesrat hat schließlich im Mai 2023 dem neuen Gesetz zugestimmt. Nach der Veröffentlichung im Bundesgesetzblatt (02.06.2023) ist das HinSchG am 02.07.2023 nun endlich in Kraft getreten.

Was bedeutet das jetzt konkret?

Das HinSchG verpflichtet Unternehmen mit mehr als 50 Mitarbeitenden, ein internes Hinweisgebersystem einzurichten. Unternehmen ab 250 Mitarbeitende werden sofort ab Inkrafttreten des Gesetzes in die Pflicht genommen (also seit 02.07.2023), kleinere Unternehmen mit einer Größe von 50 bis 249 Beschäftigten wird eine Übergangsfrist bis zum 17.12.2023 gewährt.

Hinweisgeber müssen die Möglichkeit haben, Hinweise mündlich, schriftlich oder auf Wunsch auch persönlich abzugeben. Bei der Bearbeitung der Hinweise sind folgende Fristen zu berücksichtigen:

  • innerhalb 7 Tagen muss die interne Meldestelle dem Hinweisgeber den Eingang des Hinweises bestätigen.
  • innerhalb 3 Monaten muss die Meldestelle den Hinweisgeber über die ergriffenen Maßnahmen informieren.

Zusätzlich zur internen Meldestelle hat die Bundesregierung eine externe Meldestelle eingerichtet:
Meldestelle Bundesamt für Justiz

Hinweisgeber können frei wählen, ob sie eine Meldung an die interne Meldestelle ihres Unternehmens oder an die externe Meldestelle abgeben möchten. Allerdings wird empfohlen, die interne Meldung dem externen Meldekanal vorzuziehen, da aufgrund der Sachnähe die Abstellung des Verstoßes am effektivsten möglich ist.

Welche Änderungen wurden im Vermittlungsausschuss beschlossen?

  • Ein Streitthema war das Abgeben von anonymen Hinweisen. Ursprünglich sollten die Unternehmen dazu verpflichtet werden, die Abgabe anonymer Hinweise zu ermöglichen. Darauf wurde nun verzichtet und aus dem MUSS wurde ein SOLL: „Die interne Meldestelle sollte auch anonym eingehende Meldungen bearbeiten. Es besteht allerdings keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen.“ (Auszug § 16 HinSchG)
  • Auch im Anwendungsbereich des Gesetzes hat es Änderungen gegeben. Es dürfen nur Verstöße gemeldet werden, die sich auf den eigenen beruflichen Kontext beziehen, d.h. auf den Beschäftigungsgeber oder eine andere Stelle, mit der die hinweisgebende Person beruflich im Kontakt stand.
  • Eine weitere Änderung betraf die Bußgeldhöhe. Die vorgesehenen Bußgelder lagen bisher bei max. 100.000 Euro und wurden nun auf max. 50.000 Euro gesenkt. Außerdem wurde entschieden, die Bußgeldandrohung bei Verstößen gegen die gesetzliche Regulierung erst sechs Monate nach Veröffentlichung des HinSchG anzuwenden, also erst ab 01.12.2023.

Einführung eines digitalen Hinweisgebersystems

Auch wenn die Abgabe anonymer Meldungen nicht ermöglicht werden muss, ist es empfehlenswert sie trotzdem anzubieten, denn dadurch wird die Hemmschwelle zur Meldung von Fehlverhalten möglichst niedrig gehalten. Um die Anonymität zu gewährleisten, bietet sich ein digitales Hinweisgebersystem an, wie z.B. unser GRC-COCKPIT.

Das Hinweisgebersystem im GRC-COCKPIT kann textlich individuell für das Unternehmen konfiguriert und z.B. im Intranet/Internet des Unternehmens eingebunden werden. Über einen Link können Mitarbeitende zum digitalen Hinweisgebersystem des Unternehmens gelangen und dort ihren Hinweis abgeben. Nach Versand des Hinweises bekommt der Hinweisgeber Zugriff auf ein anonymes Postfach, über das dann kommuniziert und weitere Informationen ausgetauscht werden kann. Die Dokumentation bezüglich der Bearbeitung von Hinweisen, die auf anderen Kanälen (persönlich, Post, Fax, Telefon, Mail) abgegeben wurden, erfolgt ebenfalls zentral im GRC-COCKPIT, sodass der gesamte Hinweisgeberprozess dort zusammengehalten wird.

Nutzen Sie jetzt die Vorteile des digitalen Hinweisgebersystems im SAVISCON GRC-COCKPIT und erfüllen Sie so alle Anforderungen aus dem Hinweisgeberschutzgesetz.

Sie wollen mehr über unser Hinweisgebersystem erfahren? Sehen Sie sich hier die Aufzeichnung unseres Webinars „Digitales Hinweisgebersystem“ an!

 

Über die Autorin

Porträtfoto Karin Slezer

Karin Selzer ist als Compliance- und Datenschutz Consultant, sowie interne Datenschutzbeauftragte bei der SAVISCON GmbH tätig.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: karin.selzer@saviscon.de oder vernetzen Sie sich mit mir: XING Profil Karin SelzerLinkedIn Profil Karin Selzer

NIS2: ISMS umsetzen, Vorsprung sichern.

Wie Sie die EU-Richtlinie als Wettbewerbsvorteil nutzen können

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Die Bedrohungslage im digitalen Raum hat sich in den letzten Jahren erheblich verschärft. Cyber-Angriffe werden immer häufiger und raffinierter. Die Schäden, die sie anrichten, können die wirtschaftliche Existenz von Unternehmen nachhaltig gefährden.

NIS2: die neue EU-Richtlinie

Hier kommt NIS2 ins Spiel, die neue EU-Richtlinie, die wir schon in meinem letzten Blog „NIS2: Die neue EU-Richtlinie für Cybersicherheit“ beleuchtet haben. Sie verpflichtet Unternehmen und Organisationen aus verschiedensten Branchen dazu, angemessene Sicherheitsmaßnahmen zu ergreifen, um die Netzwerk- und Informationssicherheit zu gewährleisten. Ein wichtiger Bestandteil von NIS2 ist die Forderung nach einem wirksamen Informationssicherheitsmanagementsystem (ISMS). Lesen Sie für weitere Hintergrundinformationen zur EU-Richtlinie NIS2 gerne den oben genannten Blog-Beitrag.

In diesem Artikel möchten ich Ihren Blick auf die generellen Wettbewerbsvorteile eines wirksamen ISMS lenken und, so hoffe ich, Sie für die essentielle Bedeutung dieses Themas in Ihrem Unternehmen sensibilisieren.

Was ist das Ziel eines Informationssicherheitsmanagementsystem und inwiefern profitiert Ihre Organisation von der Implementierung?

Ein ISMS unterstützt Sie dabei, die IT-Risiken Ihrer Organisation klar zu identifizieren, zu bewerten und angemessene Maßnahmen zur Risiko-Minderung zu ergreifen. Die Risiken und Maßnahmen werden mithilfe entsprechender Umsetzungshilfen, wie der ISO 27001, dem IT-Grundschutz oder branchenrelevanten Normen (z. B. B3S), kontextabhängig erarbeitet. So sind die von Ihnen ergriffenen Informationssicherheitsmaßnahmen stets auf Ihre Geschäftsabläufe und -ziele abgestimmt. Die IT-Sicherheits-Prozesse und Verfahren zur Gewährleistung der Informationssicherheit entfalten so ihr gesamtes Potenzial. Um Ihr ISMS von Beginn an strukturiert und effizient aufzusetzen, ist die Nutzung einer dafür ausgelegten Software, wie z. B. dem SAVISCON GRC-COCKPIT, empfehlenswert.

Warum stellt ein ISMS einen Wettbewerbsvorteil dar?

Die Digitalisierung deutscher Unternehmen nimmt (wenn auch verzögert) weiter an Fahrt auf. Ein höherer Digitalisierungsgrad Ihrer Organisation verlangt zwangsläufig einen höheren Grad an IT-Sicherheit. Digitalisierung und IT-Sicherheit bilden eine untrennbare Einheit und müssen im Gleichschritt aufgebaut werden. Ein ISMS sichert als grundlegendes Fundament Ihre zukünftige Geschäftsfähigkeit ab. Es stellt somit tatsächlich einen Wettbewerbsvorteil für die Organisationen dar, die es umgesetzt haben oder in der Umsetzung sind, und zwar aus folgenden Gründen:

  1. Kundenvertrauen: Unternehmen, die ein ISMS implementieren, zeigen ihren Kunden und Partnern, dass sie die Sicherheit ihrer Informationen ernst nehmen. Kunden legen zunehmend Wert auf die Sicherheit ihrer persönlichen Daten und Geschäftsinformationen. Ein robustes ISMS kann dazu beitragen, das Vertrauen der Kunden zu gewinnen und sie dazu ermutigen, mit dem Unternehmen zusammenzuarbeiten.
  2. Reduzierung von Sicherheitsvorfällen: Ein gut durchdachtes ISMS kann dazu beitragen, das Risiko von Sicherheitsvorfällen wie Datenlecks, Cyberangriffen und anderen Sicherheitsverletzungen zu minimieren. Durch die Vermeidung von Sicherheitsvorfällen können Unternehmen kostspielige Ausfallzeiten, Reputationsschäden und finanzielle Verluste verhindern.
  3. Schutz von Innovationen und geistigem Eigentum: Ein ISMS kann dazu beitragen, wertvolle Informationen und geistiges Eigentum vor unbefugtem Zugriff oder Diebstahl zu schützen. Unternehmen, die in der Lage sind, ihre innovativen Ideen und geistigen Eigentumsrechte zu schützen, können einen Wettbewerbsvorteil gegenüber Unternehmen haben, die dies nicht tun.
  4. Business Continuity und Resilienz: Ein ISMS hilft Organisationen, sich auf Sicherheitsvorfälle vorzubereiten. Dies umfasst z. B. die Implementierung von Notfallplänen, Backup-Systemen, Redundanzmaßnahmen und Wiederherstellungsstrategien. Durch die Gewährleistung der Geschäftskontinuität und Resilienz können Organisationen besser auf Sicherheitsvorfälle reagieren und den Betrieb besser aufrechterhalten oder bei Eintritt eines Vorfalls schneller wieder herstellen.
  5. Erfüllung von Compliance-Anforderungen: Viele Branchen und Länder haben strenge Vorschriften und Compliance-Anforderungen im Hinblick auf Informationssicherheit. Ein ISMS hilft Unternehmen, diese Anforderungen zu erfüllen und Risiken von Strafen und rechtlichen Konsequenzen zu minimieren. Unternehmen, die in der Lage sind, ihre Informationssicherheit nachzuweisen und Compliance-Anforderungen zu erfüllen, können im Wettbewerb mit anderen Unternehmen einen Vorteil haben.
  6. Risikomanagement: Ein ISMS unterstützt Organisationen bei der Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken. Durch proaktives Risikomanagement können Organisationen Bedrohungen frühzeitig erkennen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren oder zu eliminieren.
  7. Effiziente Geschäftsprozesse: Ein ISMS umfasst die Identifikation und Bewertung von Risiken sowie die Implementierung von Sicherheitsmaßnahmen, um diese Risiken zu minimieren. Durch eine effektive Risikobewertung und -bewältigung können Unternehmen ihre Geschäftsprozesse optimieren und unnötige Risiken in den Prozessen reduzieren. Effiziente Geschäftsprozesse können zu Kosteneinsparungen führen, die in einem wettbewerbsintensiven Marktumfeld einen Vorteil verschaffen können.

Fazit

Die Argumente zeigen es aus meiner Sicht eindeutig: ein ISMS zu implementieren stellt in der heutigen digitalen Welt zunehmend einem wichtigen Wettbewerbsvorteil dar. Unternehmen, die noch kein ISMS haben, sollten sich ernsthaft mit dem Thema auseinandersetzen und die Vorteile, die die Implementierung bietet, nutzen. Wie sieht es in Ihrem Unternehmen aus? Lassen Sie uns gerne in den Austausch gehen.

NIS2 Whitepaper

Sie möchten alle Hintergrundinformationen zu NIS2 in einem PDF-Dokument nachlesen? Dann laden Sie sich jetzt unser NIS2 Whitepaper herunter:

 

NIS2 Whitepaper herunterladen

 

Über den Autor

Foto Ingo Simon

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:

XING Profil Ingo Simon LinkedIn Profil Ingo Simon

Business Continuity Management: Was ist das?

BSI Standard 200-4: Ein weiteres Management-System?

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Anfang 2021 hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) den Community Draft (CD) des „Standards 200-4 Business Continuity Management (BCM)“ vorgestellt. Dieser Standard soll in der zweiten Jahreshälfte 2021 den bisher gültigen „Standard 100-4 Notfallmanagement“ ablösen. Doch was ist Business Continuity Management überhaupt? Müssen wir von vorne anfangen und ein neues Managementsystem aufsetzen? Das besprechen wir in diesem Blog-Beitrag:

Was ist Business Continuity Management?

Mit Business Continuity Management ist gemeint, dass gefährliche Situationen, die die Geschäftsfähigkeit von Unternehmen ganz oder teilweise beeinträchtigen können, bereits im Vorfeld identifiziert und antizipiert werden. Für den Fall eines Eintritts werden dann entsprechende Vorsorgestrategien und Maßnahmen entwickelt. So soll erreicht werden, dass die Geschäftsfähigkeit in Notfällen nicht zum Erliegen kommt, beziehungsweise schnellstmöglich wieder hergestellt werden kann, und das Unternehmen nicht durch das Ereignis gefährdet wird.

Wie startet man mit BCM?

Als erstes wird das Unternehmen analysiert und alle unternehmenskritischen Prozesse evaluiert. Diese wesentlichen Prozesse werden dann im nächsten Schritt in den Fokus genommen. In einem Risikoassessment muss evaluiert werden, welche Risiken es in Bezug auf diese Prozesse gibt, die potenziell existenzgefährdend sind. Es werden dann Vorsorge-Maßnahmen definiert, durch die das Unternehmen bereits im Vorhinein geschützt werden kann. Welche wesentlichen Risiken es für kleine und mittelständische Unternehmen gibt, haben wir bereits in einem anderen Blog-Beitrag behandelt: Wesentliche Risiken für kleine und mittelständische Unternehmen.

Im Grunde unterliegt das Business Continuity Management, wie alle gängigen Management-Systeme – auch dem Plan-Do-Act-Check-Zyklus (PDCA-Zyklus) und ist Teil eines kontinuierlichen Verbesserungsprozesses:

PDCA Grafik

Standard 100-4 vs. 200-4

Jetzt fragen Sie sich vielleicht: Ist meine bisherige Arbeit zum Standard 100-4 hinfällig? Nein, ist sie nicht! Denn das Notfallmanagement ist nach wie vor Teil des Business Continuity Managements. Oben haben wir von Vorsorgemaßnahmen (proaktiv) gesprochen. Doch tritt ein katastrophales Ereignis trotz allem ein, werden die Notfallmaßnahmen (reaktiv) ja trotzdem benötigt. Sie können alles bisher Erarbeitete also weiterverwenden und ergänzen. Der weiterentwickelte Standard beschreibt, wie die Synergien zwischen ISMS und BCMS sowie Krisenmanagement optimal genutzt und wo Schnittstellen sinnvoll eingebaut werden können.

Stufenmodell BSI Standard 200-4

Der Standard 200-4 ist ein Stufenmodell mit unterschiedlichen Vorgehensweisen. So kann jede Institution, je nach Art, Größe und Branche, den passenden Einstieg wählen:

Reaktiv-BCMS

Das Reaktive-BCMS ist vor allem für Unternehmen geeignet, die als Ziel haben, besonders für mögliche Notfälle gewappnet zu sein und schnell reagieren zu können. Dabei greifen die Unternehmen auf bereits vorhandene Sicherheits- und Vorsorgemaßnahmen zurück und setzen sich nur mit ausgewählten, zeitkritischen Unternehmensprozessen auseinander. Andere BCM-Maßnahmen werden beim Reaktiv-BCM vorerst zurückgestellt, weil die Analyse im ersten Schritt zu aufwändig wäre. Dies wird dann beim Wechsel in das Aufbau- bzw. Standard-BCMS nachgeholt. Dieser Wechsel ist nötig, denn das Reaktiv-BCMS stellt nur einen stark vereinfachten Einstieg dar und muss zum Aufbau bzw. Standard-BCMS weiterentwickelt werden.

Zusammenfassend halten wir fest:

  • dient als vereinfachter Einstieg
  • Notfallbewältigung wird ermöglicht
  • Fokus liegt auf den „überlebensnotwendigen“, zeitkritischen Geschäftsprozessen

Aufbau-BCMS

Auch das Aufbau-BCMS steht für den Schutz von zeitkritischen Geschäftsprozessen und Assets eines Unternehmens. Hierbei wird zunächst der Prozessumfang eines Geltungsbereiches näher analysiert und innerhalb des BCM abgesichert. Vorteil gegenüber dem Standard-BCMS: Die Unternehmen können ihre zeitlichen- und personellen Ressourcen schrittweise festlegen und nach dem ersten Zyklus mit den gewonnenen Erfahrungen anpassen und verbessern. Unternehmen, die über geringe Erfahrungswerte verfügen und ihr BCMS schrittweise sowie risikoorientiert aufbauen wollen, sind mit dem Aufbau-BCMS gut beraten.

Zusammenfassend halten wir fest:

  • erleichtert den Übergang zum Standard-BCMS
  • Formalisierung der Methodik
  • zusätzliche Geschäftsprozesse werden betrachtet

Standard-BCMS (mit ISO 22301:2019 kompatibel)

Beim Standard-BCMS werden alle Geschäftsprozesse analysiert, die im Geltungsbereich des BCM liegen. Das entspricht laut BSI einem vollständigen und angemessenen BCMS und wird allen Stakeholdern gerecht. Mit Einführung des Standard-BCMS werden alle zeitkritischen Geschäftsprozesse entsprechend des Ausfallrisikos mittels Vorsorge- und Notfallmaßnahmen abgesichert. Wenn ein Unternehmen diesen Status erreicht hat, kann es sich für die Zertifizierung nach ISO-Standard 22301 qualifizieren.

Zusammenfassend halten wir fest:

  • Empfehlung vom BSI für alle Institutionen
  • vollständiges BCM
  • ISO 22301 kompatibel
  • Untersuchung aller Geschäftsprozess

Reicht mein ISMS noch aus?

Laut BSI reicht ein reguläres Informationssicherheits-Management-System (ISMS) nicht mehr aus. Ein Business Continuity Management-System (BCMS) gehe tiefer, da es beschreibt, wie der Geschäftsbetrieb, falls er ausgefallen ist, so schnell wie möglich wieder aufgenommen werden kann. Daher müsse es als ein weiteres, korrespondierendes Management-System eingeführt werden.

Wir empfehlen im Sinne der Digitalisierung, dass sich Unternehmen beim Neuaufbau Ihres BCM (oder generell eines jeden Management Systems) direkt für eine Umsetzung in einer geeigneten Software entscheiden, die alle Management-Systeme abbilden kann und die einzelnen Risiken und Maßnahmen sinnvoll miteinander verbindet.

Genau das machen wir im SAVISCON GRC-COCKPIT. So können die Risiken und Gegenmaßnahmen auch abteilungsübergreifend und Management-System übergreifend durchgängig und effizient erfasst werden. Alle notwendigen Informationen sind in konsolidierter Form im System vorhanden. Im Übrigen wird durch die Dokumentation im GRC-COCKPIT auch der jeweilige Audit-Prozess pro Management-System wesentlich effizienter abgewickelt werden können.

Grafik Management-Systeme

Die Management-Systeme eines Unternehmens.

Wann erscheint die finale Fassung des Standard 200-4?

Bis Juni 2021 konnte der Community Draft kommentiert werden. Im Nachgang werden die Kommentare eingearbeitet und die Veröffentlichung des finalen Standards ist für die zweite Jahreshälfte geplant. Ein genaues Datum steht nicht fest, da man den Umfang des Anwender-Feedbacks nicht einschätzen kann. Sobald der Standard 200-4 vom BSI offiziell herausgegeben wird, werden wir Sie hier informieren.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446

Quellen:

BSI-Webseite: BSI-Standard 200-4

Community Draft BSI-Standard 200-4