Notfallmanagement
| 1 Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vor- sorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen. Der Bericht kann auch im Rahmen der Berichterstattung des Informationssicherheitsbeauftragten erfolgen. | Zeitkritische Aktivitäten und Prozesse Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie der potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Auswirkungsanalysen In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: Art und Umfang des (im-)materiellen Schadens, Zeitpunkt des Ausfalls. Risikoanalysen In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeit- kritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen könnte. |
| 2 Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen. | Notfallkonzept Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert. Notfallszenarien Hierbei werden mindestens folgende Szenarien berücksichtigt: 1. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) 2. Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) 3. Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) 4. Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger). |
| 3 Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeit- kritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. | Überprüfungen des Notfallkonzeptes Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen. |