Der überarbeitete BSI-Standard 200-4 „Business Continuity Management“ bietet dann eine systematische und praxisnahe Anleitung zum Aufbau und Betrieb eines nachhaltigen Business Continuity Management Systems (BCMS). Gegenüber seinem Vorgänger betrachtet der neue Standard das Thema Business Continuity Management ganzheitlicher und geht gezielter auf die Schaffung einer allumfassenden Resilienz der Institution ein.
Der neu entwickelte Standard löst seinen Vorgänger, den BSI-Standard 100-4, ab
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist nach eigener Aussage „die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland“. Dass insbesondere die Verfügbarkeit von Informationen und Informationssystemen nicht ausschließlich auf technische Aspekte beschränkt ist, sondern eine holistische Betrachtung der eigenen Organisation erfordert, hat das BSI frühzeitig erkannt. Daher bot das BSI bereits ab 2008 mit dem BSI-Standard 100-4 „Notfallmanagement“ ein fachliches Fundament aus Methoden, Anleitungen und Empfehlungen zur Gewährleistung des Notfallmanagements für Institutionen an. Um dieses Arbeitswerkzeug für Behörden und Unternehmen den inzwischen in vielen Bereichen veränderten Rahmen- und Arbeitsbedingungen anzupassen, veranlasste das BSI eine grundlegende Modernisierung des Standards, die mit der Veröffentlichung des Community Draftes des BSI-Standards 200-4 „Business Continuity Management“ am 27.09.2022 vollzogen wurde und bis zum 30.11.2022 kommentiert werden kann.
Die Grundlagen der Modernisierung wurden erstmalig im Rahmen des am 19. Januar 2021 von BSI und HiSolutions durchgeführten IT-Grundschutz-Tages 2021 präsentiert. Als Co-Autor war HiSolutions im Auftrag des BSI bereits an der Entwicklung des Vorgängers, des BSI-Standards 100-4, maßgeblich beteiligt. Die nun modernisierte Neufassung trägt erneut die Handschrift des Beratungsunternehmens mit nachgewiesener Kompetenz in den Bereichen Security Consulting und IT-Management.
HiSolutions besitzt mit 30 Jahren Erfahrung die Kompetenz, Business Continuity Managementsysteme für Kunden individuell zu planen, zu überprüfen und fortlaufend verbessern zu können. Das Unternehmen beschäftigt zudem eine Vielzahl an zertifizierten Lead-Auditoren, unter anderem für die Standards ISO 27001 sowie ISO 22301. Entsprechend praxisnah und ganzheitlich konnten die Inhalte des BSI-Standards 200-4 durch HiSolutions entwickelt und hinsichtlich der Schnittstellen zu anderen Sicherheitsthemen konkretisiert werden.
Dies spiegelt sich u. a. im neuartigen Drei-Stufen-Modell wider. Die einfachste Stufe, das sogenannte „Reaktiv-BCMS“, erlaubt es Institutionen mit geringeren Ressourcen und wenig Vorerfahrung im Business Continuity Management (BCM), ihre Notfallfähigkeit aufzubauen. Das sogenannte „Aufbau-BCMS“ konkretisiert die Methodik eines BCMS-Aufbaus und umfasst weitere vorhandene Geschäftsprozesse. Dadurch ist es umfangreicher als die erste Stufe und ebnet so den Weg zum vom BSI empfohlenen „Standard-BCMS“. Dieses bildet die stärkste Ausprägung des Stufen-Modells ab, in der alle notwendigen Anforderungen berücksichtigt sind, um ein vollständiges und anforderungsgerechtes BCMS aufzubauen und bei Bedarf nach ISO 22301 zu zertifizieren.
Das Stufenmodell soll die Einstiegshürde in das Business Continuity Management erleichtern, einen Rahmen für die kontinuierliche Verbesserung schaffen und mit dem Standard-BCMS zudem eine Kompatibilität mit der internationalen Norm ISO 22301:2019 erreichen.
HiSolutions trägt als Co-Autor des BSI-Standards 200-4 wesentlich zur Modernisierung bei
„Wir sind stolz, mit unserer Beteiligung an der Weiterentwicklung des neuen BSI-Standards 200-4 erneut einen Beitrag zum Schutz von Unternehmen, Behörden und der Öffentlichkeit leisten zu können“, erklärt Prof. Timo Kob, Vorstand von HiSolutions. „Mit der Erweiterung vom Notfallmanagement zum vollumfänglichen Business Continuity Management betrachten und gestalten wir Sicherheit in Institutionen zeitgemäß und ganzheitlich.“
HiSolutions konnte aufgrund der knapp 30-jährigen Erfahrung in der Entwicklung und Beratung praxisnaher und langjährig erprobter BCM-Lösungen dazu beitragen, einen Leitfaden zu gestalten, der Institutionen jeder Branche und Größe sinnvoll unterstützt und anleitet.
„Mit dem im BSI-Standard 200-4 dokumentierten dreistufigen Modell versetzen wir Institutionen in die Lage, BCM auch mit geringen Vorkenntnissen und begrenzten Ressourcen effektiv umzusetzen. Dies kommt auch kleineren Institutionen zugute, die sonst den initialen Aufwand für dieses vermeintlich komplexe Thema scheuen“, erläutert Projektleiter Marcel Lehmann, Senior Manager bei HiSolutions. „Das übergeordnete Ziel ist dabei immer, resilient gegenüber vielfältigen Bedrohungen zu werden und nach Möglichkeit auf vorhandene Sicherheitsthemen, wie der Informationssicherheit, aufzusetzen.“
Um dies sicherzustellen, ermöglicht der neue Standard auch umfangreiche Synergien: Im IT-Grundschutz zwischen dem Managementsystem für Informationssicherheit und dem BCMS, aber auch zwischen BCMS und weiteren relevanten Managementsystemen und Disziplinen wie IT Service Continuity Management und Krisenmanagement. Weiterhin unterstützen die neu entwickelten umfassenden Hilfsmittel zum Beispiel bei der Etablierung einer Stabsstruktur, der Durchführung eines Soll-Ist-Vergleichs oder der Geschäftsfortführungs- bzw. Wiederanlaufplanung. Damit gewinnt der modernisierte Standard einen umfassenden, ganzheitlichen Blick auf das Business Continuity Management.
Gezielte Beratung von HiSolutions im Business Continuity & Krisenmanagement
Durch die unmittelbare Beteiligung an der Erstellung des neuen BSI-Standards 200?4 erfolgt die Beratung von HiSolutions passgenau, insbesondere hinsichtlich der neuen Anforderungen, Vorgehensweisen und Hilfsmittel:
- Unterstützung in der Auswahl der geeigneten BCMS-Stufe und Erarbeitung eines BCMS auf der Grundlage des BSI-Standards 200-4
- schneller Überblick über die relevanten Anforderungen für BCM-Erfahrene
- Unterstützung bei der Migration vom BSI-Standard 100-4 zum BSI-Standard 200-4
- Schaffung einer gesamtheitlichen Resilienz durch Einbindung aller relevanten Schnittstellen wie Informationssicherheit, IT-Service Continuity und Krisenmanagement