Christian Zänker, unser Normen-Experte, hat sich wieder einmal in die Tiefen des ISO 22301 vorgearbeitet und sehr interessante Erkenntnisse hinsichtlich der normengerechten Identifikation der rechtlichen und regulatorischen Anforderungen an das BCM herausgearbeitet. Da sind sicherlich in vielen Organisationen noch Hausaufgaben zu erledigen, bis dieser Prozess idealtypisch abläuft. Zumal auch hier wieder viele Disziplinen gut verzahnt ineinandergreifen müssen.

Legal and regulatory requirements

Die Welt des guten alten BCM hat sich geändert. Früher war sie überschaubar, oder zumindest schien es so und auch die Anforderungen waren noch so gehalten, dass man sich mit ein wenig Geschick im Formulieren und einem Blick ins Internet „sauber halten“ konnte. Dies galt vor allem für die Frage nach den rechtlichen und regulatorischen Anforderungen.

Es ging um die „Ermittlung relevanter Normen, Gesetze und Vorschriften“, aber es wurde nirgendwo konkret, was Inhalt dieser Anforderung sein sollte. In der BIA sollten Veränderungen im Unternehmensumfeld berücksichtigt werden, zu denen natürlich auch die gesetzlichen Rahmenbedingen zählten, oder diese zumindest als Aspekt aufgelistet wurden, der betrachtet werden sollte. Dementsprechend wurde unter der Schadenskategorie „Rechtliche und regulatorische Verstöße“ zumeist nur vage die MaRisk, Basel II oder Kritis angedeutet, weil das wichtig klang und einem ansonsten nicht viel dazu einfiel.

Die ISO 22301:2012 forderte zumindest ein Verfahren, nach dem diese Anforderungen erhoben werden sollten. In der ISO 22301:2019 wird nunmehr, neu, ein Prozess gefordert. Unter Prozess wird per Definition verstanden “Process: set of interrelated or interacting activities which transforms inputs into outputs” cl. 3.26. Die Inhalte dieser Anforderung sind nicht zu unterschätzen. Sie eröffnen den Prüfern und Revisoren ein weites Feld bei der Bewertung der Compliance:

“4.2.2 Legal and regulatory requirements
The organization shall:
a)          implement and maintain a process to identify, have access to, and assess the applicable legal and regulatory requirements related to the continuity of its products and services, processes, activities and resources;
b)          ensure that these applicable legal, regulatory and other requirements are taken into account in implementing and maintaining its BCMS;
c)          document this information and keep it up-to-date.”

Nun sind BCM Verantwortliche in der Regel keine ausgebildeten Juristen, andere haben allenfalls ihren Dr. Google gemacht und üben sich in bester Tradition im Abschreiben nicht verifizierter Quellen. Übersichten, wie z.B. (früher) vom BCI zur Verfügung gestellt, sind sehr schnell veraltet https://www.bcm-news.de/2016/01/15/neue-uebersicht-bcm-legislations-regulations-standards-produced-by-the-bci/ wenn sie nicht kontinuierlich aktualisiert werden. Darüber hinaus führen generelle Übersichten gesetzlicher, regulatorischer und normbasierter Anforderungen nur dazu, dass man in einer Flut nicht relevanter Informationen den Überblick verliert, welche davon für die eigene Organisation gelten und welche darüber hinaus Auswirkungen auf das Business Continuity Managementsystem (BCMS) haben und berücksichtigt werden müssen.

Was bedeutet nun die Anforderung an einen Prozess. Wenn wir Business Continuity als Managementsystem betrachten, ist es risikobasiert und prozessgesteuert. Die Prozesssicht (©BSi Group ISO 22301 Lead Auditor) veranschaulicht die Anforderung.

Zu jedem Prozess muss der geforderte Input und der erwartete Output definiert sein. In diesem Fall die Anforderung der ISO 22301 cl. 4.2.2 als Input und der Feststellung der geltenden und für das BCMS relevanten rechtlichen und regulatorischen Anforderungen als Output. So weit, so einfach.

Nach 4.2.2.a) muss dieser Prozess drei Schritte beinhalten:

1. die Identifikation der Anforderungen
2. den Zugriff auf die Anforderungen
3. die Bewertung der Anforderungen,

die sich auf die Produkte und Dienstleistungen und die zu ihrer Erbringung benötigten Steuerungs- und operativen Prozesse und die von ihnen benötigten Ressourcen beziehen.

Diese geltenden Anforderungen sind bei der Implementierung und Aufrechterhaltung des BCMS zu berücksichtigen (4.2.2.b). Um welche Anforderungen kann es sich hierbei handeln?

Legal requirements können sowohl gesetzliche, als auch rechtliche Anforderungen sein. Jede Organisation ist an geltendes Recht/Gesetze gebunden und zur Einhaltung vertraglicher Vereinbarungen verpflichtet. An dieser Stelle müssen z.B. auch die SLAs berücksichtigt werden, die man mit Kunden / Auftraggebern geschlossen hat. Auch diese stellen rechtliche Anforderungen dar, denen sich die Organisation unterworfen hat, die es zu erfüllen gilt und die eventuell über ein BCMS abzusichern sind.

Ob in einem ausgerufenen Notfall / einer Krise, durch die die reguläre Linienorganisation außer Kraft gesetzt wird, eine Betriebsverfassung und Mitbestimmungspflicht gilt, diese Frage wird in der Regel verneint. Eine Krise, in der die Entscheidungskompetenz dem Leiter Krisenstab übertragen wird, ist nicht mitbestimmungspflichtig. Aber die Grundanforderungen der Arbeitssicherheit sind auch in einem Notfall zu befolgen und das Grundrecht auf Informationelle Selbstbestimmung, das im Bundesdatenschutzgesetz und in der Datenschutzgrundverordnung niedergelegt ist, ist auch im Notfall zu achten. Mitarbeiterdaten dürfen nur mit Zustimmung der Betroffenen in Calltrees und Alarmierungslisten etc. verarbeitet werden und zugänglich sein.

Diese Beispiele sollen genügen, um zu zeigen, wie komplex die Thematik ist. Dazu kommen eine vielschichtige Zahl branchenspezifischer regulatorischer Anforderungen, Normen, Industriestandards und Best Practices und je nachdem auch internationale Gesetze und Regularien.

Deswegen scheint hier auch der Prozessansatz berechtigt zu sein. Wenn diese komplexe Materie nicht mehr beiseite geschoben und nur oberflächlich abgehandelt werden soll, ist in einem Prozess siehe oben festzulegen,

• von wem,
• mit welcher Verantwortung
• mit welchen Skills and Knowledges
• unter Rückgriff auf welche Ressourcen,
• nach welchen Methoden und Verfahren
• diese Daten aufbereitet werden und
• wie die Resultate gemessen und überprüft werden sollen

womit auch wieder der Managementsystemen zugrunde liegende P-D-C-A Zyklus (Plan Do Check Act) zur Anwendung kommt.

Von wem, mit welchem Wissen und Fähigkeiten? Wie eingangs gesagt, arbeiten die Hausjuristen in der Regel nicht im BCM, sondern für die Rechtsabteilung (Legal & Complience) oder die Rechtsberatung ist als ganzes an externe Kanzleien ausgelagert. Hier sollte, vom BCM Verantwortlichen initiiert, eine Entscheidung des (Top) Managements herbeigeführt werden, die Identifikation und Bewertung an die fachlich kompetenten Einheiten zu delegieren oder auszulagern. Die Erfüllung (oder Nichterfüllung) der BCM relevanten Anforderungen liegt bei BCM und die Gesamtverantwortung wiederum bei der Geschäftsleitung. Deshalb sollte es auch in deren Eigeninteresse liegen, hierzu verlässliche Anforderungen aufzustellen.

Um die Anforderung der 22301 abzurunden, sind die Ergebnisse dieses Prozesses als dokumentierte Information aufzubewahren und aktuell zu halten (4.2.2.c). Als Lösungsansatz kommt mir hierfür die aus der Informationssicherheit bekannte SoA in den Sinn. Die ISO 27001 führt in ihrem Anhang A 133 Controls auf, deren Anwendbarkeit und Umsetzung in einer Anwendbarkeitserklärung (Statement of Applicability – SoA) dokumentiert wird.

Für jede rechtliche, regulatorische oder andere Anforderung (z.B. organisationseigene Richtlinien und Anweisungen) ist auf einer Zeile zu vermerken,

• welche Anforderung identifiziert wurde,
• was Kern dieser Anforderung ist
• ihre Umsetzung in der Organisation (ja/nein)
• wenn ja, wo dies dokumentiert ist
• wenn nein, die Begründung der Nichtanwendung

Diese Erhebung und Bewertung der rechtlichen und regulatorischen Anforderungen, die grundlegend für den Kontext der Organisation ist, in dem diese handelt, 4.2 Understanding the needs and expectations of interested parties, und die Feststellung ihrer Anwendbarkeit, sollten Bestandteil jedes Managementreviews sein und somit in regulären Abständen aktualisiert werden. Dann erzeugt der Managementsystemprozess aus sich heraus die Nachweise (documented information), die man jederzeit den internen und externen Prüfern vorlegen kann – und auf die diese gerne zugreifen werden.

Christian Zänker, bcmpartner, ist Berater für Business Continuity Managementsysteme und Tutor der BSi Group Deutschland in Frankfurt am Main