Aktuelles zum IT-Sicherheitsgesetz

Abgelegt in: 1 Antwort

Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Bereits die ersten Entwürfe des Gesetzes wurden heftigst diskutiert. Die Spannungskurve ist nach der Verabschiedung allerdings nicht abgesunken, da viele Fragen erst durch Rechtsverordnungen geklärt und festgelegt werden müssen. Hierzu gehören die betroffenen Unternehmen und Dienstleistungen wie auch die konkreten Anforderungen aus dem Gesetz. Dass das IT-Sicherheitsgesetz keine langweilige und trockene Angelegenheit wird, zeigte die Veranstaltung der Gesellschaft für Informatik zu diesem Thema am vergangenen Freitag in Frankfurt. Trotz Streiks bei der Lufthansa war die Veranstaltung sehr gut besucht. Den Gastgeber Bahn hat dies natürlich auch sehr gefreut ;-). Weiterlesen…

BaFin veröffentlicht vier neue Konsultationsverfahren u.a. zu den MaRisk

Abgelegt in: Antworten

Die am 26. April vom BaFin auf deren Webseite veröffentlichten Überarbeitungen betreffen

  • die MaRisk
  • die MaComp
  • das Merkblatt zu AR- und VR-Mitgliedern
  • das Provisionsabgabe- und Vergünstigungsverbot.

Der für das BCM maßgebliche Abschnitt AT 7.3 in den MaRisk ist im Konsultationspapier unverändert aus der aktuell gültigen Fassung übernommen. Hieraus ergeben sich für das BCM keine direkten Implikationen aus der Neufassung. Die vorgesehenen Anpassungen der MaRisk sind im Konsultationspapier dokumentiert.

http://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2012/meldung_120426_konsultationen.html

Interxion lässt Rechenzentrum in der Schweiz nach ISO 27001 und BS 25999 zertifizieren

Abgelegt in: 1 Antwort

Interxion hat sein Rechenzentrum in Glattbrugg in der Schweiz erweitert und technologisch modernisiert. Im Rechenzentrum werden den Kunden Rechenzentrumsflächen und Infrastruktur wie hochverfügbare Stromversorgung und Konnektivitätsoptionen zu verschiedenen Providern angeboten. Laut Bericht des swissitmagazine wurden die Räumlichkeiten und Infrastruktur nach ISO 27001 und BS 25999 zertifiziert.

Umfrage zum Konzept des mtpd auf continuitycentral

Abgelegt in: Antworten

Das Konzept des maximum tolerable period of disruption (mtpd) hält die BCM-Community in Atem. Trotz der Veröffentlichung einer Berichtigung und Detaillierung des BCM-Standards BS 25999 zum Konzept des MTPD im Juni 2009 (Bericht hierzu in den bcm-news) herrscht noch keine Einigkeit und Klarheit zur Verwendung des mtpd. Insbesondere in den amerikanischen und britischen BCM-Foren wird dieses Thema zur Zeit wieder heiß diskutiert. Besonders betroffen von dieser Unsicherheit sind die Unternehmen, die sich nach dem Standard BS 25999-2 zertifizieren lassen wollen.

Auf continuitycentral gibt es jetzt eine Umfrage zum Verständnis und Einsatz des mtpd. Ich bin gespannt auf die Ergebnisse der Umfrage.

BaFin veröffentlicht ersten Entwurf der überarbeiteten MaRisk für Banken

Abgelegt in: Antworten

Das BaFin hat am 09. Juli 2010 den ersten Entwurf zur neuerlichen Überarbeitung der MaRisk für Banken veröffentlicht.

Der für das Business Continuity Management maßgebliche AT 7.3 ist in diesem ersten Entwurf unangetastet geblieben. Hier sind demzufolge keine (größeren) Änderungen zu erwarten. Dies wäre auch überraschend gewesen.

Interessant aus BCM-Sicht sind jedoch auch die Änderungen, die in diesem Entwurf vorgenommen wurden. Insbesondere die Änderungen in AT 4.2 “Strategien” halte ich für bemerkenswert. Betont wird noch einmal, dass der “Inhalt der Geschäftsstrategie allein in der Verantwortung der Geschäftsleitung liegt”. Die Inhalte der Geschäftsstrategie sind daher auch nicht Gegenstand von Prüfungen. Sehr wohl aber der prozessuale Rahmen für die Erstellung der Geschäftsstrategie, bestehend aus “Planung, Anpassung, Umsetzung und Beurteilung”. Nichts anderes als der uns aus dem BCM-Standard BS 25999-2 und anderen ISO-Standards wohlbekannte PDCA (Plan-Do-Check-Act) Zyklus. Für das BCM lässt sich aus der stärkeren Fokussierung der Aufsicht auf die Prozesse für die Geschäfts- und Risikostrategie und der eindeutigen Zuordnung der Verantwortung für die Inhalte der Strategien zu der Geschäftsleitung eine äquivalente Betrachtung ableiten.

Die inhaltlicher Verantwortung für die Festlegung des Risikos, das im BCM getragen wird, liegt bei der Geschäftsleitung. Dies beinhaltet beispielsweise die Festlegung der zeitkritischen Prozesse, für die Notfallkonzepte und Notfallplanungen erstellt werden (Risikoakzeptanzniveau). Die Geschäftsleitung kann hier, je nach Risikoappetit, risikofreudig oder eher risikoavers entscheiden. Von zentraler Bedeutung und Gegenstand der aufsichtlichen Prüfungen sind jedoch die Prozesse des BCM. Hierzu zählen beispielsweise die Prozesse

  • zur Ermittlung der zeitkritischen Prozesse (Business Impact Analyse)
  • zur Identifikation der relevanten Risiken (Risikoanalyse)
  • zur Festlegung der verfügbaren Notfallstrategien
  • zur Erstellung der Notfallkonzepte und Geschäftsfortführungs- und Wiederanlaufpläne
  • zur Überprüfung der Wirksamkeit der Maßnahmen in Form von Tests und Übungen.

Hinzu kommt die Festlegung der Organisation des BCM mit der Definition der Rollen, Aufgaben und Kompetenzen zum Beispiel in Form einer BCM-Policy.

Diese Prozesse müssen nicht nur vorhanden, sondern für ein externes oder internes Audit auch angemessen dokumentiert sein. Die Einhaltung der Prozesse und Aktualisierung muß in der BCM-Organisation zum Beispiel durch eine zentrale BCM-Verantwortung sichergestellt sein.

Standards helfen bei der Definition und Dokumentation der Prozesse. Im BCM sind dies insbesondere die Standards BS 25999-1, -2 und der deutsche Standard für Notfallmanagement BSI 100-4. Die in diesen Standards beschriebenen BCM-Prozesse bilden den PDCA-Zyklus, wie in den MaRisk gefordert, vollständig ab. Eine sehr gute Hilfe für die Implementierung der BCM-Prozesse sind auch die Good Practice Guidelines des BCI, die gerade in einer überarbeiteten neuen Version erschienen sind. Leider nicht mehr kostenlos für Nicht-Mitglieder, aber allemal das Geld wert.

VP Bank in Vaduz nach BS 25999-2 zertifiziert

Abgelegt in: Antworten

Die VP Bank in Vaduz wurde im Dezember 2009 nach dem BCM-Standard 25999-2 zertifiziert. Wie sich mit der Zertifzierung auch etwas Positives für das Image einer Bank tun lässt, zeigt die Homepage der VP Bank:

“Sicherheit und Vertrauen

Die erlangten Zertifikate reflektieren den hohen Sicherheitsstandard innerhalb der VP Bank. Sicherheit und Vertrauen sind Elemente, die feste Bestandteile des Bankings sind. Mit der Auszeichnung BS 25999-2 (Business Continuity Management – BCM) wird der VP Bank bescheinigt, dass sie das «Überleben des Unternehmens» bei Geschäftsunterbrüchen etwa in Folge von Gebäudeverlusten und Ausfällen von Personal oder Ressourcen sicherstellen kann. Aufbauend auf den Kerngeschäftsprozessen und starker Unterstützung durch die oberste Führung konnte das BCM-System erfolgreich in die bestehenden Businessprozesse integriert werden. Die VP Bank ist heute ausserhalb des angelsächsischen Raums die erste Bank, welche diese Auszeichnung entgegennehmen durfte.”

Neue BCM-Standards in den USA

Abgelegt in: Antworten

Es gibt aktuelle neue Entwicklungen bei den BCM-Standards in den USA. Auf der einen Seite erfährt der amerikanische BCM Standard der National Fire Protection Association NFPA 1600 eine grundlegende Überarbeitung. Das Technical Committee des NFPA arbeitet derzeit an der NFPA 1600 2010 Edition, die im April 2010 veröffentlicht werden soll.

Überarbeitet werden insbesondere die Inhalte des Standards zum Programm-Management, zur Business Impact Analyse und zur BC Planung. Detailliertere Informationen zur Überarbeitung des Standards gibt es in diesem Podcast. Umfangreiche weiterführende Informationen und Links zum BCM-Standard NFPA 1600 und dessen Weiterentwicklung gibt es auf diesen Seiten.

Auf der anderen Seite haben ASIS International (ASIS) und das britische BSI gerade die gemeinsame Entwicklung eines neuen amerikanischen BCM-Standards auf Basis des BS 25999 angekündigt. Dieser neue Standard soll ebenfalls eine nationale und internationale Zertifizierung des BCM-Systems erlauben. ASIS wird ein Technical Committee einrichten, das die Entwicklung des neuen Standards betreibt, gemeinsam mit Vertretern des BSI und der Industrie. Erst im April diesen Jahres hatte ASIS den eigenen BCM Standard “ASIS Organizational Resilience: Security, Preparedness, and Continuity Management Systems – Requirements with Guidance for Use American National Standard” veröffentlicht. bcm-news hatte hierüber ausführlich berichtet.

Der Wettlauf um die vorderen Plätze bei der Entwicklung eines ISO-Standards für Business Continuity scheint entbrannt zu sein. Auch ist die BCM-Zertifizierung ein international wachsender und lukrativer Markt. Dies gilt im Moment insbesondere für den angelsächsischen und asiatischen Raum. In Deutschland stehen wir bei dieser Entwicklung derzeit eher am Seitenrand und schauen zu. Meine persönliche Erwartung ist jedoch, dass mittelfristig insbesondere die Service Provider unter zunehmenden Druck kommen, einen objektiven Nachweis für ihr Business Continuity Management System, vergleichbar mit dem Qualitäts- und Sicherheitsmanagementsystem, zu erbringen. Die Zertifizierung des BCM ist dann natürlich das Mittel der Wahl für diesen Nachweis.

Zu diesem Thema verweise ich auch gerne auf den Kommentar von Uwe Naujoks, unserem international erfahrenen Zertifizierungs-Experten, auf meinen letzten Artikel zu BCM-Standards in den bcm-news.

Bundesbank überprüft Pandemievorsorge der Banken

Abgelegt in: 1 Antwort

Nachdem die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vor Kurzem bereits die Versicherungen nach dem Stand ihrer Pandemievorsorge abgefragt hat (bcm-news berichtete), sind jetzt die Banken und Sparkassen an der Reihe. Damit soll sichergestellt werden, dass im Falle einer Pandemie der normale Geschäftsbetrieb aufrecht erhalten werden kann. Weiterlesen…

BaFin veröffentlicht die Neufassung der MaRisk für Banken

Abgelegt in: Antworten

Heute hat das BaFin die Neufassung der MaRisk für Banken veröffentlicht. Die Änderungen sind in der Anlage 2 der Neufassung dokumentiert.

Die Inhalte des AT 7.3 “Notfallkonzept” sind unverändert geblieben.

Für Institutsgruppen, Finanzholdings und Finanzkonglomerate sind die Anforderungen an das Risikomangement auf Gruppenebene, die in AT 4.5 beschrieben sind, von besonderer Relevanz für die Umsetzung des Business Continuity Managements in der Gruppe.

Link zur Neufassung der MaRisk

Ist der RTO immer kürzer als der MTPoD?

Abgelegt in: Antworten

Vor Kurzem ist eine Berichtigung für den Standard BS 25999 erschienen. Die Berichtigung beinhaltete die Definitionen von Maximum Tolerable Period of Disruption (MTPoD) und RTO (Recovery Time Objective).

Nicht verändert hat sich nach meinem Verständnis die Vorgabe im Standard, dass der RTO kürzer zu sein hat als der MTPoD für einen Prozess. Weiterlesen…