NINA ist die Notfall-Informations- und Nachrichten-App des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK). NINA warnt Sie deutschlandweit und – wenn Sie dies wünschen – standortbezogen vor Gefahren, wie z. B. Hochwasser und anderen sogenannten Großschadenslagen.

Link

Direktive für Netz- und Informationssicherheit (Network and Information Security Directive) der EU. Die Vertreter der EU-Kommission, des Europaparlaments und der Mitgliedstaaten haben sich im Dezember 2015 auf das erste europäische Gesetz zur Cybersicherheit geeinigt. Unternehmen der Kritischen Infrastrukturen müssen nach dieser Direktive Hackervorfälle melden und Mindestsicherheitsmaßnahmen umsetzen. Die EU-Mitgliedsländer müssen die Direktive in nationalen Gesetzen umsetzen. In Deutschland wurde im Sommer bereits das IT-Sicherheitsgesetz als Sammlung von Gesetzesänderungen beschlossen. Die NIS-Richtlinie kann zu Anpassungen im IT-Sicherheitsgesetz führen.
Link zur Pressemitteilung der EU:
http://www.europarl.europa.eu/news/en/news-room/20151207IPR06449/MEPs-close-deal-with-Council-on-first-ever-EU-rules-on-cybersecurity

Risiken, die zu keinen Geschäftsunterbrechungen durch physische Schäden führen (Feuer, Erdbeben etc.), aber trotzdem dem Unternehmen hohe finanzielle Schäden zum Beispiel in Folge von Reputationsverlusten zufügen können. Beispiel: Cyber-Attacken, geo-politische Risiken, Produktrückrufe.

Eine Norm ist durch ein geregeltes Normungsverfahren und dem Konsens aller am Verfahren beteiligten beschlossenes Regelwerk. Sie stellt den Stand von Wissenschaft und Technik dar. Die Nutzung dieses Regelwerks basiert auf Freiwilligkeit. Verbindlich werden Normen, wenn Sie Bestandteil eines Vertrages, Gesetzes oder einer Verordnung werden.
Organisationen, die Normen erarbeiten:

• DIN (Deutsches Institut für Normung e.V.)
• CEN (Europäisches Komitee für Normung (Comite` Europeèn de Normalisation))
• ISO ( International Organization for Standartization)
• IEC (Internationale Elektrotechnische Kommission).

Normen werden in Deutschland ausschließlich über die DIN vertrieben. Normen können in Deutschland ausschließlich über den Beuth-Verlag in Berlin bezogen werden (www.beuth.de)

Notbetrieb  beschreibt den eingeschränkten Betrieb eines Geschäftsprozesses nach einem Ausfall bzw. einer Unterbrechung. Der Notbetrieb wird für kritische Geschäftsprozesse im Rahmen der Business Impact Analyse des BCM beschrieben. Der Notbetrieb bezieht sich auf die Mindestanforderungen der Ressourcen eines Geschäftsprozesses, um dessen mindestens erforderliche Ergebnisse im Notbetrieb (MBCO) zu erreichen.

Leider gibt es keine einheitliche Begriffswelt im Business Continuity Management für die Bezeichnung von Geschäftsunterbrechungen. Gängige Bezeichnungen hierfür sind “Notfall”, “Krise”, “Katastrophe”. Der deutsche Standard BSI 100-4 verwendet diese Begriffe. In der Praxis werden jedoch auch auch Begriffe wie “Störfall” verwendet, die irreführend sind, da es eine Störfallverordnung gibt, die  Störfälle für die betroffenen Unternehmen regelt. Innerhalb eines Unternehmens führen unterschiedliche Begriffsverwendungen zu Missverständnissen. Zum Beispiel zwischen dem BCM und der IT. Die IT verwendet Begrifflichkeiten aus der ITIL-Welt und versteht unter einem IT-Notfall etwas anderes als das BCM. In der Zusammenarbeit mit anderen Unternehmen werden unterschiedliche Begriffsverwendungen ebenfalls zum Problem: was bedeutet es konkret, wenn ein Unternehmen den Notfall erklärt. Ist es schon die höchste Eskalationsstufe oder gibt es noch ein oder mehrere Eskalationsstufen zum Beispiel zur Krise und Katastrophe. Eine interne und externe Abstimmung der Begrifflichkeiten und der dahinter liegenden Bedeutung im Unternehmen ist daher zwingend. Ein Glossar bildet die Grundlage hierfür.

Der  Notfallplan dokumentiert den Notbetrieb eines Prozesses mit den Ersatzlösungen und Workarounds für die kritischen Ressourcen, die Schritte zur Einleitung des Notbetriebs sowie zum Wiederanlauf in den Normalbetrieb. Ergänzt wird der Notfallplan um Kontaktlisten, Wegbeschreibungen, Hersteller-, Lieferanten und Dienstleisterverzeichnisse.

Nach der zeitlichen Phase können Notfallpläne unterscheiden werden in

• Geschäftsfortführungsplan
• Wiederanlaufplan.

Dies müssen nicht zwingendermaßen zwei getrennte Planungsdokumente sein.

In einem Notfall bleibt keine Zeit, umfangreiche Planungsdokumente zu lesen. Auch Piloten arbeiten im Notfall stringent die jeweiligen Checklisten ab. Ich teile daher die Notfallplanung in zwei Teile auf:

1. Notfallkonzepte:
   Notfallstrategien und -taktiken für die Prozesse und Ressourcen. Diese beinhalten die Beschreibung der Ausweich- und Ersatzlösungen für Prozesse und Ressourcen
2. Notfallchecklisten:
   Checklisten für Sofortmaßnahmen für die wichtigen Szenarien, Schritte zur Einleitung des Notbetriebs und Inbetriebnahme von Ausweich- und Ersatzlösungen, Kommunikation intern und extern. Nach dem Prinzip: wer – macht was – mit welcher Priorität – womit und mit wem. Ergänzt um Kontaktlisten. Notfallchecklisten können neben der klassischen Papierform auch elektronisch als App abgebildet werden.

“Plans are worthless, but planning is everything.” hat Dwight D. Eisenhower in einer Rede bei der National Defense Executive Reserve Conference in Washington DC, 14. November 1957 gesagt.

Die Aktivitäten zur Erstellung der Pläne, sind elementar, d.h. die inhaltliche Konzeption und Formulierung der Inhalte. Wer einen Plan geschrieben hat, benötigt den Plan selbst nicht mehr, da die Inhalte des Plans “internalisiert” sind. Was fehlt ist das Wissen, ob der Plan auch im Notfall funktioniert.

Die Validierung und Einübung der Pläne (“Drills” wie die Amerikaner sagen)ist daher der zweite wesentliche Baustein ein der Notfallvorsorge.

Good Practice Guidelines (GPG) des Business Continuity Institute (BCI) wie auch der ISO Standard für die BIA ISO 22317:215 unterscheiden zwischen strategischer, taktischer und operativer Business Impact Analyse (BIA).

Im Rahmen der strategischen BIA erfolgt die Priorisierung der Produkte und Prozesse durch das Top Management unter Berücksichtigung der betriebswirtschaftlichen Anforderungen des Unternehmens sowie der Anforderungen der interested parties. Für die Produkte und Prozesse wird die maximal tolerierbare Ausfallzeit festgelegt.

Im Rahmen der taktischen BIA werden die kritischen Prozesse identifiziert, deren Prozessabhängigkeiten, erforderliche Aktivitäten und Wiederanlaufanforderungen.

Im Rahmen der operativen BIA werden die erforderlichen Ressourcen für jede Aktivität erhoben:

• Personen, Skills, Rollen
• Gebäude
• Ausrüstung
• Dokumente
• Finanzierung
• IKT
• Dienstleister
• Andere Prozesse
• Spezielle Anforderungen

Spezifische Planung für das Szenario einer Pandemie, die durch die WHO ausgerufen wird.

Titel:

Crisis management. Guidance and good practice – Publicly Available Specification (PAS)

Herausgeber:

British Standards BSI

Veröffentlichung:

September 2011

Beschreibung:

PAS 200:2011 is a standard designed to help organizations take practical steps to improve their ability to deal with crises.

It does this by giving organizations an operational structure to detect and prepare for such crises and hence prevent or survive them.

Gliederung und Inhalt:

Foreword

Introduction

1 Scope

2 Terms and definitions

3 Understanding crises

3.1 What is a crisis?

3.2 The relationship between incidents and crises: structure and complexity

3.3 The general characteristics of crises

3.4 Understanding the potential origins of crises

3.5 “Sudden” and “smouldering” crises

3.6 How organizations can become vulnerable to crises

3.7 How crises incubate within organizations

3.8 Achieving higher levels of resilience

3.9 Possible barriers to success

4 Developing a crisis management capability

4.1 A framework

4.2 Capability

4.3 Setting the organization’s policy and direction

4.4 Identifying roles and responsibilities

4.5 Creating the structures and processes

4.6 Information management

4.7 Situational awareness

4.8 The common recognized information picture

4.9 Supporting the decision-makers

4.10 Dealing with dilemmas

4.11 Conclusions

5 Planning and preparing for crisis response and recovery

5.1 General

5.2 The crisis management plan

5.3 Key elements of the plan

5.4 Logistical factors

5.5 The activities of the crisis management team

5.6 Leadership

5.7 Decisions in crises – key features

5.8 Dealing with people

5.9 Transition to recovery

6 Communication in a crisis

6.1 General

6.2 Communications strategy

6.3 Formal and informal communications structures

6.4 Planning to communicate

6.5 Methods of communication

6.6 Barriers to effective communication

7 Evaluating crisis management capability

7.1 General

7.2 Training

7.3 Exercise design considerations

7.4 The “crisis-aware” organization

Annexes

Annex A (normative)

Bibliography

Zertifizierung:

keine Zertifizierung

Bezug:

British Standards BSI

Titel:

Supply Chain Risk Management – Supplier prequalification

Herausgeber:

British Standards bsi

Veröffentlichung:

November 2014

Beschreibung:

Standard für Dienstleisteraudits

Zertifizierung:

keine Zertifizierung

Bezug:

kostenfrei bei bsi

Inhalte:

Foreword ………………………………………………………………………………………. ii 0

Introduction ………………………………………………………………………………… iii

1 Scope ………………………………………………………………………………………….. 1

2 Terms and definitions ………………………………………………………………….. 2

3 Core prequalification topic modules …………………………………………….. 4

3.0 Essential and discretionary information items …………………………….. 4

3.1 Core topic module C1 – Organizational Profile …………………………… 5

3.2 Core topic module C2 – Supplier capabilities and capacities ………… 8

3.3 Core topic module C3 – Financial Information & Insurance ………….. 10

3.4 Core topic module C4 – Business Governance ……………………………… 12

3.5 Core topic module C5 – Employment Policies ……………………………… 15

3.6 Core topic module C6 – Health and safety ………………………………….. 21

3.7 Core topic module C7 – Data protection …………………………………….. 25

3.8 Core topic module C8 – Environmental management ………………….. 29

3.9 Core topic module C9 – Quality management …………………………….. 35

4 Additional prequalification topic modules ……………………………………. 39

4.0 Essential and discretionary information items …………………………….. 39

4.1 Additional topic module A1 – Business ethics ……………………………… 40

4.2 Additional topic module A2 – Supply chain traceability ………………. 43

4.3 Additional topic module A3 – Supply chain security management .. 46

4.4 Additional topic module A4 – Equal opportunity and freedom of association …………………………………………………………………………………. 51

4.5 Additional topic module A5 – Disciplinary practices and abuse ……. 53

4.6 Additional topic module A6 – Business continuity management ….. 54

5 Rules for information provision (by suppliers) ………………………………. 58

5.1 Information to be included ……………………………………………………….. 58

5.2 Limit of application …………………………………………………………………… 58

6 Rules for information acquisition (by buyers) ……………………………….. 59

6.1 Precondition for entities intending to apply PAS 7000 ………………… 59

6.2 Use of topic modules and information items ………………………………. 59

6.3 Supplementary information ………………………………………………………. 59

6.4 Assessment criteria ……………………………………………………………………. 59

7 Declarations of compliance with PAS 7000 ……………………………………. 60

7.1 Suppliers ………………………………………………………………………………….. 60

7.2 Buyers / Procuring organizations ……………………………………………….. 60

8 Bibliography ……………………………………………………………………………….. 61

Titel:

Business continuity management. Guidance on supply chain continuity (Published Document)

Herausgeber:

British Standards

Veröffentlichung:

Dezember 2011

Beschreibung:

Abstract (BSI):

PD 25222 Guidance on supply chain continuity will arm you with the practical methods you need to help you deliver your products and services in the event of incident affecting your supply chain (upstream, downstream and between you and organizations of the same tier.)

This includes, for example, how to obtain and maintain assurance that suppliers’ continuity arrangements protect you adequately. What’s more, using this guidance you can make sure your Supply Chain Continuity Management measures match the level of risk you face – so you’re not wasting time or money on controls that aren’t necessary, for example.

Zertifizierung:

keine Zertifizierung

Bezug:

BSI