Wählen Sie den richtigen Weg.
Immer wieder erleben wir in unserer Beraterpraxis, dass Unternehmen den Aufbau eines Business-Continuity-Management-Systems (BCMS) nach ISO 22301 mit dem Ziel anstreben, damit gleichzeitig auch ihre regulatorischen Anforderungen zu erfüllen. Das Fazit vorweggenommen: Das funktioniert so nicht per se. Aber warum ist ein Projekt zur Einführung eines ISO-konformen BCMS etwas gänzlich anderes als ein Projekt zur Umsetzung regulatorischer BCM-Anforderungen?
1. ISO-Konformität und regulatorische Compliance sind zwei unterschiedliche Projektziele.
Die Umsetzung eines anerkannten Standards wie dem ISO 22301 ist grundsätzlich sinnvoll. Schließlich bildet ein strukturiertes Business Continuity Management einen zentralen Baustein der organisatorischen Resilienz, insbesondere im Kontext neuer Regulierung wie dem Digital Operational Resilience Act, der NIS-2-Directive oder zukünftiger KRITIS-Gesetzgebung. Ein ISO-Projekt verfolgt jedoch primär das Ziel, ein normkonformes und auditierbares Managementsystem aufzubauen. Regulatorische Anforderungen verfolgen hingegen die Einhaltung konkreter gesetzlicher Pflichten. Das Ergebnis kann ähnlich aussehen – die Projektlogik ist jedoch eine andere.
2. Normen geben einen methodischen Rahmen, Regularien machen Vorgaben.
Allein dadurch, dass ISO-Standards für möglichst alle Branchen und Institutionsarten gelten sollen, sind sie bewusst generisch formuliert. Sie regeln allgemeine Anforderungen u. a. an Governance-Strukturen, Business Impact Analysen, Risikoanalysen, BC-Pläne sowie die kontinuierliche Verbesserung des Managementsystems. Regulatorische Rahmenwerke hingegen enthalten mitunter sehr spezifische Anforderungen, wie etwa zu konkreten Sicherheits- und Notfallmaßnahmen, Resilienztests, Meldepflichten oder zum Umgang mit Drittparteien. Besonders deutlich wird das aktuell bei DORA und den damit verbundenen Regulatory Technical Standards (RTS) sowie den Implementing Technical Standards (ITS). Ein BCMS kann diese Themen mit den beschriebenen Methoden und Prozess-Schritten adressieren. Es garantiert jedoch nicht automatisch eine Umsetzung in der Tiefe, die regulatorisch verlangt wird.
3. Das „B“ steht für Business … oder Betrieb?
Das wird bereits deutlich mit der Festlegung des Geltungsbereichs. In ISO-Projekten können der Scope und die Ziele im BCM frei gewählt werden. Und sind damit in Einführungsprojekten oft deutlich enger festgelegt als der organisatorische Geltungsbereich regulatorischer Anforderungen. Nicht selten werden dabei nur ausgewählte Geschäftsbereiche, die für den wirtschaftlichen Geschäftserfolg des Unternehmens am kritischsten betrachtet werden, im initialen Projekt berücksichtigt. Eine Regulierung gilt jedoch typischerweise und unverhandelbar für die gesamte Organisation. Zudem steht aus regulatorischer Sicht das B in „BCM“ eher für „Betrieb“ als „Business“. Regularien dienen primär dem Schutz der „Kunden“ und geben der Organisation entsprechende Ziele vor, ihren Geschäftsbetrieb möglichst resilient zu gestalten – ungeachtet etwaiger finanzieller Erwägungen.
4. Der Projektplan folgt dem Projektziel
Ein ISO-Einführungsprojekt folgt üblicherweise den jeweiligen Normkapiteln. Entsprechend gibt es gemäß ISO 22301 eine längere Analysephase, bestehend aus Business Impact Analyse und Risikoanalyse, bevor in der DO-Phase anhand der Geschäftsprozesse und zeitkritischen Ressourcen Maßnahmen und Pläne entwickelt werden, die den normativen Anforderungen entsprechen.
Ein regulatorisches BCM-Projekt startet hingegen mit der Ausgangslage und den Zielfragen: Welche gesetzlichen Anforderungen gelten konkret? Welche Nachweise verlangt die Aufsicht? Wo bestehen regulatorische Lücken? Im Fokus stehen hierbei jene Aktivitäten und (IKT-)Ressourcen, die je nach regulatorischer Quelle eben „wichtig“, „kritisch“ oder „wesentlich“ sind. Und für die gilt es nachweisbar wirksame Maßnahmen und Pläne zu entwickeln, um die regulatorischen Pflichten zu erfüllen.
Kurz zusammengefasst:
Während ISO-Projekte sicherstellen, dass Prozesse und Methoden normgerecht implementiert, angewendet und im Betrieb kontinuierlich verbessert werden, haben regulatorisch getriebene Projekte einen anderen Fokus. Sie gewährleisten, dass sämtliche gesetzlichen Anforderungen nach dem aktuellen Stand der Technik erfüllt sind (Angemessenheit) und die geplanten Notfallmaßnahmen die vorgegebenen Ziele tatsächlich erreichen (Wirksamkeit). Zwar mag das Endresultat ähnlich aussehen, der Weg dorthin unterscheidet sich jedoch grundlegend.
Haben Sie in der Praxis ebenfalls schon beobachtet, wie versucht wurde, solch unterschiedliche Projektziele in einem einzigen Ansatz zu vereinen? Wie sind Ihre Erfahrungen dazu?
#BusinessContinuity #Resilience #BCM #KRITIS #NIS-2 #DORA #ISO22301 #Zertifizierung