Der Preis eines ungetesteten BCP
Die meisten Organisationen verfügen formal über einen Business-Continuity-Plan. In der Praxis handelt es sich bei vielen jedoch nur um ein Dokument, das für ein Compliance-Audit erstellt wurde: Es wurde nie getestet, hat keinen Bezug zur aktuellen betrieblichen Realität und die Aktivierungsverfahren würden unter dem Druck eines realen Ereignisses nicht eingehalten werden.
Tritt eine Störung ein, führen fehlende validierte RTO- und RPO-Werte, unklare Rollen bei der Krisenaktivierung und ungetestete IT-Wiederherstellungsverfahren zu längeren Ausfallzeiten, finanziellen Verlusten, die sich von Stunde zu Stunde verschärfen, und Reputationsschäden, die das Ereignis selbst überdauern.
Für Organisationen, die den Anforderungen des FINMA-Rundschreibens 2023/1, von DORA oder einer ISO-22301-Zertifizierung unterstehen, ist ein ungetesteter BCP zudem ein direkter regulatorischer Compliance-Mangel mit Folgen für Audit und Aufsicht – unabhängig davon, ob tatsächlich eine Störung eingetreten ist.
Leistungen
Die Business Continuity Services
Business-Impact-Analyse (BIA)
Eine strukturierte BIA-Kampagne zur Identifikation und Priorisierung kritischer Geschäftsprozesse, zur Quantifizierung der finanziellen und operativen Auswirkungen einer Störung über definierte Zeithorizonte sowie zur Festlegung der maximal tolerierbaren Ausfallzeit (MTD), der Wiederherstellungszeitziele (RTO) und der Wiederherstellungspunktziele (RPO) für jede kritische Funktion.
Regulatorische Abstimmung
Explizite Zuordnung zu den Anforderungen von ISO 22301, den Pflichten zur operativen Resilienz gemäß FINMA-Rundschreiben 2023/1 sowie den Anforderungen von DORA an die IKT-Kontinuität für Finanzunternehmen im Geltungsbereich.
Business Continuity Profil
Ein strukturiertes BC-Profil, das die Resilienzlage der Organisation über alle kritischen Werte, Systeme und Prozesse hinweg dokumentiert und als laufendes Referenzdokument für das Kontinuitätsmanagement und für regulatorische Überprüfungen dient.
Business Continuity Plan (BCP)
Erstellung des vollständigen Business Continuity Plans:
- Aktivierungsstruktur der Organisation,
- Eskalationsverfahren,
- Kommunikationsprotokolle für Krisenfälle und
- dokumentierte Wiederherstellungsstrategien für jeden kritischen Prozess.
Disaster Recovery Plan (DRP)
Ein technischer DRP wird in Abstimmung mit dem BCP erstellt. Er enthält Schritt-für-Schritt-Wiederherstellungsverfahren für IT-Systeme, Infrastruktur und Daten sowie validierte RTO- und RPO-Werte je Systemstufe.
Krisenorganisation und Übungen
Festlegung der Krisenmanagementstruktur, der Aktivierungsrollen und der Entscheidungsprozesse, validiert durch Planübungen und operative Übungen. Ein umfassendes Programm an Krisenübungen ist auch über den Service Crisis Management erhältlich.
Vorgehen
Vom Scoping zur geprüften Wiederherstellungsfähigkeit
1 Eingrenzung und Identifikation kritischer Werte
Erfassung der kritischen Prozesse, Systeme, personellen Abhängigkeiten und Beziehungen zu Dritten innerhalb der Organisation.
2 Business-Impact-Analyse
Quantifizierung der finanziellen, operativen, rechtlichen und reputationsbezogenen Auswirkungen einer Störung über standardisierte Zeithorizonte für jede kritische Funktion.
3 Strategieentwicklung
Entwicklung von Wiederherstellungsstrategien für jede kritische Funktion auf Basis der Ergebnisse der BIA und expliziter Kosten-Nutzen-Abwägungen zwischen Wiederherstellungs-geschwindigkeit und Investition.
4 BCP- und DRP-Dokumentation
Erstellung vollständiger, strukturierter Pläne mit Aktivierungsverfahren, klaren Rollenzuweisungen, Kommunikationsvorlagen und technischen Wiederherstellungsschritten.
5 Testen und Validieren
Durchführung von Planübungen, IT-Wiederherstellungstests und operativen Übungen, um die Wirksamkeit der Pläne zu überprüfen und Verbesserungspotenzial zu erkennen, bevor ein reales Ereignis eintritt.
Ergebnisse
Was Sie erhalten
- Ein Business-Continuity-Profil mit Dokumentation der gesamten Resilienzlage der Organisation.
- Eine vollständige Business-Impact-Analyse mit MTD, RTO und RPO je kritischer Funktion.
- Business-Continuity-Plan mit Aktivierungsverfahren, Rollen und Kommunikationsprotokollen
- Disaster-Recovery-Plan mit technischen Wiederherstellungsverfahren und validierten RTO- und RPO-Werten
- Übungsbericht mit strukturierten „Lessons Learned” und formalem Verbesserungsplan
Compliance-bereit und operativ geprüft
Unsere BCP- und DRP-Mandate sind so aufgebaut, dass sie einer regulatorischen Prüfung standhalten. Kunden, die der FINMA unterstehen, erhalten eine Dokumentation, die explizit auf die Anforderungen des FINMA-Rundschreibens 2023/1 ausgerichtet ist. Finanzunternehmen, die DORA unterstehen, erhalten eine Resilienzdokumentation, die den DORA-Anforderungen an IKT-Kontinuität und Tests der Business-Impact-Analyse entspricht. Alle Pläne umfassen eine Versionskontrolle, definierte jährliche Überprüfungszyklen sowie Nachweispakete für externe Audits.
Nächster Schritt
Beurteilen Sie Ihre Business-Continuity-Lage
Wir bieten eine erste Beratung zur Reife Ihrer Business-Continuity-Pläne an. Dabei beurteilen wir den aktuellen Status Ihrer Pläne, identifizieren kritische Lücken und schlagen einen pragmatischen Weg für die Umsetzung und Testung vor. Diese Beratung führen wir typischerweise als strukturierten halbtägigen Workshop durch.