Business Continuity Policy
Was ist eine Business Continuity Policy?
Eine Business Continuity Policy (Geschäftskontinuitätsrichtlinie) ist eine Reihe von Standards und Richtlinien, die ein Unternehmen umsetzt, um seine Widerstandsfähigkeit und ein angemessenes Risikomanagement sicherzustellen. Business Continuity Policies variieren je nach Unternehmen und Branche und müssen regelmäßig aktualisiert werden, da sich Technologien weiterentwickeln und Geschäftsrisiken sich ändern.
Das Ziel einer Business Continuity Policy ist es, zu dokumentieren, was erforderlich ist, um den Betrieb eines Unternehmens sowohl an normalen Werktagen als auch in Notfällen aufrechtzuerhalten. Eine klar definierte Richtlinie hilft Unternehmen dabei, realistische Erwartungen an Prozesse zur Business Continuity und Disaster Recovery (BC/DR) zu stellen. Darüber hinaus bieten diese Richtlinien einen strukturierten Ansatz zur Identifizierung und Behebung von Schwachstellen.
Eine Richtlinie zur Geschäftskontinuität wird in der Regel in Übereinstimmung mit den Best Practices der Branche und den gesetzlichen Anforderungen entwickelt, darunter Rahmenwerke der International Organization for Standardization (ISO), der British Standards Institution (BSI) und des National Institute of Standards and Technology (NIST).

Wichtige Komponenten einer Business Continuity Policy
Business-Continuity-Richtlinien variieren zwar von Unternehmen zu Unternehmen, haben jedoch gemeinsame Kernelemente, darunter Personalausstattung, Leistungskennzahlen und Compliance-Anforderungen.
Personalausstattung und Verantwortlichkeiten
Die Business-Continuity-Richtlinie sollte die folgenden Rollen und Verantwortlichkeiten definieren:
- Abteilungsleiter und Führungskräfte, die für die Überwachung der Richtlinie verantwortlich sind.
- BC/DR-Teams, die für Disaster-Recovery-Verfahren zuständig sind.
- IT-Teams, die für Data Protection, Cybersicherheit und Cloud-basierte Recovery-Lösungen verantwortlich sind.
- Externe Anbieter, Partner und Stakeholder, die an der Kontinuitätsplanung beteiligt sind.
Leistungsmetriken und Risikoindikatoren
Unternehmen verwenden Key Performance Indicators (KPIs) und Key Risk Indicators (KRIs), um die Wirksamkeit der Geschäftskontinuität zu überwachen und potenzielle Bedrohungen zu identifizieren:
- KPIs messen Recovery Time Objectives (RTOs), Recovery Point Objectives (RPOs) und die Systemverfügbarkeit.
- KRIs bewerten die Wahrscheinlichkeit oder Risiken wie Cybersicherheitsverletzungen, Unterbrechungen der Lieferkette und Betriebsausfälle.
Compliance- und Regulierungsstandards
Richtlinien zur Geschäftskontinuität sollten mit globalen und branchenspezifischen Vorschriften wie den folgenden übereinstimmen:
- ISO 22301:2019. Internationale Norm für Business Continuity Management Systeme (BCMS).
- NIST 800-34. Leitfaden des US-amerikanischen National Institute of Standards and Technology für Notfallplanung für IT-Systeme.
- BSI BS 25999. Best Practices der British Standards Institution für das Business Continuity Management.
- Branchenspezifische Vorschriften wie die Datenschutz-Grundverordnung, der Health Insurance Portability and Accountability Act und der Sarbanes-Oxley Act, die Data Protection und operative Resilienz vorschreiben.

Diese Standards helfen Unternehmen, die Compliance aufrechtzuerhalten, Risiken zu minimieren und ihre Fähigkeit zur Wiederherstellung nach Störungen zu stärken.
Was sind einige wichtige Überlegungen zur BC-Richtlinie?
Bei der Ausarbeitung einer Business-Continuity-Richtlinie sollte ein Unternehmen zunächst die besonderen Risiken berücksichtigen, denen es wahrscheinlich ausgesetzt ist. Befindet sich das Unternehmen in einem Gebiet, in dem häufig Hurrikane oder andere schwere Wetterereignisse auftreten? Gibt es geopolitische Faktoren, die problematisch sind? Gab es jemals Probleme mit Ransomware oder anderer Malware? Unternehmen sollten all diese Faktoren bei der Erstellung einer Business Continuity Policy berücksichtigen.
Eine Risikobewertung ist eine zuverlässige Methode, um die Wahrscheinlichkeit potenzieller Bedrohungen zu ermitteln. Sie identifiziert Gefahren und zeigt Möglichkeiten auf, deren Auswirkungen auf das Unternehmen zu verringern. Risikobewertungen umfassen in der Regel Folgendes:
- Identifizierung der Gefahren.
- Ermittlung, was oder wer geschädigt werden könnte.
- Bewertung der Risiken und Erstellung von Kontrollmaßnahmen.
- Dokumentation der Ergebnisse.
- Überprüfung und Aktualisierung der Bewertung.
Neben einer Risikobewertung kann die Durchführung einer Business Impact Analysis (BIA) dazu beitragen, das Fundament einer Business Continuity Policy zu bilden. Eine BIA ermittelt die Auswirkungen einer potenziellen Katastrophe auf ein Unternehmen, indem sie bestehende Schwachstellen aufdeckt. Obwohl sie einer Risikobewertung ähnelt, wird eine BIA oft zuerst durchgeführt und konzentriert sich in erster Linie auf die Auswirkungen auf das Geschäft und die Einhaltung von Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO).
Die Überwachung und Überprüfung der Business Continuity Policy sind weitere Elemente, die es zu beachten gibt, wenn gesetzliche Anforderungen zu erfüllen sind. Ein leitender Angestellter oder eine andere Führungskraft kann als Verbindungsmann zum BC/DR-Team benannt werden, um die Bemühungen zur Lösung von Compliance-Problemen zu koordinieren. Das BC/DR-Team selbst kann zusammen mit den erforderlichen internen Abteilungen für die Überprüfung der Einhaltung der Richtlinien verantwortlich sein. Neben der Festlegung der Verfahren und der Personalausstattung sollte das BC/DR-Team regelmäßig die Einhaltung der Richtlinien überprüfen.
Bei Abweichungen von den Richtlinien kann die Unternehmensleitung hinzugezogen werden.

Überwachung und Einhaltung der Business Continuity Policy
Um die Wirksamkeit einer Richtlinie zur Geschäftskontinuität sicherzustellen, müssen Unternehmen Überwachungsmechanismen einrichten, die Folgendes umfassen können:
- Einbeziehung der Führungsebene. Ein leitender Angestellter sollte die Initiativen zur Geschäftskontinuität überwachen und die Teams koordinieren.
- Verantwortlichkeit des BC/DR-Teams. Dieses Team sollte für regelmäßige Richtlinienaudits, Compliance-Prüfungen und Leistungsbewertungen verantwortlich sein.
- Routinemäßige Tests und Audits. Unternehmen sollten regelmäßige Überprüfungen und Simulationen durchführen, um die Wirksamkeit der Richtlinien zu testen und notwendige Anpassungen vorzunehmen.
Bei Verstößen gegen die Richtlinien zur Geschäftskontinuität sollten umgehend Korrekturmaßnahmen ergriffen werden. Dies trägt dazu bei, dass das Unternehmen die Unternehmensziele und gesetzlichen Anforderungen weiterhin erfüllt.
Wann sollte ein BC/DR-Anbieter hinzugezogen werden?
BC/DR-Anbieter und die von ihnen angebotenen Dienstleistungen können einem Unternehmen dabei helfen, die Erstellung einer Richtlinie zur Geschäftskontinuität voranzutreiben. Managed BC/DR-Anbieter können einen Teil der Arbeit übernehmen und die Tests einer Strategie zur Geschäftskontinuität erleichtern.
Angesichts der Allgegenwart der Cloud ist Disaster Recovery as a Service (DRaaS) zu einer beliebten BC/DR-Option geworden. DRaaS gibt es in allen Formen und Größen, was es zu einer attraktiven Option macht. DRaaS ist eine ziemlich universelle Methode, um große und kleine Probleme zu bewältigen.
Zu den wichtigsten DRaaS-Anbietern gehören Acronis, Amazon Web Services, Axcient, IBM, Unitrends, VMware und Zerto.
Business Continuity Policy vs. Business Continuity Plan: Wie unterscheiden sie sich?
Eine Business Continuity Policy und ein Business Continuity Plan (BCP) haben viele Gemeinsamkeiten. Beide befassen sich mit allen besonderen Anforderungen zur Aufrechterhaltung der Geschäftskontinuität. Sie dienen jedoch unterschiedlichen Zwecken. Die Richtlinie legt die zu befolgenden Standards und zu erfüllenden Benchmarks fest. Ein Plan beschreibt von Anfang bis Ende, wie das Unternehmen ein Ereignis bewältigen wird. Informationen zur Business Continuity Policy sollten in den Business Continuity Plan aufgenommen werden, jedoch als separate Einheit.
Eine gut strukturierte Geschäftskontinuitätsrichtlinie ist für die operative Ausfallsicherheit, die Einhaltung gesetzlicher Vorschriften und das Risikomanagement von entscheidender Bedeutung. Durch die Integration von Risikobewertungen, BIAs und Compliance-Überprüfungen können Unternehmen ihre Vorbereitungs- und Reaktionsfähigkeiten stärken.
Mit der zunehmenden Verbreitung von cloudbasierten BC/DR-Lösungen und KI-gesteuerten Risikomanagement-Tools können Unternehmen ihre Kontinuitätsplanung modernisieren und sich gut auf neue Bedrohungen vorbereiten.