fbpx

Zusammenarbeit ist der Schlüssel für NIS2 Compliance und Resilienz: Fachabteilungen in die Notfallplanung einbeziehen

by Bianca Bogad-Frey

NEU im #ConfareBlog
Thomas Laszlo, Experte für Notfallhandbücher, Zusammenarbeit ist der Schlüssel für NIS2 Compliance und Resilienz: Fachabteilungen in die Notfallplanung einbeziehen

Im Confare Digital CIO ThinkTank am 03.09.2024 sprechen Rechtsanwält*innen und IT-Profis über NIS2, ISG und IT-Compliance. Im Vorfeld haben wir mit Thomas Laszlo über die Bedeutung von Notfallplänen, den Planungsprozess und ihre Wirksamkeit gesprochen. Thomas unterstützt IT-Organisationen und Unternehmen dabei, Notfallpläne zu erstellen, sie zu prüfen und lebendig zu halten.

Thomas Laszlo (Notfallhandbücher) - Der Schlüssel für NIS2 Compliance

Welche Rolle spielt das Notfallhandbuch beim Erfüllen der Anforderungen von NIS2 und den aktuellen Regulierungs-Maßnahmen?

Die EU hat festgestellt, dass die Wirtschaft inzwischen zu einem großen Teil von der IT sehr abhängig ist. Deshalb gab es in letzter Zeit auch viele Regulatorien, die veröffentlicht wurden.

NIS 2 wurde deshalb ins Leben gerufen, um sicherzustellen, dass der Betrieb von, für die Gesellschaft wichtigen, Unternehmen auch dann funktioniert, wenn die IT stillsteht oder schwerwiegende Störungen auftreten. Es geht einerseits darum, technische Maßnahmen zu ergreifen, dass das erst gar nicht passiert („die 10 Maßnahmen“).

In dem Absatz, wo die 10 drinstehen, wird darauf verwiesen, dass das die Mindest-Anforderungen sind. Andererseits geht es eben auch um organisatorische Maßnahmen, wie Richtlinien, Schulungen und eben ein Notfallhandbuch (Punkt 3 der Maßnahmen: „Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;“

DORA hat zum Ziel, den Geldverkehr dauerhaft aufrecht zu erhalten und fokussiert sich auf Finanzunternehmen. Neben vielen technischen Maßnahmen im IKT-Bereich ist in Artikel 11 die Geschäftsfortführungsleitlinie erwähnt, aka Business Continuity Plan, aka Notfallhandbuch.

Was sind die wichtigsten Aufgaben beim Gestalten eines Notfallplans?

Der Vorteil eines Notfallplans ist, dass das Unternehmen vor allem Zeit und Sicherheit gewinnt:

a) Das Unternehmen weiß, was in welcher Reihenfolge zu tun ist.
b) Kontaktdaten von internen und externen Schlüsselpersonen sind verfügbar, schnell auffindbar sind und müssen nicht erst recherchiert werden.
c) Alle benötigten Hilfsmittel sind vorbereitet.

 

Um einen effektiven Notfallplan zu haben, muss man wissen, welche Abläufe im Unternehmen kritisch sind, wovon sie abhängig sind und wie lange sie ausfallen dürfen. Meist sind die Kernprozesse, die die Produkte oder Dienstleistungen der Firmen „erzeugen“, die Kritischen. Allerdings darf man auch andere Prozesse, die z.B. an Gesetzliche Fristen oder Pönale-Zahlungen gebunden sind, nicht vergessen. (z.B. Gehaltszahlungen sind am Monatsletzten fällig und viele Mitarbeiter sind auf die monatlichen Geldflüsse dringend angewiesen. Erst vor kurzem gab es ein Social-Media-Posting eines Mitarbeiters nach einer Cyberattacke, wo er berichtete, dass nicht mal mehr Gehälter gezahlt werden können, was kein gutes Licht auf das Unternehmen wirft.)

 

Bei der Erstellung eines Notfallplans geht man idealerweise wie folgt vor:

1)         Definition des Notfallstabes

Das Team, bestehend aus bis zu 8 Personen, das „das Schiff durch den Sturm steuert“. Dieses Team weiß, dass es die Verantwortung hat, kennt sich mit dem Notfallplan aus, und hat gut erprobte Abläufe. (Selbst wenn der Notfallplan noch nicht fertig ist, oder ein Szenario fehlt, braucht es vor allem einen Notfallstab, der aktiv steuert.)

Zusätzlich klärt man auch gleich, wo/wie sich dieser Notfallstab trifft, um zu beraten und Entscheidungen zu treffen

 

2)         Selektion der Szenarien

Ein Notfallhandbuch „für alles“ ist fast ein Ding der Unmöglichkeit. Corona hatte auch kaum jemand erwartet, auch wenn manche Unternehmen zumindest Pandemien als Szenario in den Plänen hatten und somit besser aufgestellt waren.

Wenn man die Liste der möglichen Szenarien analysiert nach Einfluss auf die Geschäftstätigkeit (Business Impact Analyse), kann man eine gute Vorauswahl treffen.

 

3)         Analyse der kritischen Prozesse

In jeder Abteilung werden die Prozesse analysiert, vor allem welche Kritikalität sie haben und was ein Stillstand bedeutet und welche Ressourcen sie benutzen (Gebäude, Maschinen, Werkzeug, Personen, IT-Systeme)

 

4)         Auswirkungen der Szenarien auf die Prozesse

Durch Prüfung, welche Auswirkungen die definierten Szenarien auf die einzelnen Prozesse haben, kann man sehen, welche Maßnahmen man setzen kann. Man kann das Risiko Verringern (Schutzmaßnahmen ergreifen und/oder Notfallplan erstellen), Auslagern (Versicherung abschließen), Akzeptieren.

 

5)         Finden von alternativen Prozessen und Ressourcen

Für jene Prozesse, wo man das Risiko durch einen Notfallplan verringern möchte, braucht man für die betroffenen Prozesse Alternativen. Dazu braucht es oft kreative Lösungen, die auch bedingen, dass man über den eigenen Tellerrand hinausschaut: Das Produkt kurzfristig bei einem Mitbewerber produzieren zu lassen oder von ihm ausliefern zu lassen, kostet Überwindung, bindet aber Kunden an das eigene Unternehmen, weil man selbst in einer Krise seinen Anfragen nachkommen kann.

 

6)         Vorbereitungen treffen

Für die meisten Alternativen muss man etwas vorbereiten. So sind einige der wichtigsten Hilfsmittel in einem Notfall die Listen von Kunden, Mitarbeitern, Artikeln, oder Lagerstand, die man idealerweise automatisiert erstellt und dort ablegt, wo man schnell Zugriff hat (vor allem bei einer Cyberattacke muss ich hier für eine eigene Speicherablage sorgen)

Auch extrem wichtig ist die Bereitstellung von Vorlagen. Neben den Sitzungsprotokollen des Notfallstabes braucht es vor allem Vorlagen für die Mitarbeiter, wenn sie die gewohnten IT-Systeme nicht benutzen können (z.B. Rechnungsformulare, Bestellformulare)

 

7)         Kommunikationsplan

Eines der wichtigsten Elemente in einem Notfall ist die Kommunikation. Da entscheidet sich oft, wie das Ansehen der Firma nach dem Notfall sein wird. Das Beispiel oben, in dem der Mitarbeiter auf Social Media postet, anstatt es der Kommunikationsabteilung zu überlassen, zeigt gut, was passieren kann.

 

8)         Schulung

Der Notfallstab muss in der Verwendung des Notfallplans geschult sein, damit man gut und schnell Entscheidungen treffen kann, bzw. die richtigen Dinge zur richtigen Zeit initiiert.

 

9)         Übung

Jeder Plan ist nur so gut, wie man ihn übt: Regelmäßige (mindestens jährliche) Notfallübungen trainieren den Notfallstab, aber auch die Mitarbeiter in den Abteilungen, wie man in einer Notfallsituation richtig umgeht.

Digital CIO Think Tank - Die Implementierung von NIS-2 und ISG

Wie wichtig sind die IT-Aspekte eines solchen Handbuchs?

Speziell wenn das Notfallhandbuch für das Szenario des IT-Ausfalls, oder auch nur des Ausfalls einer zentralen Software erstellt wird, muss man sich Gedanken machen, wie die Abläufe „händisch“ durchgeführt werden können. Da heute ein Unternehmen ohne IT quasi nicht mehr funktioniert, bedarf es da besonderer Planung. Das ist noch relativ einfach, wo die Automation nicht 100% beträgt, oder die Maschinen vollautomatisch durch Software gesteuert werden.

Überall dort, wo es um IT-Abläufe geht, die Eingabemasken mit Weiterleitung der Daten an andere Abteilungen darstellen, kann man das auch manuell abdecken. Oft ist zusätzlich die Herausforderung, dass man sich bei der Erstellung von z.B. Rechnungen auf die richtige Gestaltung und Kalkulation durch die Software verlässt. Viele wissen gar nicht, welche Elemente verpflichtend auf einer Rechnung stehen müssen. Daher ist es wichtig, dass z.B. Rechnungsvorlagen vorab erstellt und geschult werden.

Ein weiterer Aspekt ist der Umstand, dass das Handbuch, speziell für das Szenario des IT-Ausfalls, auch physisch existieren muss. Denn wenn es nur elektronisch existiert, ist es dann nutzlos. Leider wird das immer wieder vergessen.

Welche Rolle spielen Fachabteilungen, also das Business beim Erstellen des Handbuchs?

Das Notfallhandbuch wird gemeinsam mit allen Fachabteilungen erstellt. Von der Produktion, über das Rechnungswesen, bis hin zum Facility Management. Jede Abteilung hat Abläufe, die es braucht, um dem Unternehmen zu ermöglichen, sein Produkt oder seine Dienstleistung anzubieten.

Daher werden mit jeder Fachabteilung entsprechende Interviews geführt, um zu analysieren und zu dokumentieren, welche Abläufe sie abdecken, welchen Einfluss die Szenarien auf ihre Arbeit haben und wie sie vorgehen müssen, um diese auch bei Auftreten des Szenarios weiterzuführen.

Zusätzlich sind oft zentrale Abteilungen im Notfallstab vertreten, die für die Koordination während des Notfalls wichtig sind.

ConText Anmeldung Banner

Was sind die wichtigsten Elemente eines Notfallhandbuchs?

 

Das Notfallhandbuch hat 4 Hauptabschnitte:

 

1)         Notfallorganisation und Alarmierung

Es wird beschrieben, welche Personen Teil Notfallstabes sind (inkl. Vertreter). Wie schon erwähnt sind das meist Personen aus wichtigen Abteilungen des Unternehmens, die es dann auch im Notfall braucht, um zentral die Vorgänge zu steuern.

Es wird definiert, wer den Notfallstab leitet. Dies ist oft eine längere Diskussion im Unternehmen. Es ist nicht automatisch der Geschäftsführer oder Vorstand. Idealerweise ist es eine Person, die „hohes Ansehen“ im Unternehmen hat, Entscheidungen treffen kann und will und das Vertrauen der Geschäftsleitung hat. Speziell, wenn der Notfallstabsleiter nicht aus der Geschäftsführung kommt, braucht es eine Rollenbeschreibung inkl. Rechte und Pflichten in dieser Sondersituation (z.B. bis zu welcher Betragshöhe dürfen Einkäufe in dieser Situation gemacht werden)

 

Die Art und Weise, wie der Notfallstab bei Auftreten eines Szenarios benachrichtigt und zusammengerufen wird, ist ebenso Teil des Notfallhandbuches. Und dieser Teil ist auch elementar bei der Schulung der Mitarbeiter. Über das Ausrufen einer Notfallsituation und Zusammentreten des Notfallstabes entscheidet der zu benachrichtigende Notfallstabsleiter. Damit diese Entscheidung möglichst rasch getroffen werden kann, muss die Information über das Auftreten möglichst rasch an diese Person herangetragen werden.

 

Schlussendlich wird in diesem Abschnitt auch noch beschrieben, in welchen Räumlichkeiten (+ Ersatzräumlichkeiten, wenn die primären nicht zur Verfügung stehen) sich der Notfallstab trifft. In der Regel ist heute ein hybrides Meeting (online + physisch) schon Standard.

 

2)         Grundlegender Kommunikationsplan

Da Kommunikation, vor allem nach außen, in solchen Situationen ein Schlüsselelement ist, wird in diesem Abschnitt beschrieben, welche Person/Rolle mit welcher Zielgruppe in welcher Phase kommuniziert. Beginnend vom Auftreten des Ereignisses (Erstkommunikation), über die Kommunikation von regelmäßigen Updates, bis hin zur Beendigung des Notfalls und auch der abschließenden Kommunikation der Lessons Learned, muss definiert werden, wer für die Kommunikation mit Stakeholdern wie Kunden, Lieferanten, Mitarbeitern, Partnern, Presse und Behörden zuständig ist. Damit die Kommunikation alle notwendigen Elemente enthält gibt es im letzten Abschnitt auch entsprechende Vorlagen dazu. Es ist aber anzuraten, eine PR-Agentur mit Erfahrung im Bereich Krisenkommunikation schon bei Erstellung des Notfallhandbuches an Bord zu holen.

 

3)         Abläufe pro Szenario/Fachabteilung und Zeitschiene

Das Herzstück eines jeden Notfallhandbuches sind dann die Notfallabläufe. Diese werden so strukturiert, dass man sich beim Auffinden der nötigen Beschreibungen leichttut. Daher gibt es für jedes Notfallszenario einen Abschnitt, darunter dann für jede Abteilung und darunter dann nach „Zeitpunkt“, also z.B. Sofortige Maßnahmen, Maßnahmen nach 2 Stunden, Maßnahmen nach 6 Stunden, oder wie es notwendig ist.

Innerhalb dieser Zeitabschnitte steht dann in einfachen Wörtern beschrieben, was genau zu tun ist: Welche Handlungen, aber auch teilweise welche Kommunikation.

 

4)         Tools und Vorlagen

Im letzten Abschnitt finden sich alle Vorlagen und Hilfsmittel, die es in den Notfallsituationen braucht. Entweder sind es Vorlagen, die direkt im Notfallhandbuch enthalten sind, oder Kontaktlisten und Hilfsmittel, die direkt im Notfallhandbuch enthalten sind. Darunter fallen…

a. Kontaktlisten

Die wichtigsten Kontaktlisten findet man direkt im Notfallhandbuch:

Notfallstabsmitglieder, wichtigste Lieferanten, Partner, Behörden, u.a

Andere werden automatisch oder händisch regelmäßig erstellt und geschützt abgelegt:

Kunden, Mitarbeiter, Artikel, Lagerstand

(Gerade diese Listen sind bei Ausfall der IT ein Schlüsselelement, ob ein Unternehmen überhaupt noch arbeiten kann, oder nicht. Deshalb sollten diese Daten, und sei es nur in Textform, aus den Kernsystemen regelmäßig exportiert und abgelegt werden. Dazu reicht manchmal sogar ein USB-Stick im Safe, der wöchentlich/monatlich aktualisiert wird. Teilweise, bei wenigen Daten kann man es tatsächlich in Tabellenform im Notfallhandbuch anhängen)

b. Vorlagen

z.B. Rechnungsvorlagen, Bestellscheine, Protokolle für die Sitzungen des Notfallstabes.

Das Handbuch ist erstellt … reicht das?

Allzu oft wird das Notfallhandbuch zum Staubfänger (digital und physisch).

Mindestens 1x im Jahr sollte das Notfallhandbuch überprüft werden: sind alle Kontaktlisten noch aktuell? Haben sich Abläufe im Unternehmen geändert, wurde neue Software eingeführt, die Abläufe verändert.

Und auch wenn es schwerfällt: Notfallübungen sind essenziell! Mindestens 1x im Jahr sollte man ein Szenario zumindest als Tabletop-Exercise, sprich „am Schreibtisch“, durchspielen. Von der Alarmierung des Notfallstabes, über die Verwendung des Notfallhandbuches, bis hin zur gemeinsamen Arbeit zwischen den Fachabteilungen, werden hier die Abläufe für den Ernstfall geprobt.

Für Sie ausgewählt

Leave a Comment