Richtlinie zur Business Continuity und Disaster Recovery

Die Richtlinie zur Business Continuity und Disaster Recovery legt die verbindlichen Kontrollen, Prozesse und Verantwortlichkeiten fest, um die kritischen Geschäftsprozesse und IKT-Dienste der Organisation während und nach störenden Vorfällen aufrechtzuerhalten oder wiederherzustellen. Sie stellt ein strukturiertes Rahmenwerk bereit, um Leben zu schützen, operative Stabilität sicherzustellen, rechtliche und kundenbezogene Verpflichtungen einzuhalten und die Reputation der Organisation zu schützen, indem Resilienz durch proaktive Planung und validierte Wiederherstellungsfähigkeiten verankert wird. Diese Richtlinie gilt für alle Organisationseinheiten, Informationssysteme, Geschäftsprozesse, Mitarbeitenden und Auftragnehmer sowie Drittdienstleister, die auf Basis der Ergebnisse einer Business-Impact-Analyse (BIA) als kritisch oder wesentlich eingestuft werden. Der Geltungsbereich ist umfassend und deckt natürliche und menschengemachte Störungen ab, darunter Cyberangriffe, Infrastrukturausfälle, Rechenzentrumsausfälle, Pandemien und Unterbrechungen von Lieferantenleistungen. Sie definiert grundlegende Erwartungen an Planung, laufende Tests und kontinuierliche Verbesserung von Business-Continuity-Plänen (BCPs) und Disaster-Recovery-Plänen (DRPs) und stellt sicher, dass regulatorische Verpflichtungen, vertragliche Anforderungen und Normen eingehalten werden. Zentrale Ziele der Richtlinie sind die Sicherstellung der Kontinuität des Geschäftsbetriebs durch vordefinierte und getestete Verfahren, die Minimierung potenzieller operativer, reputationsbezogener und rechtlicher Auswirkungen sowie die fristgerechte Wiederherstellung innerhalb definierter Recovery Time and Point Objectives (RTOs und RPOs). Sie weist klare Rechenschaftspflicht in der gesamten Organisation zu: Oberste Leitung, Verantwortliche für Business Continuity und IT-Disaster-Recovery, Abteilungsleiter, Informationssicherheitsbeauftragter sowie das Krisenreaktionsteam haben jeweils definierte Rollen für Strategie, Planung, Umsetzung und Kommunikation. Die Richtlinie schreibt die Einrichtung eines einheitlichen Business Continuity Management Systems (BCMS) gemäß den Anforderungen von ISO 22301 und ISO/IEC 27001 vor. Sie verlangt eine jährliche BIA für alle kritischen Einheiten, die Entwicklung und Genehmigung von BCPs/DRPs sowie die Pflege genauer Dokumentation, Eskalationskanäle und Kontaktlisten. Pläne müssen manuelle kompensierende Kontrollen, Aktivierung alternativer Standorte, Krisenkommunikation und Notfallstrategien für die Lieferkette umfassen. Regelmäßige Tests, einschließlich jährlicher Resilienzbewertungen, Tabletop-Übungen und simulierter Failovers, sind verpflichtend, um Wirksamkeit, Abhängigkeiten und den Risikoprofilstatus zu überprüfen. Die Richtlinie behandelt zudem die Integration der Kontinuitätsplanung mit Sicherheit und Incident Response, sodass während der Wiederherstellung keine Kompromisse bei Informationssicherheitskontrollen entstehen. Ausnahmemanagement, Risikobewertung und Eskalationsprotokolle sind definiert; kontinuierliche Überwachung der Einhaltung sowie Disziplinarmaßnahmen bei Nichteinhaltung stellen die Durchsetzung sicher. Diese Richtlinie ist strikt an führenden globalen Normen und regulatorischen Rahmenwerken ausgerichtet und unterstützt Sorgfaltsprüfung in operativer Resilienz sowie Auditierbarkeit für rechtliche oder vertragliche Verpflichtungen.