Neuer BSI-Standard 200-4: Aus Notfallmanagement wird Business Continuity Management (BCM)

Tritt in einer Institution eine Krise oder ein Notfall auf, ist schnelles Handeln notwendig. Jeder Handgriff muss sitzen. Durch klare Prozess- und Aufgabenfestlegung kann das gelingen. Praxisnahe Anleitung zum Aufbau eines Business Continuity Management Systems (BCMS) gibt der neue BSI-Standard 200-4. Die Weiterentwicklung des etablierten BSI-Standards 100-4 enthält zahlreiche Neuerungen, basierend auf aktuellen Erkenntnissen im Bereich Business Continuity sowie durch die jüngsten Erfahrungen aus der Corona-Pandemie.

Dazu Arne Schönbohm, Präsident des BSI:
„Als Gestalter einer sicheren Digitalisierung in Deutschland bietet das BSI Unternehmen, Behörden und anderen Institutionen seit über 25 Jahren den IT-Grundschutz zur Absicherung ihrer IT-Infrastruktur an. Der IT-Grundschutz hat sich auch deswegen etabliert, weil wir ihn kontinuierlich weiterentwickeln und auf dem neuesten Stand halten. Der neue Standard 200-4 ersetzt den alten Standard 100-4. Er berücksichtigt passgenau und modular die verschiedenen Bedürfnisse unterschiedlich großer Anwender. Als die Cyber-Sicherheitsbehörde des Bundes ist es uns ein wichtiges Anliegen, IT-Systeme in Wirtschaft und Staat ausfallsicherer zu machen und Anwender zu befähigen, in Krisen und Notfällen schnell zu reagieren.“

Die Änderungen im Überblick:

• Stufenmodell mit vereinfachten Einstiegstufen (Reaktiv-BCMS und Aufbau-BCMS) und einer mit der internationalen Norm ISO 22301:2019 kompatiblen Stufe (Standard-BCMS)
• Umfangreiche Darstellung der möglichen Synergien innerhalb des IT-Grundschutzes zwischen dem Managementsystem für Informationssicherheit und dem Business-Continuity-Management-System. Darüber hinaus werden auch weitere Synergien mit relevanten Managementsystemen und Disziplinen ermöglicht (z.B. IT-Service-Continuity-Management, Krisenmanagement usw.)
• Detailliertere Ausarbeitung von Teilen der Methodik mit umfangreichen Hilfestellungen, z.B. zur Etablierung der Besonderen Aufbauorganisation (Stabsstruktur), im Soll-Ist-Vergleich, in der Geschäftsfortführungsplanung oder Wiederanlaufplanung usw.
• Vereinfachung der Methodik, z.B. in der Behandlung von Geschäftsprozessabhängigkeiten
• Kontinuierliche Bereitstellung vieler Hilfsmittel, zum Teil mit Beispieltexten

Die BSI-Standards sind ein elementarer Bestandteil der IT-Grundschutz-Methodik. Sie enthalten Anforderungen und Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen zu unterschiedlichen Aspekten der Informationssicherheit und der Business Continuity.

Der Community Draft des BSI-Standards 200-4 kann bis zum 30. Juni 2021 kommentiert werden. Das BSI wird über Updates zum BSI-Standard 200-4 sowie die Veröffentlichung des Anforderungskatalogs und weiterer Hilfsmittel während der Kommentierungsphase informieren (BCM-Newsletter).

Der Community Draft des BSI-Standards 200-4 steht auf der BSI-Webseite zur Verfügung unter:

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Standard204/ITGStandard204_node.html