Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

2.2 Verantwortung übernehmen

Notfallmanagement als Überlebensversicherung

Wie auch bei der Steuerung der Informationssicherheit muss auch die Initiative zum Notfallmanagement von der Leitung einer Institution (eines Unternehmens, einer Behörde) ausgehen. Diese ist dafür verantwortlich, dass gesetzliche Anforderungen und vertragliche Verpflichtungen eingehalten und interne Regelungen beachtet werden. Bei Verstößen kann sie unter Umständen haftbar gemacht werden.

Die Leitung muss daher ausreichende Ressourcen (Personal, Zeit, Finanzmittel) für das Notfallmanagement bereitstellen. Ein Mitglied der obersten Leitungsebene sollte außerdem als Prozesseigentümer die Hauptverantwortung für das Notfallmanagement übernehmen und alle Phasen des Prozesses aktiv unterstützen. Die Gesamtverantwortung für das Notfallmanagement verbleibt auch dann bei der Leitungsebene, wenn sie Teilaufgaben delegiert hat.

Externe Anstöße für Notfallmanagement

In der Regel unterliegen Unternehmen und Behörden keiner unmittelbaren Verpflichtung dazu, einen Notfallmanagement-Prozess gemäß BSI-Standard 100-4 oder einem vergleichbaren Regelwerk zu etablieren. Vielfach ergibt sich jedoch aus gesetzlichen Anforderungen oder anderen Verpflichtungen eine indirekte Notwendigkeitzu einer aktiv betriebenen Notfallvorsorge.

Beispielsweise sind die Vorstände größerer Kapitalgesellschaften durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zu einem angemessenen Risikomanagement verpflichtet. Dieses wiederum erfordert auch, dass das Unternehmen ausreichend gegen Krisen und Notfälle vorgebeugt hat.

Weitere Gesetze und Verordnungen, aus denen für die betroffenen Unternehmen und Behörden Verpflichtungen zur Notfallprävention folgen, sind

  • das Aktiengesetz (AktG),
  • das Post- und Telekommunikationssicherstellungsgesetz (PTSG),
  • das Börsengesetz (BörsG),
  • das Arbeitsschutzgesetz (ArbSchG),
  • die Störfallverordnung (12. BImSchVStörfallV),
  • die Gefahrstoffverordnung (GefStoffV),
  • die Betriebssicherheitsverordnung (BetrSichV) oder
  • die "Mindestanforderungen an das Risikomanagement" im Bankenbereich (MaRisk).

Interne Anstöße

Notfallmanagement liegt insbesondere aber auch im Eigeninteresse einer Institution. Es erfordert zwar einen gewissen Aufwand an Arbeitszeit und zusätzliche materielle Ressourcen. Es trägt aber dazu bei, die Überlebensfähigkeit der Institution zu erhöhen und ermöglicht, flexibler auf Notfälle zu reagieren.

Darüber hinaus erfordert Notfallmanagement auch die gründliche Beschäftigung mit den Prozessen einer Einrichtung. Die Vorgänge und Abhängigkeiten werden transparenter, wodurch – als Nebeneffekt – auch Verbesserungspotenziale für deren Normalbetrieb sichtbar werden können.

Für Notfallmanagement werben

Hinweis-Piktogramm

Bisweilen zeigt die Leitung einer Institution wenig Neigung zur Einführung eines umfassenden Notfallmanagement-Prozesses. In solchen Fällen sollten Sie als Sicherheitsverantwortlicher versuchen, die Leitung entsprechend zu sensibilisieren. Gegebenenfalls bietet es sich an "Bündnispartner" zu suchen. Dies können Mitarbeiter sein, deren Aufgabengebiet einen starken Bezug zum Notfallmanagement hat (Revision, Risikomanagement). Weniger ist mehr als nichts: Bei starken Widerständen sollten Sie daher Teilschritte weiterverfolgen, die eine Chance haben, von der Leitung getragen zu werden.

Übungsfragen-Piktogramm

Stellen Sie sich vor, Sie möchten die Leitung Ihres Unternehmens oder Ihrer Behörde für mehr Notfallmanagement motivieren. Wie würden Sie vorgehen?

Vorherige/nächste Seite:

Weitere Informationen

Zurück zu Bundesamt für Sicherheit in der Informationstechnik

Kurz-URL:
https://www.bsi.bund.de/dok/6610890