Bei der Business Impact Analyse werden die kritischen Geschäftsprozesse und Ressourcen einer Institution ermittelt. Im darauf folgenden Schritt ist zu prüfen, wodurch Kontinuität und Verfügbarkeit dieser Prozesse und Ressourcen gefährdet werden können. Der BSI-Standard 100-4 schlägt für eine solche Risikoanalyse die folgenden Schritte vor:

• Risikoidentifikation (Welche Risiken bestehen?)
• Risikobewertung (Wie schwerwiegend sind diese Risiken?)
• Bildung von Risikoszenarien (Wie können die Risiken gruppiert werden?)
• Wahl der Risikostrategien (Wie ist mit den ermittelten Risiken zu verfahren?)

Die Ergebnisse können sowohl dazu beitragen, mögliche Vorkehrungen zu identifizieren, mit denen die Risiken verringert werden können, als auch Szenarien zu entwickeln, für die Notfallpläne zu entwickeln sind.

In vielen Unternehmen und Behörden gibt es Abteilungen oder Bereiche, die sich ebenfalls mit der Identifikation, Bewertung und Behandlung von Risiken beschäftigen. Beispielsweise ist für größere Kapitalgesellschaften der Betrieb eines Risikomanagementsystems gesetzlich vorgeschrieben. Die Vorsorge gegen Risiken ist auch Aufgabe bei der Gewährleistung der Informationssicherheit. Greifen Sie daher bei der Notfallkonzeption auf die vorhandenen Untersuchungen zurück und ergänzen Sie diese bei Bedarf. Unter Umständen kann sogar auf eine eigene Risikoanalyse im Rahmen der Notfallkonzeption vollständig verzichtet werden.