01
Risikoanalyse
Im Rahmen einer Business Impact Analyse (BIA) wird geprüft, welche Geschäftsprozesse wichtig für die Aufrechterhaltung des Geschäftsbetriebs sind und welche Folgen ein Ausfall haben kann. Diese „kritischen“ Geschäftsprozesse sind im Rahmen des Notfallmanagements besonders abzusichern und Vorsorge für die Krise ist zu treffen. Gemeinsam mit der Geschäftsleitung priorisieren wir Ihre Risiken und orientieren uns unmittelbar an den Bedürfnissen Ihres Geschäftsmodells und Ihrer Branche. Dabei behalten wir alle Stakeholder im Blick und stellen Sie krisensicher auf.
02
Notfallvorsorgekonzept und organisatorische Vorbereitungen
Ein Konzept für das Notfallmanagement einer Organisation ist zu erstellen, es deckt sowohl die Notfallvorsorge, die Notfallbewältigung als auch die Notfallnachsorge ab. Um einen solchen Prozess etablieren und aufrechterhalten zu können, ist ein effizientes Managementsystem (Leitlinien, Prozesse) notwendig und die nötigen internen Voraussetzungen (Ressourcen, Rollen, Gremien). Es werden der strategische Verantwortungsbereich (Gesamtverantwortung für die unternehmerischen oder planerischen Handlungen), der taktische Verantwortungsbereich (Umsetzung der strategischen Vorgaben) und der operative Verantwortungsbereich (Umsetzung der Vorgaben der strategischen und taktischen Ebene) unterschieden. Ohne Organisation kann ein Notfall nicht bewältigt werden!
03
Erstellung von Notfallplänen und Verzahnung in die Abläufe und Prozesse
Hier entstehen Wiederanlaufpläne, Informations- und Kommunikationspläne, usw., die in einer Ablauforganisation einzubetten sind. Zudem können Kompetenzen und Entscheidungsparameter festgelegt werden. Auch ein "Notbetrieb" sollte definiert werden, ebenso Rückführungsstrategien aus diesem Status in der Regelbetrieb. Nicht unerwähnt soll auch die Planung der Krisenkommunikation bleiben, die eine sehr wichtige interne und externe Maßnahme ist, um Kunden, Geschäftspartner, Behörden, die Öffentlichkeit und die eigenen Mitarbeiter angemessen zu informieren. Risiken aus Meldepflichten (z. B. Börsennotierte Unternehmen), Image-Schäden oder auch Kündigungswellen durch Kunden können mehr Schaden verursachen als unter Umständen der tatsächliche Vorfall selbst!
04
Übung von Notfällen und kontinuierliche Verbesserung
Übungen trainieren die in den Plänen beschriebenen Abläufe, schaffen routinierte Handlungsabläufe und verifizieren die effiziente Funktionalität der Lösungen. Sie verbessern die Reaktionsfähigkeit sowie die Handlungssicherheit der Mitarbeiter. Da Menschen in Krisensituation und dem damit verbundenen Stress dazu neigen, unüberlegt, überhastet und vor allen falsch und irrational zu reagieren, sollten die zuletzt genannten Ziele von Übungen nicht unterschätzt werden. Neben der realen Lösung sind auch Verbesserungsmöglichkeiten zu prüfen.
Wie etablieren wir ein Notfallmanagement
Ein exemplarischer Ablauf im Überblick
Gerne arbeite ich beim nächsten Projekt wieder mit Herrn Salvador und Team zusammen. Danke und alles Gute!
Andreas Freitag, BMW AG
Mein TISAX® Audit verlief reibungslos und war auf Anhieb erfolgreich, wir konnten unsere Informationssicherheit gemäß TISAX® nachweisen und können damit nun neue Automotive-Kunden gewinnen.
Lücken in unserer Vorbereitung bzw. Prüfung wurden zeitnah geschlossen und Dokumente in hoher Qualität wurden von Opexa geliefert. Das Team um Klaus Höllerer, Klaus Kilvinger und Thomas Salvador kann ich nur empfehlen.
Dr. Samir Kadunic, MAASU GmbH
Bei der Prüfung von Kundenanforderungen im Bereich TISAX® gab es dringenden Beratungsbedarf im Unternehmen. Dank der Hilfe der Opexa Advisory GmbH konnten wir unsere Kundenanforderungen erfüllen und zudem unsere Ziele mit einer deutlichen Kostenersparnis erreichen.
Die Opexa Advisory ist wegen der langjährigen Automotive-Erfahrung, dem Projekt Know-how und ihrer kompetenten, effizienten und unkomplizierten Unterstützung der ideale Partner.
Herbert Schmidt, Dennemeyer & Co. GmbH
Was unsere Kunden sagen
Häufige Fragen zum Notfallmanagement
Gibt es Normen dafür?
Wie lange dauert der Aufbau eines Notfallmanagements?
Die Antwort auf die Frage hängt stark von der Definition des Ziels ab, dem (frei nach der Scrum - Terminologie) "Defintion of Done". Wann ist die Einführung beendet? Denn je nach Organisation, Zeitdruck, den Ressourcen und dem Reifegrad des Unternehmens kann dies unterschiedlich beantwortet werden. Ein vor zwei Jahren gegründetes Start-up für Maschinenbau hat andere Anforderungen als eine 30 Jahre alte Organisation im Finanzwesen. Auch kann iterativ vorgegangen werden, indem zunächst nur wenige entscheidende Hochrisiko-Notfälle erfasst werden und dann schrittweise eine priorisierte Ausweitung erfolgt.
Für das Notfallmanagement können allgemeine und etablierte Normen wie die ISO 22301 herangezogen werden, insbesonders für IT-Risiken kann auch der BSI-Standard 100-4 genutzt werden. Aus dem Bereich des IT-Risikomanagements kann die ISO 27005 zum Einsatz kommen.
Es besteht keine Verpflichtung, eine solche Norm oder einen Standard anzuwenden, jede Organisation kann auch eigenständig festlegen, wie ihr Notfallmanagement aussehen soll. Falls aber ein Zertifikat (z. B. ISO 22301, BSI IT-Grundschutz) vom Kunden angefordert ist oder in der Branche (NIS2, BAIT, DORA, etc.) der Standard ist, fällt die Entscheidung einfach. Standards bieten Vorteile, können aber bei kleineren Organisationen zu übertriebenem Aufwand mit "Shelfware" führen, auch die Anwendbarkeit ist sicherzustellen!
Wir arbeiten bereits nach ISO 27001 bzw. TISAX®, ist das ein Vorteil?
Wer bereits diese Standards nutzt, ist im Vorteil! Denn das Management von Informationssicherheitsrisiken sowie das Incident Management sind bereits Bestandteil des ISMS. Auf dieser Basis kann die Implementation eines allgemeinen Notfallmanagements beschleunigt erfolgen, da teils auf die ISMS-Prozesse, das Wissen und die Organisation, sowie Dokumente und ein Managementsystem aufgebaut werden kann. Es gilt: Je höher der ISMS-Reifegrad, desto besser und schneller erfolgt die Implementation eines Business Continuity Managements.
Welchen weiteren Nutzen können wir uns aus dem Notfallmanagement erwarten?
Nicht nur Cyberrisiken, sondern auch allgemeine Schadensrisiken werden durch aktives Notfallmanagement auf ein Minimum reduziert. Und denken Sie an Ihre Cyberversicherung, deren Prämien ohne nachweisbares Notfallmanagement durchaus höher sein können. Im schlimmsten Falle erhalten Sie gar keinen Versicherungsschutz, wenn Ihre Organisation keine eigenen Aktivitäten im Rahmen von Aktivitäten, Konzepten oder Notfallübungen nachweisen kann. Die Implementierung und das „leben“ eines Notfallmanagement kann die gesamte Stabilität des Unternehmens unterstützen und helfen, die Prozesse sowie Verantwortlichkeiten effizienter zu gestalten. Sie ermöglicht es Ihnen, ihre Verantwortung nachzuweisen, den Mitarbeitern und Kunden mehr Sicherheit zu geben bis hin dazu eine Vorreiterrolle am Markt einzunehmen.
Cyberattacken und Datenschutzvorfälle sind zwei konkrete Themenbereiche, in denen Notfälle vorkommen können und über die in der Presse häufig berichtet wird. Diese mediale Aufmerksamkeit hat ggf. Nachteile, wer will eine schlechte Presse oder will über seine Schwachstellen in der Zeitung lesen oder - noch schlimmer - Sicherheitsprobleme mit den Kunden erörtern müssen?
Das Notfallmanagement - nicht nur bei Cyberattacken - spielt eine wichtige Rolle in einer Organisation, um die Kontinuität des Geschäftsbetriebs sicherzustellen oder bei einem Ausfall in den Kernbereichen schnell wieder aufzunehmen. Wir helfen unseren Mandanten, ein angemessenes Notfallmanagement zu etablieren. Mit uns sind sie für das Unvorhersehbare gerüstet. Wenn Sie sich fragen, wie das geht, dann sprechen Sie uns gerne an!
