Unternehmen und andere Organisationen sind ständig Gefahren ausgesetzt. Doch auch wenn Krisen und Störfälle sich nicht immer vermeiden lassen: Eine durchdachte Vorbereitung hilft. Mit Normen für stärkere Belastbarkeit, Risikomanagement und Business Continuity Management.

So hilft die ISO 22316, Ihr Unternehmen belastbarer zu machen

Die Fähigkeit, Veränderungen in der Umgebung aufzunehmen und sich an diese anzupassen, wird gemeinhin als Resilienz beschrieben. Ein Unternehmen (oder eine andere Organisation) soll in die Lage versetzt werden, Belastungen zu überstehen, dabei die gesteckten Ziele zu erreichen und sich vorteilhaft zu entwickeln.

Es gibt keine absolute Kennzahl oder ein bestimmtes Ziel für Resilienz. Eine Organisation kann nur relativ gesehen – mehr oder weniger – resilient (belastbar) sein. Organisationen, die stärker belastbar sind, können Bedrohungen und Chancen, die sich aus plötzlichen oder schleichenden Veränderungen ihrer Umgebung entwickeln, vorausahnen und darauf reagieren.

Die eigene Belastbarkeit zu steigern, kann ein strategisches Ziel der Organisation sein und ist das Ergebnis guter und verantwortungsvoller Unternehmensführung sowie eines wirksamen Umgangs mit Risiken.

Es gibt keinen allgemeingültigen Lösungsansatz, um die Belastbarkeit einer Organisation zu erhöhen. Zwar gibt es etablierte Führungsmethoden, die zur Belastbarkeit des Unternehmens beitragen – aber einzeln betrachtet reichen diese Methoden nicht aus, um die Belastbarkeit abzusichern. Die Belastbarkeit einer Organisation ist das Ergebnis des Zusammenspiels von Merkmalen und Maßnahmen sowie Beiträgen verschiedener Führungs-Fachgebiete. Sie werden vor allem durch drei Faktoren beeinflusst: den Umgang mit Unsicherheiten, die Art der Entscheidungsfindung und die Qualität der Zusammenarbeit in der Belegschaft.

Verpflichtet sich eine Organisation auf das Ziel, ihre Belastbarkeit zu erhöhen, erreicht sie dadurch:

• eine verbesserte Fähigkeit, Risiken vorherzusehen und mit ihnen umzugehen
• eine verstärkte Koordination und Integration von Steuerungsmaßnahmen, um den logischen Zusammenhang und die Leistung zu verbessern
• ein größeres Verständnis der interessierten Parteien (Stakeholder) für ihre gegenseitigen Abhängigkeiten, mit denen die strategischen Zwecke und Ziele zusammenhängen.

ISO 22316:
der internationale Standard für Resilienz

Die ISO 22316 (Security and Resilience – Organizational Resilience – Principles and Attributes) kann Unternehmen dabei unterstützen, ihre Belastbarkeit zu erhöhen. Die internationale Norm enthält unter anderem:

• Grundsätze für die Steigerung der Belastbarkeit einer Organisation (Abschnitt 4)
• Merkmale, die erfüllt sein müssen, um die Übernahme der Grundsätze zu ermöglichen (Abschnitt 5)
• Flankierende Maßnahmen zur Nutzung, Bewertung und Verbesserung der Merkmale (Abschnitt 6)

Abschnitt 4: Grundsätze

In Abschnitt 4.1 der Norm werden die Grundsätze für einen verbesserten Stand der Belastbarkeit aufgeführt:

In einem koordinierten Ansatz soll die Organisation

• sicherstellen, dass die Führungskräfte der Verbesserung der Unternehmensbelastbarkeit verpflichtet sind
• erforderliche Ressourcen bereitstellen
• sich eine angemessene Struktur der Unternehmensführung geben, um die Aktivitäten zur Steigerung der Belastbarkeit des Unternehmens wirksam zu koordinieren
• sicherstellen, dass die Investitionen in Resilienz-Aktivitäten für das Umfeld der Organisation angemessen sind
• Systeme zur Verfügung stellen, die eine wirksame Implementation von Resilienz-Aktivitäten unterstützen
• Maßnahmen zur Unterstützung der betrieblichen Anforderungen einleiten, mit denen die Belastbarkeit bewertet und gesteigert werden kann
• wirksame Kommunikation ermöglichen, um die Verständigung und Entscheidungsfindung zu verbessern.

Abschnitt 5: Merkmale für die betriebliche Belastbarkeit

Wenn eine Organisation (ein Unternehmen) sich die Grundlagen für die eigene Belastbarkeit angeeignet hat, wird sie in der Regel die Eigenschaften aufweisen, die in der Norm beschrieben sind:

• Gemeinsame Vision und Transparenz des Zwecks
• Verständnis und Beeinflussung des Umfelds
• Wirksame und bevollmächtigte Führung
• eine Kultur, die die betriebliche Belastbarkeit unterstützt
• geteilte Information und Wissen
• Verfügbarkeit von Ressourcen
• Entwicklung und Koordination von Steuerungselementen
• Unterstützung von ständiger Verbesserung
• die Fähigkeit, Veränderungen vorherzusehen und zu steuern

Der Entwicklung und Koordination von Steuerungselementen kommt dabei besondere Bedeutung zu. Ihr Entwurf und ihre Entwicklung und Koordination sowie ihre Ausrichtung an den strategischen Zielen sind grundlegend für die Verstärkung der betrieblichen Belastbarkeit. Die Organisation sollte darstellen, dass sie

• ihre Steuerungselemente koordiniert, sodass diese einzeln und zusammen zum Zweck des Unternehmens beitragen und seinen Wert schützen
• die mit den Steuerungselementen verbundenen Risiken angemessen behandelt.

Abschnitt 6: Bewertung der Faktoren, die zur Belastbarkeit beitragen

Die Bewertung stellt der Unternehmensleitung Einsichten und Informationen zur Verfügung, wie die Strategie und die Ziele der betrieblichen Belastbarkeit noch den Anforderungen der Organisation gerecht werden oder wo Chancen zur Verbesserung bestehen.

Die Unternehmensleitung muss dafür

• angemessene Ziele der betrieblichen Belastbarkeit festlegen
• Bemessungskriterien für die Bewertung der Belastbarkeitsmerkmale entwickeln
• den Status der Belastbarkeitsreife überwachen und auswerten
• identifizieren, was ausgewertet und überwacht werden muss
• Schwellenwerte bestimmen, bei deren Einhaltung die Ergebnisse der Bewertung als akzeptabel eingestuft werden
• entscheiden, wie Bewertungs- und Überwachungsregelungen in bestehende Überwachungsprozesse integriert werden können
• vorgeben, wie die Ergebnisse der Überwachung analysiert, bewertet und berichtet werden sollen.

Die Organisation soll

• eine Beurteilung zur Bestimmung der Belastbarkeit durchführen, bevor ein Überwachungsprozess implementiert wird
• feststellen, ob die Belastbarkeit aus Sicht der obersten Leitung ausreichend ist
• angemessene Strategien prüfen, um sich wesentlichen Lücken, die in der Bewertung aufgefunden werden, zu widmen.

Anhang A: Relevante Steuerungselemente

Im Anhang der Norm werden Steuerungselemente aufgezählt, die die Empfehlungen der Norm im Abschnitt 5.8 unterstützen.

Fazit

Resilienz ist in der Definition der ISO-Normen kein unternehmerisches Steuerungselement, sondern das Ergebnis der Anwendung von Steuerungselementen, deren Anforderungen den Managementsystemnormen zu entnehmen sind. Daher reicht es nicht, die ISO 22316 anzuwenden. Sie ist nur eine Hilfsnorm, die den Zusammenhang mit Empfehlungen beschreibt. Die Liste der Steuerungselemente im Anhang A liefert den relevanten Gesamtzusammenhang für die Belastbarkeit einer Organisation.

Business Continuity Management: Gut absichern, damit der Betrieb weiterläuft

In einem Markt mit globalen Lieferketten können sich Störfälle zu unerwarteten Gefährdungen entwickeln. Die Corona-Pandemie hat gezeigt, wie anfällig viele Unternehmen zum Beispiel im Fall eines Lockdowns sind. Auch wenn nicht alle potenziellen Risiken im Vorfeld abgewendet werden können: Ein Business Continuity Management (BCM) nach ISO 22301 erleichtert die Aufrechterhaltung der Betriebsfähigkeit im Ernstfall erheblich.

Zu den für die Belastbarkeit (Resilienz) eines Unternehmens relevanten Steuerungselementen gehört die Aufrechterhaltung der Betriebsfähigkeit durch Business Continuity Management (BCM). Die Anforderungen für das BCM ergeben sich aus der DIN EN ISO 22301:2020-06; ergänzende Empfehlungen finden sich in den Begleitnormen. Auch in kleinen und mittleren Unternehmen lassen sich die Normen ohne Weiteres umsetzen.

DIN EN ISO 22301 – der Rahmen für
Business Continuity Management

Seit 2012 stellt die ISO 22301 ein Rahmenwerk zur Verfügung, mit dem sich ein Business Continuity Managementsystem (BCMS) nicht nur planen, entwickeln, einführen und betreiben, sondern auch überwachen und überprüfen lässt. Die Norm war weltweit der erste Standard, der die Anforderungen beschreibt, die nötig sind, um die Aufrechterhaltung der Betriebsfähigkeit zu steuern. Im Oktober 2019 wurde sie mit der Veröffentlichung der neuen englischen Fassung aktualisiert sowie  als europäische Norm – und damit auch als deutsche Norm (DIN EN ISO 22301) – übernommen.

Die Norm folgt dem PDCA-Ansatz (Plan – Do – Check – Act), der für alle ISO‑Management­systemnormen gilt.

DIN EN ISO 22301: Die PDCA-Bestandteile der Norm

Auch wenn die meisten Zwischenfälle klein sind, können sie bedeutende Auswirkungen haben. Deshalb lohnt sich ein BCM zu jeder Zeit. Inzwischen gibt es ein globales Bewusstsein dafür, dass Organisationen im öffentlichen und privaten Sektor wissen müssen, wie sie sich auf unerwartete Störfälle vorbereiten und auf diese reagieren.

Für die Aufrechterhaltung der Betriebsfähigkeit stellt die Internationale Organisation für Normung (ISO) eine Dokumentenfamilie zur Verfügung. ISO 22301 ist die Basisnorm für die Aufrechterhaltung der Betriebsfähigkeit. Sie wird unterstützt von der ISO 22313 (Sicherheit und Schutz des Gemeinwesens – Business Continuity Management Systems – Leitlinie), die Leitlinien zur Implementierung der ISO 22301 enthält. Vertiefende Information und Beispiele, die ein umfänglicheres Verständnis für das BCMS enthalten, finden sich in mehreren Technischen Spezifikationen (TS). Die wichtigsten:

• ISO TS 22317 (Business Impact Analyse)
• ISO TS 22318 (Lieferkettenkontinuität)
• ISO/TS 22330 (Leitlinien für Personenaspekte)
• ISO TS 22331 (Business Continuity Strategie).

Die Einführung der Norm

Der erste Schritt bei der Einführung der ISO 22301 in einem Unternehmen konzentriert sich auf vier Abschnitte der Norm, deren Anforderungen für ein wirksames Business Continuity Management System (BCMS) berücksichtigt werden müssen:

• Die relevanten externen und internen Themen der Organisation verstehen (Abschnitt 4)
  Dieser Abschnitt der Norm legt die Anforderungen für die Ermittlung des Umfelds der Organisation fest. Warum gibt es die Organisation, was ist ihre Mission und was sind die Anforderungen und Erwartungen der interessierten Parteien? Welche Angelegenheiten beeinflussen die Fähigkeit der Organisation, die beabsichtigten Ergebnisse des BCMS zu erreichen?
• Verpflichtung der Führung, getragen von Leitlinien und Verantwortung (Abschnitt 5)
  Gute Unternehmensleitung ist erforderlich, um die Notwendigkeit und den Nutzen eines BCMS zu erkennen. Die Unternehmensleitung entwickelt eine Leitlinie zum Thema „Aufrechterhaltung der Betriebsfähigkeit“. Damit liegt ein formales Dokument vor, das den Auftrag zur Entwicklung eines Steuerungssystems enthält. Einzelheiten für die Rollen und Verantwortlichkeiten im Rahmen dieses Steuerungssystems sind in der ISO 22313 aufgelistet.

• Die Planung, die zu Begründung strategischer Ziele und Leitbilder sowie für Änderungen zum BCMS erforderlich ist (Abschnitt 6)
  Die DIN EN ISO 22301 kennt zwei unterschiedliche Arten der Planung:
  (1) Abschnitt 6 beschreibt die Anforderungen zur Festlegung der strategischen Ziele und leitenden Prinzipien für das BCMS.
  (2) Abschnitt 8 beinhaltet die Planung, die notwendig ist, um die erforderlichen Fähigkeiten, Pläne und Kompetenzen zur Aufrechterhaltung der Betriebsfähigkeit operativ zu definieren und umzusetzen.
  
  Im Abschnitt 6 konzentriert sich die DIN EN ISO 22301 besonders auf folgende Schritte:
  • Risiken und Chancen zu ermitteln
  • Pläne aufzustellen, um die Aufrechterhaltung der Betriebsfähigkeit zu erreichen
  • Notwendige und sinnvolle Änderungen des BCMS zu planen.

Jedes Thema in einem Unternehmen kann mit Risiken oder Chancen verbunden sein, die gegebenenfalls Maßnahmen erforderlich machen. Im Zusammenhang mit Abschnitt 6 beziehen sich Risiken und Chancen auf die Wirksamkeit des Steuerungssystems, mit dem die Betriebsfähigkeit aufrechterhalten werden soll.

Die Organisation muss die Ziele zur Aufrechterhaltung der Betriebsfähigkeit konkretisieren: Sie müssen an den maßgeblichen Funktionen des Betriebes ausgerichtet werden. Dabei wird bestimmt, was getan werden muss, welche Hilfsmittel erforderlich sind, wer verantwortlich ist und wie die Ergebnisse bewertet werden.

Werden Schwachstellen oder Chancen für die Verbesserung des BCMS identifiziert, müssen Änderungen geplant und umgesetzt werden.

• Die Ressourcen, die zur Unterstützung des BCMS erforderlich sind (Abschnitt 7)
  Das BCMS soll insbesondere durch folgende Merkmale unterstützt werden:

1. Hilfsmittel (Ressourcen), die von der Unternehmensleitung geprüft und zur Verfügung gestellt werden.
2. Kontrolle von Personen, die die erforderliche Kompetenz vorweisen können bzw. entsprechend fortgebildet werden.
3. Die Belegschaft soll die Leitlinien für die Aufrechterhaltung der Betriebsfähigkeit, ihren Beitrag zum BCMS und ihre eigene Rolle und Verantwortlichkeit vor, während und nach einer Störung kennen.
4. Es muss bestimmt werden, was (extern und intern) im Fall einer betrieblichen Störung kommuniziert wird, wann es kommuniziert wird, wem es berichtet wird, wie es kommuniziert wird und wer es kommuniziert.
5. Information soll so dokumentiert werden, dass sichergestellt ist, dass der Organisation jederzeit die notwendigen Informationen zur Erreichung der Ziele des BCMS zur Verfügung stehen.

Die Umsetzung der Norm

Abschnitt 8 der Norm beschreibt, wie die Fähigkeiten des Unternehmens zur Steuerung der Aufrechterhaltung der Betriebsfähigkeit festgelegt und umgesetzt werden. Dafür werden vier Themen angesprochen

1. Definieren der Anforderungen und des Gefahrenpotenzials (Business Impact Analyse und Risikobeurteilung, Abschnitt 8.2)
Anforderungen und Gefahrenpotenziale werden mittels einer Business Impact Analyse (BIA) und einer Risikobeurteilung (RA) definiert. 
Um die Auswirkungen von Störungen (und den Zeitrahmen, über den ihr Ausmaß bewertet wird) zu verstehen, sind Kennzahlen erforderlich. Zwei Größen müssen bestimmt werden:

• die maximal zulässige Dauer einer Störung (Maximum Tolerable Period of Disruption, MTPD) – also der Zeitpunkt, ab dem die Existenz der Organisation bedroht ist
• das Planziel für die Dauer der Wiederherstellung (Recovery Time Objective, RTO).

Wenn jeder Aktivität ein RTO zugeordnet wird, ergibt sich eine aufsteigende RTO-Liste, die es möglich macht, die Aktivitäten mit Priorität zu identifizieren. Um gleichzeitig die materiell wichtigen Ressourcen zu bestimmen, die für die Wiederherstellung einer Aktivität erforderlich sind, ist auch jeder Ressource das RTO der Aktivität zuzuordnen. 

Das im Rahmen der Risikobeurteilung identifizierte Risiko muss im Zusammenhang mit Aktivitäten und Ressourcen hoher Priorität stehen. Maßgeblich sind dabei die Gefahren, die eine betriebliche Störung zur Folge haben können. Für den Prozess der Risikobeurteilung wird auf die ISO 31000 (Risikomanagement) verwiesen.

2. Definieren der Strategien, um die Anforderungen an die Aufrechterhaltung der Betriebsfähigkeit zu erfüllen, das Gefahrenpotential zu entschärfen und Lösungen zur Umsetzung auszuwählen (Abschnitt 8.3)

Die Organisation muss Strategien und Lösungen vor, während und nach einer Störung ermitteln und auswählen. Für jede Aktivität und Ressource mit Priorität sollte geschultes und erfahrenes Personal bei der Bestimmung von geeigneten Strategien zusammenarbeiten. Für jede ausgewählte Lösung müssen die für die Umsetzung der Lösung erforderlichen Hilfsmittel ermittelt werden.

3. Umsetzen dieser Lösungen durch Steuerungsmaß­nahmen mittels Planung und kompetenter Teams (Abschnitt 8.4)

Basierend auf den Strategien und Lösungen sollte die Organisation eine dokumentierte Reaktionsstruktur haben: ein Dokument, das beschreibt, wie die Organisation während einer Störung gesteuert wird.

Für sich allein sind Pläne und Methoden nutzlos. Sie müssen von Teams befolgt werden, die so aufgestellt sind, dass sie die allgemeinen Bedürfnisse der Organisation während einer Störung erfüllen können. Wesentlich für eine erfolgreiche Reaktionsstruktur ist es, sicherzustellen, dass die Teams schnell eingesetzt werden können und dass jedes Team in der Lage ist, seine Ziele zu erreichen.

• Nachweisen, dass Leistungsfähigkeit, Pläne und Teams zusammen die Anforderungen der Business Impact Analyse erfüllen (Abschnitt 8.5 und 8.6)

  Um die Kompetenz, das Selbstvertrauen und das Wissen derjenigen zu verbessern, denen bestimmte Rollen bei der Reaktion auf eine Störung und der anschließenden Wiederaufnahme des Betriebs zukommen, wird das BCM durch Übungen und Prüfungen (samt Dokumentation der Ergebnisse) verankert. Zusätzliche Handlungsempfehlungen finden sich in der ISO 22398 (Sicherheit und Schutz des Gemeinwesens – Leitfaden für das Üben und Erproben).

  Bewertungen der BC-Fähigkeiten und der Teamkompetenz sollen zeigen, ob diese weiterhin geeignet, angemessen und wirksam sind. Die Erfahrungen sollen helfen, die Prozesse bei ihrer Überprüfung zu verbessern und an die Leitlinien anzupassen.

Am Ende der Norm steht – wie bei allen Managementsystemnormen der ISO die Anforderung, die Leistung und die Wirksamkeit des BCMS zu bewerten, die Möglichkeiten zur Verbesserung des BCMS zu bestimmen es fortlaufend zu verbessern.