Business Continuity Plan · BCP nach ENS

Compliance · ENS · Business Continuity

Ein BCP ausgerichtet am Spanischen Nationalen Sicherheitsgrundgesetz (ENS) garantiert Service-Verfügbarkeit auch bei Vorfällen. Er umfasst BIA, Wiederherstellungsstrategien, DRP und regelmäßige Übungen.

Service-Verfügbarkeit ist keine Vermutung, sondern Anforderung. Das Spanische Nationale Sicherheitsgrundgesetz (ENS) verlangt in der Klausel op.cont konkrete Maßnahmen zur Aufrechterhaltung essentieller Services bei Vorfällen. Dieser Leitfaden zeigt, wie ein BCP von Grund auf entworfen, getestet und kontinuierlich verbessert wird.

Anforderungen des Spanischen Nationalen Sicherheitsgrundgesetzes (ENS)

• Identifikation essentieller Services und ihrer Abhängigkeiten.
• BIA mit RTO und RPO je Service.
• Wiederherstellungsstrategien proportional zur Kategorie (Basic, Mittel, Hoch).
• Vollständige BCP-Dokumentation mit Rollen, Aktivierung, Kommunikation.
• Disaster Recovery Plan für IT-Systeme.
• Mindestens jährliche Übungen und Tests.
• Managementbewertung der Wirksamkeit.

Implementierungsphasen

1. Anwendungsbereich und Governance

Definieren Sie, welche Services im BCP enthalten sind, weisen Sie Rollen zu (BCP-Verantwortlicher, Sicherheitsverantwortlicher, Kommunikationsverantwortlicher) und sichern Sie das Sponsorship der Geschäftsleitung.

2. Business Impact Analysis (BIA)

Identifizieren Sie alle Geschäftsprozesse und ihre Komponenten (Personen, Technologie, Lieferanten, Standorte). Quantifizieren Sie die Auswirkung pro Stunde Ausfall (finanziell, reputationell, rechtlich). Definieren Sie RTO und RPO je Prozess.

3. Risikoanalyse mit Fokus auf Verfügbarkeit

Identifizieren Sie Bedrohungen: Cyberangriff, Naturkatastrophe, Stromausfall, Lieferantenausfall, Pandemie. Bewerten Sie Wahrscheinlichkeit und Impact, identifizieren Sie Risikomitigationsmaßnahmen.

4. Wiederherstellungsstrategie

Für jeden kritischen Service wählen Sie die kosteneffizienteste Strategie nach RTO/RPO: aktiv-aktiv Standort, warm-Standby, Cloud-Failover, Hot-Site, alternative manuelle Prozesse.

5. Plandokumentation

Schreiben Sie das BCP mit klaren Aktivierungsabläufen, internem und externem Kontaktverzeichnis, Krisenkommunikation, Eskalationskriterien. Der DRP geht detailliert auf IT-Systemwiederherstellung ein.

6. Training und Übungen

Schulen Sie das Team in Rollen und Verantwortlichkeiten. Führen Sie jährlich eine vollständige Übung, halbjährlich technische Tests, quartalsweise Tabletop-Exercises durch. Erstellen Sie Lessons-Learned-Berichte und aktualisieren Sie den Plan.

BCP-Dokumentenstruktur

1. Anwendungsbereich und Politik der Business Continuity.
2. Liste essentieller Services und Verantwortliche.
3. Zusammenfassung der BIA mit RTO/RPO.
4. Risikoanalyse Verfügbarkeit.
5. Wiederherstellungsstrategien pro Service.
6. Aktivierungs- und Eskalationsablauf.
7. Krisenkomitee und Verantwortlichkeiten.
8. Krisenkommunikationsplan.
9. Internes und externes Kontaktverzeichnis.
10. Spezifischer DRP.
11. Übungs- und Testplan.
12. Aktualisierungs- und Versionskontrollverfahren.

KPIs Business Continuity

• Real gemessenes RTO vs. Soll.
• Real gemessenes RPO vs. Soll.
• Quote durchgeführter geplanter Übungen.
• Quote der in der Übung getroffenen RTO-Ziele.
• Zeit der Krisenkomitee-Aktivierung.
• Geschultes Personal im BCP.

Praxisbeispiel: Kommune mit 25.000 Einwohnern

Eine Kommune in Castilla y León mit 25.000 Einwohnern (ENS mittlere Kategorie) implementierte ihr BCP nach Ransomware-Vorfall, der den Bürgerservice 4 Tage lahmlegte. BIA identifizierte 12 essentielle Services, davon 5 mit RTO unter 8 Stunden. Investition 38.000 € in Cloud-Replik und Sekundärstandort. Erste jährliche Übung: 3 der 5 kritischen Services innerhalb der Ziel-RTO wiederhergestellt; identifizierte Verbesserungen für die anderen 2 in der zweiten Iteration umgesetzt.

Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro