Die europäische NIS2-Richtlinie und das kommende tschechische Cybersicherheitsgesetz bringen völlig neue Verpflichtungen für Unternehmen in kritischen Infrastrukturen, digitalen Dienstleistungen und anderen Schlüsselsektoren mit sich. Die Verpflichtung zur Erstellung einer Business Impact Analysis (BIA) ist eine der wichtigsten - und auch die am meisten unterschätzte. Dabei ist es die BIA, die in einer Krisensituation über das Überleben eines Unternehmens entscheiden kann.
Ohne diese Parameter können Sie das Risiko nicht wirksam verwalten. Kein Unternehmen kann heute ohne Risikomanagement auskommen, schon gar nicht unter der NIS2-Verordnung.
Unternehmen auf die neuen Verpflichtungen nach NIS2 / dem neuen Cybersicherheitsgesetz oder DORA vorzubereiten. Wir helfen Ihnen bei der Einrichtung von Prozessen, der Bewertung von Risiken und der Erstellung einer Business Impact Analysis, die nicht nur aus rechtlicher, sondern auch aus geschäftlicher Sicht sinnvoll ist.
Möchten Sie mehr erfahren? Kontaktieren Sie uns. Wir erläutern Ihnen gerne, was eine BIA für Ihr Unternehmen bedeutet.
Autor: Tomáš Kubíček, Libor Šrám
Bei NIS2 geht es nicht nur um Technologie, manchmal geht es buchstäblich ums Überleben
Mit dem Gesetz werden neue Anforderungen an das Risikomanagement, die Sicherstellung der Geschäftskontinuität, einen Notfallwiederherstellungsplan oder die Prüfung der Fähigkeit zur Ereignisbewältigung eingeführt. Mit anderen Worten: Unternehmen müssen nicht nur in der Lage sein, das Risiko eines Cyberangriffs zu minimieren, sondern sich auch schnell wieder zu erholen, wenn es zu einem Angriff kommt. Hier kommt der Business Impact Analysis eine Schlüsselrolle zu.Was ist eine Geschäftsauswirkungsanalyse und warum sollten Sie sich dafür interessieren?
Die Geschäftsauswirkungsanalyse (BIA) ist nicht nur eine analytische Tabellenkalkulation. Sie ist ein praktischer Kompass, der zeigt:- welche Prozesse für Ihr Unternehmen wirklich wichtig sind
- wie viel Ausfallzeit Sie sich noch leisten können
- welche Auswirkungen auf Finanzen, Ruf und Betrieb zu erwarten sind.
Eine gut durchdachte BIA hilft Ihnen bei der Bestimmung:
- RTO - Recovery Time Objective (wie schnell Sie den Prozess wiederherstellen müssen)
- RPO - Recovery Point Objective (wie viele Daten Sie maximal verlieren können)
Ohne diese Parameter können Sie das Risiko nicht wirksam verwalten. Kein Unternehmen kann heute ohne Risikomanagement auskommen, schon gar nicht unter der NIS2-Verordnung.
Welche Szenarien können in der Praxis auftreten?
- Stellen Sie sich vor, es gibt einen Angriff auf eine Bank, bei dem das Internet-Banking abgeschaltet wird. Die Kunden können nicht auf ihre Konten zugreifen, keine Zahlungen tätigen und ihre Finanzen nicht verwalten. Mit jeder Stunde Ausfallzeit steigt die Wahrscheinlichkeit, dass die Kunden massenhaft Geld abheben, das Vertrauen in die Stabilität der Bank schwindet und das Problem schnell in die Schlagzeilen gerät. Ohne eine vordefinierte RTO und RPO kann das IT-Team den Betrieb nicht wirksam wiederherstellen, und die Geschäftsverluste können sich auf mehrere zehn Millionen Kronen pro Tag belaufen.
- Wenn ein Krankenhaus von einem Cyberangriff betroffen ist, der sein Informationssystem lahmlegt, verlieren die Ärzte den Zugang zu medizinischen Aufzeichnungen, Laborergebnissen und Patientenmedikamenten. Das Leben der Patienten ist unmittelbar bedroht. BIA hilft dem Krankenhaus zu bestimmen, welche Prozesse und Systeme (z. B. Zugriff auf EKG-Aufzeichnungen, Medikamente, Notaufnahmen) innerhalb von Minuten wiederhergestellt werden müssen und welche warten können. Ohne diese Analyse würden Entscheidungen im Blindflug getroffen - mit fatalen Folgen.
- Wenn eine technische Störung in einer Behörde die elektronischen Behördendienste außer Kraft setzt - Menschen können keine Anträge stellen, Unternehmen keine Quittungen erhalten, Beamte keine Akten einsehen. Die BIA wird zeigen, dass z. B. Systeme für die Zahlung von Steuern oder Sozialleistungen fast rund um die Uhr verfügbar sein müssen, während andere Prozesse (z. B. Verwaltungsakte) einen längeren Ausfall verkraften können. Ohne dieses Wissen besteht die Gefahr eines Vertrauensverlusts der Bürger und eines möglichen Zusammenbruchs der staatlichen Dienstleistungen.
- Ein Logistikunternehmen wird in der Nacht zum Freitag Opfer eines Ransomware-Angriffs, bei dem die gesamten Versand- und GPS-Systeme der Fahrzeuge verschlüsselt werden. Tausende von Sendungen haben keine Route, Lageristen wissen nicht, was sie versenden sollen, Kunden rufen an und niemand kann antworten. BIA wird zeigen, dass selbst ein 3 bis 4-stündiger Ausfall zu dieser Zeit Tausende von verspäteten Lieferungen, Strafen von Handelspartnern und Reputationsschäden bedeuten kann. Ein Unternehmen, das seine kritischen Prozesse kennt, hat einen Plan und kann den Betrieb zumindest teilweise rechtzeitig wiederherstellen.
Eine BIA ist nicht nur ein Stück Papier für die Aufsichtsbehörde - sie ist eine Versicherung für Ihr Unternehmen
Neue Anforderungen werden oft nur als bürokratische Belastung angesehen. Doch eine gut aufgesetzte Business Impact Analysis ist eine lohnende Investition. Sie wird Ihnen Schwachstellen aufzeigen, Ihnen helfen, die richtigen IT-Investitionen zu tätigen, einen realistischen Wiederherstellungsplan aufzustellen und sich auf Krisensituationen vorzubereiten, bevor sie eintreten.Das Gesetz mag Sie dazu zwingen, aber Sie sollten auch etwas davon haben wollen
Warten Sie nicht darauf, dass das neue Gesetz mit einer Warnung vor Geldstrafen auf Ihrem Schreibtisch landet. Fangen Sie jetzt damit an - nicht um der Paragrafen willen, sondern um Ihres eigenen Unternehmens willen. Das BIA kann Ihnen helfen:- das wertvollste Gut Ihres Unternehmens zu schützen
- die Wiederherstellung nach einem Ausfall zu beschleunigen
- Kunden, Partner und Versicherer davon zu überzeugen, dass Sie alles im Griff haben
Unternehmen auf die neuen Verpflichtungen nach NIS2 / dem neuen Cybersicherheitsgesetz oder DORA vorzubereiten. Wir helfen Ihnen bei der Einrichtung von Prozessen, der Bewertung von Risiken und der Erstellung einer Business Impact Analysis, die nicht nur aus rechtlicher, sondern auch aus geschäftlicher Sicht sinnvoll ist.
Möchten Sie mehr erfahren? Kontaktieren Sie uns. Wir erläutern Ihnen gerne, was eine BIA für Ihr Unternehmen bedeutet.
Autor: Tomáš Kubíček, Libor Šrám