Seit 2021 unterstützt HiSolutions DEW21 beim Aufbau und der Weiterentwicklung eines Business Continuity Management Systems (BCMS), um die Geschäftsfortführung auch im Not- und Krisenfall zu gewährleisten und alle relevanten regulatorischen Anforderungen zu erfüllen. Dabei wurden BCM Prozesse in das bereits bestehende Information Security Management System (ISMS) integriert, kritische Prozesse und Ressourcen identifiziert sowie eine Notfallplanung einschließlich eines Übungs- und Testmanagements aufgebaut.

Success Story als PDF herunterladen

Ziel: 

Versorgungssicherheit gewährleisten, Geschäftsbetrieb aufrechterhalten

Als Betreiber kritischer Infrastruktur (KRITIS) steht für DEW21 die Versorgungssicherheit an oberster Stelle. Doch angesichts der sich zuspitzenden Bedrohungslage und wachsender regulatorischer Anforderungen, wie z. B. der NIS2-Richtlinie und dem KRITIS-Dachgesetz, wurde beschlossen, das bestehende Notfallmanagement – sowohl in seiner Tiefe als auch seiner Breite – weiterzuentwickeln.

Die Zielsetzung lautete, ein vollumfängliches BCMS nach ISO 22301 initial aufzubauen, die Synergien zum ISMS zu nutzen und so ein integriertes Managementsystem zu etablieren. Das BCMS soll neben den Versorgungsleistungen auch die zeitkritischen Geschäftsprozesse von DEW21 insgesamt gegen Betriebsunterbrechungen absichern und somit Kontinuität im Notfall oder in der Krise ermöglichen. 

Herausforderungen:

Technisches Notfallmanagement vs. Business Continuity Management

Für einen Grundversorger und regionalen Lieferanten von Strom und Erdgas ist der Umgang mit Notfällen kein Fremdwort. Im Gegenteil: technisches Notfallmanagement wird seit Jahren routiniert praktiziert.

Die Herausforderung lag nun darin, den Blick zu weiten. Die Ansätze des Business Continuity Managements sollten auf die Gesamtorganisation ausgerollt werden – und das mit größtmöglicher Akzeptanz. Denn ein BCMS ist nur so effektiv, wie es die Mitglieder der Organisation tagtäglich leben.

Hinzu kam die zeitgleich angestrebte Implementierung eines Tools zur Steuerung und Überwachung der BCM-Prozesse. So soll das Durchlaufen des BCM Lebenszyklus in künftigen Iterationen vereinfacht werden und sich in die bestehenden Risikoanalysen des ISMS einreihen, um Mehraufwände in Fachbereichen zu vermeiden.

Umsetzung:

Schritt für Schritt zur Resilienz

HiSolutions begleitete DEW21 in mehreren Phasen der Umsetzung ihres Vorhabens. Die Implementierung eines BCMS erforderte zunächst eine umfangreiche Analyse des vorhandenen IST-Zustandes. 

Auf dieser Grundlage wurden bei DEW21 unter anderem:

•    die vorhandene Notfall-dokumentation weiterentwickelt,
•    eine BCM-Organisation entworfen,
•    Vorsorgemaßnahmen in einem BCM Handbuch dokumentiert,
•    die Business-Impact-Analyse in einem GRC-Tool konzipiert und durchgeführt,
•    Verfügbarkeitsrisiken im Rahmen der Risikoanalyse erhoben,
•    reaktive Notfallmaßnahmen in Geschäftsfortführungsplänen festgehalten,
•    Wiederanlaufpläne für zeitkritische IT Ressourcen geschrieben und
•    die risikoorientierte Dienstleistersteuerung optimiert.

Begleitend zur Implementierung der BCM Prozessschritte wurden zudem alle relevanten Funktionsträger geschult und durch regelmäßige Berichterstattung für das Thema BCM bereichsübergreifend sensibilisiert.

Ergebnis:

BCMS aufgebaut; Prozesse und Ressourcen abgesichert; Resilienz erhöht

Mit der fachlichen Unterstützung von HiSolutions konnte DEW21 ein BCMS etablieren, das neben den primären KRITIS-konformen Bereichen der Versorgung auch die weiteren zeitkritischen Geschäftsprozesse und Ressourcen bei DEW21 fokussiert und absichert. Auch regulatorische Anforderungen an den sicheren Geschäftsbetrieb, resultierend aus der europäischen NIS-2-Richtlinie oder den KRITIS Vorgaben, wurden mit der Einführung des BCMS erfüllt. Die durchgeführten Analysen zum Business Impact und zu Verfügbarkeitsrisiken lieferten nicht nur Erkenntnisse zur Notfallvorsorge, sondern schafften auch umfassende Transparenz über Geschäftsprozesse und deren Abhängigkeiten. So entstanden Ergebnisse, die nicht nur in einem Notfall wertvoll sind, sondern auch langfristig die Resilienz erhöhen.

Die Übergabe des BCMS in den Regelbetrieb und der Aufbau einer BCM-Organisation legten das Fundament für die Entwicklung einer organisationsweiten BCM Kultur. Das zyklische Durchlaufen der BCM- und ISMS-Prozesse wird diese Kultur bei DEW21 in den nächsten Jahren weiter festigen. Jede Iteration wird einen Beitrag zum Aufbau der unternehmerischen Resilienz von DEW21 leisten – einem Prozess, den HiSolutions weiterhin professionell begleiten wird.

Das sagt unser Kunde:

„Dank der Unterstützung durch HiSolutions können wir ISMS und BCMS synergetisch betreiben, Risiken identifizieren und zielgerichtet und kostenminimal behandeln. Dieser integrative Managementsystembetrieb zahlt unmittelbar auf die unternehmerische Resilienz ein. Dinge werden nur einmal, aber ganzheitlich betrachtet. Informationen, Risiken, und Maßnahmen werden zentral in der GRC Software gepflegt und dadurch Redundanzen und blinde Flecke vermieden.“ 

Jens Feistel,
Informationssicherheitsbeauftragter bei DEW21