Skip to main content

Wozu benötige ich einen Geschäftsfortführungsplan (BCP)?

Wozu benötige ich einen Geschäftsfortführungsplan (BCP)? Der EBA Leitfaden EBA/GL/2019/04 gibt Leitlinien für das Management von IKT- und Sicherheitsrisiken. Durch die BCPs wird sichergestellt, dass Sie auf potenzielle Ausfallszenarien angemessen reagieren können und in der Lage sind, die Geschäftstätigkeit nach Störungen wiederherzutellen. Der BCP hat folgendes festzulegen: # recovery time objective (RTO): vorgegebene Wiederherstellungszeit und die maximale Zeitspanne, in der ein System oder Prozess nach einem Vorfall hergestellt werden muss; # recovery point objective (RPO): vorgegebener Wiederherstellungspunkt bzw. maximale Zeitspanne, in der ein Datenverlust bei einem Vorfall wiederhergestellt werden muss. Unternehmen sollen bei schwerwiegenden Betriebsunterbrechungen, die spezielle Geschäftsfortführungspläne auslösen, Prioritäten bei den Geschäftsfortführungsmaßnahmen festlegen. Dabei sollen sie einen risikobasierten Ansatz verfolgen, der sich auf die durchgeführten Risikobewertungen stützen kann. Beispielsweise kann dies für Zahlungsdienstleiter die Ermöglichung der weiteren Verarbeitung kritischer Transaktionen bei gleichzeitiger Fortsetzung der Wiederherstellungsbemühungen beinhalten. Das Seminar Wozu benötige ich einen Geschäftsfortführungsplan (BCP)? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Wozu benötige ich einen Geschäftsfortführungsplan (BCP)?

Zielgruppe zum Seminar: Wozu benötige ich einen Geschäftsfortführungsplan (BCP)?

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
 

Dein Nutzen mit dem Seminar: Wozu benötige ich einen Geschäftsfortführungsplan (BCP)?

#1 Aufgaben und Pflichten des Business Continuity Managers #2 Business Impact Analysen und Risk Impact Analysen #3 Laufende Überwachungspflichten des Business Continuity Managers  

Dein Vorsprung mit dem Seminar: Wozu benötige ich einen Geschäftsfortführungsplan (BCP)?

Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box: + Leitfaden für BCM (ca. 30 Seiten) + Muster-Reporting für Business Continuity Manager + S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit    

#1 Aufgaben und Pflichten des Business Continuity Managers

MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM: o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess o Notfallkonzept für zeitkritische Aktivitäten und Prozesse o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.  

#2 Business Impact Analysen und Risk Impact Analysen

Verschärfte Anforderungen an Business Impact Analysen: o Beeinträchtigung von Aktivitäten und Prozessen o Art und Umfang des (im-)materiellen Schadens o Zeitpunkt des Ausfalls. Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse: o Identifizieren und Bewerten von potentiellen Gefährdungen o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien Berücksichtigung von Notfallszenarien o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur o Ausfall einer kritischen Anzahl von Mitarbeitern o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#3 Laufende Überwachungspflichten des Business Continuity Managers

MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. Das Seminar Wozu benötige ich einen Geschäftsfortführungsplan (BCP)? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Das könnte dich als Business Continuity Manager auch interessieren

MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.  

#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
  1. Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  3. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
  Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.

#2 Zeitkritische Aktivitäten und Prozesse

Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).  

#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: – Art und Umfang des (im-)materiellen Schadens – Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)  

#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten

In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.  

#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.  

#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Hierbei werden mindestens folgende Szenarien berücksichtigt: – (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle) – Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) – Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) – Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers

Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen.  

#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021. Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt. Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz. Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt. Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden. Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen. Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021.  

Teilnehmer haben auch folgende Compliance Seminare gebucht:

Seminare Compliance Finanzunternehmen Seminare Compliance Nicht-Finanzunternehmen Seminare Auslagerung

Was ist ein Geschäftsfortführungsplan (BCP)?

Was ist ein Geschäftsfortführungsplan (BCP)? Der Geschäftsfortführungsplan (BCP) dient zur Gewährleistung der Kontinuität des Geschäftsbetriebes. Der BCP sollte von den Leitungsorganen genehmigt und dokumentiert werden. Hierbei sollten insbesondere Risiken berücksichtigt werden, die sich dysfunktional auf IKT-Systeme und IKT-Dienste auswirken können. Der BCP sollte den Schutz und gegebenfalls die Wiederherstellung des Vertrauens, der Integrität und der Verfügbarkeit der Unternehmensfunktion, Unterstützungsprozesse und IT-Assets fördern. Grundsätzlich sollten Unternehmen sich bei der Erstellung dieser Pläne mit den relevanten internen und externen Akteuren abstimmen.   Das Seminar Was ist ein Geschäftsfortführungsplan (BCP)? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Was ist ein Geschäftsfortführungsplan (BCP)?

Zielgruppe zum Seminar: Was ist ein Geschäftsfortführungsplan (BCP)?

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
 

Dein Nutzen mit dem Seminar:  Was ist ein Geschäftsfortführungsplan (BCP)?

#1 Aufgaben und Pflichten des Business Continuity Managers #2 Business Impact Analysen und Risk Impact Analysen #3 Laufende Überwachungspflichten des Business Continuity Managers  

Dein Vorsprung mit dem Seminar: Was ist ein Geschäftsfortführungsplan (BCP)?

Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box: + Leitfaden für BCM (ca. 30 Seiten) + Muster-Reporting für Business Continuity Manager + S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit    

#1 Aufgaben und Pflichten des Business Continuity Managers

MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM: o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess o Notfallkonzept für zeitkritische Aktivitäten und Prozesse o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.  

#2 Business Impact Analysen und Risk Impact Analysen

Verschärfte Anforderungen an Business Impact Analysen: o Beeinträchtigung von Aktivitäten und Prozessen o Art und Umfang des (im-)materiellen Schadens o Zeitpunkt des Ausfalls. Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse: o Identifizieren und Bewerten von potentiellen Gefährdungen o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien Berücksichtigung von Notfallszenarien o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur o Ausfall einer kritischen Anzahl von Mitarbeitern o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#3 Laufende Überwachungspflichten des Business Continuity Managers

MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. Das Seminar Was ein Geschäftsfortführungsplan (BCP)? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Das könnte dich als Business Continuity Manager auch interessieren

MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.  

#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
  1. Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  3. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
  Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.

#2 Zeitkritische Aktivitäten und Prozesse

Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).  

#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: – Art und Umfang des (im-)materiellen Schadens – Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)  

#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten

In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.  

#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.  

#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Hierbei werden mindestens folgende Szenarien berücksichtigt: – (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle) – Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) – Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) – Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers

Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen.  

#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021. Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt. Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz. Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt. Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden. Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen. Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021.  

Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:

Seminare MaRisk + SREP Seminare Depot A Seminare Auslagerungscontrolling Seminar Risikomanagement Compliance

Was ist eine Business-Impact-Analyse (BIA)?

Was ist eine Business-Impact-Analyse (BIA)? Der EBA Leitfaden EBA/GL/2019/04 gibt Leitlinien für das Management von IKT- und Sicherheitsrisiken. Bei der Business Impact Analyse werden schwerwiegende Betriebsunterbrechungen analysiert und deren potenzielle Auswirkungen (einschließlich der Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit) quantitativ und qualitativ bewertet. Dabei sollen sie interne und/ oder externe Daten (z.B. für den Geschäftsprozess relevante Daten von Drittanbietern oder öffentlich verfügbare Daten, die für die BIA relevant sein können) und Szenarioanalysen verwenden. Durch die BIA soll auch die Kritikalität der festgestellten und klassifizierten Geschäftsfunktionen, der Unterstützungsprozesse, von Dritten und der IT-Assets sowie deren Abhängigkeiten berücksichtigt werden. Die IKT-Systeme und IKT-Dienste sollen so konzipiert und auf Ihre BIA abgestimmt sein, dass diese beispielweise bestimmte kritische Komponenten redundant ausgelegt sind, um Störungen durch Ereignisse mit Auswirkungen auf die Bestandteile zu verhindern.   Das Seminar Was ist eine Business-Impact-Analyse (BIA)? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Was ist eine Business-Impact-Analyse (BIA)?

Zielgruppe zum Seminar Was ist eine Business-Impact-Analyse (BIA)?

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
 

Dein Nutzen mit dem Seminar Was ist eine Business-Impact-Analyse (BIA)?

#1 Aufgaben und Pflichten des Business Continuity Managers #2 Business Impact Analysen und Risk Impact Analysen #3 Laufende Überwachungspflichten des Business Continuity Managers  

Dein Vorsprung mit dem Seminar Was ist eine Business-Impact-Analyse (BIA)?

Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box: + Leitfaden für BCM (ca. 30 Seiten) + Muster-Reporting für Business Continuity Manager + S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit    

#1 Aufgaben und Pflichten des Business Continuity Managers

MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM: o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess o Notfallkonzept für zeitkritische Aktivitäten und Prozesse o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.  

#2 Business Impact Analysen und Risk Impact Analysen

Verschärfte Anforderungen an Business Impact Analysen: o Beeinträchtigung von Aktivitäten und Prozessen o Art und Umfang des (im-)materiellen Schadens o Zeitpunkt des Ausfalls. Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse: o Identifizieren und Bewerten von potentiellen Gefährdungen o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien Berücksichtigung von Notfallszenarien o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur o Ausfall einer kritischen Anzahl von Mitarbeitern o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#3 Laufende Überwachungspflichten des Business Continuity Managers

MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. Das Seminar Was ist eine Business-Impact-Analyse (BIA)? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Das könnte dich als Business Continuity Manager auch interessieren

MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.  

#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
  1. Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  3. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
  Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.

#2 Zeitkritische Aktivitäten und Prozesse

Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).  

#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: – Art und Umfang des (im-)materiellen Schadens – Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)  

#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten

In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.  

#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.  

#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Hierbei werden mindestens folgende Szenarien berücksichtigt: – (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle) – Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) – Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) – Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers

Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen.  

#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021. Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt. Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz. Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt. Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden. Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen. Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021.  

Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:

Seminare MaRisk + SREP Seminare Depot A Seminare Auslagerungscontrolling Seminar Risikomanagement Compliance

Wozu dient das Business Continuity Management?

Wozu dient das Business Continuity Management? Der EBA Leitfaden EBA/GL/2019/04 gibt Leitlinien für das Management von IKT- und Sicherheitsrisiken. Unternehmen sollen ein solides Notfallmanagement (BCM) einrichten, um ihre Fähigkeit zu kontinuierlicher Erbringung von Dienstleistung zu maximieren und Verluste im Falle einer Betriebsunterbrechung zu begrenzen.   Das Seminar Wozu dient das Business Continuity Management? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Wozu dient das Business Continuity Management?

Zielgruppe zum Seminar Wozu dient das Business Continuity Management?

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
 

Dein Nutzen mit dem Seminar Wozu dient das Business Continuity Management?

#1 Aufgaben und Pflichten des Business Continuity Managers #2 Business Impact Analysen und Risk Impact Analysen #3 Laufende Überwachungspflichten des Business Continuity Managers  

Dein Vorsprung mit dem Seminar Wozu dient das Business Continuity Management?

Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box: + Leitfaden für BCM (ca. 30 Seiten) + Muster-Reporting für Business Continuity Manager + S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit    

#1 Aufgaben und Pflichten des Business Continuity Managers

MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM: o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess o Notfallkonzept für zeitkritische Aktivitäten und Prozesse o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.  

#2 Business Impact Analysen und Risk Impact Analysen

Verschärfte Anforderungen an Business Impact Analysen: o Beeinträchtigung von Aktivitäten und Prozessen o Art und Umfang des (im-)materiellen Schadens o Zeitpunkt des Ausfalls. Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse: o Identifizieren und Bewerten von potentiellen Gefährdungen o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien Berücksichtigung von Notfallszenarien o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur o Ausfall einer kritischen Anzahl von Mitarbeitern o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#3 Laufende Überwachungspflichten des Business Continuity Managers

MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. Das Seminar Wozu dient das Business Continuity Management? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Das könnte dich als Business Continuity Manager auch interessieren

MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.  

#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
  1. Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  3. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
  Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.

#2 Zeitkritische Aktivitäten und Prozesse

Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).  

#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: – Art und Umfang des (im-)materiellen Schadens – Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)  

#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten

In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.  

#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.  

#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Hierbei werden mindestens folgende Szenarien berücksichtigt: – (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle) – Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) – Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) – Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers

Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen.  

#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021. Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt. Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz. Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt. Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden. Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen. Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021.  

Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:

Seminare MaRisk + SREP Seminare Depot A Seminare Auslagerungscontrolling Seminar Risikomanagement Compliance

Auf was muss bei der Überprüfung des Notfallkonzeptes geachtet werden?

Auf was muss bei der Überprüfung des Notfallkonzeptes geachtet werden? Die MaRisk geben Leitlinien für das Management von Sicherheitsrisiken. Der Umfang und die Häufigkeit der Überprüfung sollte sich an der Gefährdungslage orientieren. Die Überprüfung sollte folgendes beinhalten: # Test der technischen Vorsorgemaßnahmen # Kommunikations-, Krisenstabs- und Alarmierungsübungen # Ernstfall- oder Vollübungen. Das Seminar Auf was muss bei der Überprüfung des Notfallkonzeptes geachtet werden? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Auf was muss bei der Überprüfung des Notfallkonzeptes geachtet werden?

Zielgruppe zum Seminar Auf was muss bei der Überprüfung des Notfallkonzeptes geachtet werden?

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
 

Dein Nutzen mit dem Seminar Auf was muss bei der Überprüfung des Notfallkonzeptes geachtet werden?

#1 Aufgaben und Pflichten des Business Continuity Managers #2 Business Impact Analysen und Risk Impact Analysen #3 Laufende Überwachungspflichten des Business Continuity Managers  

Dein Vorsprung mit dem Seminar Auf was muss bei der Überprüfung des Notfallkonzeptes geachtet werden?

Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box: + Leitfaden für BCM (ca. 30 Seiten) + Muster-Reporting für Business Continuity Manager + S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

#1 Aufgaben und Pflichten des Business Continuity Managers

MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM: o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess o Notfallkonzept für zeitkritische Aktivitäten und Prozesse o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.  

#2 Business Impact Analysen und Risk Impact Analysen

Verschärfte Anforderungen an Business Impact Analysen: o Beeinträchtigung von Aktivitäten und Prozessen o Art und Umfang des (im-)materiellen Schadens o Zeitpunkt des Ausfalls. Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse: o Identifizieren und Bewerten von potentiellen Gefährdungen o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien Berücksichtigung von Notfallszenarien o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur o Ausfall einer kritischen Anzahl von Mitarbeitern o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#3 Laufende Überwachungspflichten des Business Continuity Managers

MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Das könnte dich als Business Continuity Manager auch interessieren

MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.  

#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
  1. Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  3. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
  Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.

#2 Zeitkritische Aktivitäten und Prozesse

Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).  

#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: – Art und Umfang des (im-)materiellen Schadens – Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)  

#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten

In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.  

#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.  

#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Hierbei werden mindestens folgende Szenarien berücksichtigt: – (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle) – Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) – Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) – Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers

Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen.  

#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021. Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt. Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz. Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt. Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden. Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen. Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021. Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Teilnehmer haben auch folgende Compliance Seminare gebucht: Seminare Compliance Finanzunternehmen Seminare Compliance Nicht-Finanzunternehmen Seminare Auslagerung