Unternehmen und andere Organisationen sind ständig Gefahren ausgesetzt. Doch auch wenn Krisen und Störfälle sich nicht immer vermeiden lassen: Eine durchdachte Vorbereitung hilft. Mit Normen für stärkere Belastbarkeit, Risikomanagement und Business Continuity Management.

Die Fähigkeit, Veränderungen in der Umgebung aufzunehmen und sich an diese anzupassen, wird gemeinhin als Resilienz beschrieben. Ein Unternehmen (oder eine andere Organisation) soll in die Lage versetzt werden, Belastungen zu überstehen, dabei die gesteckten Ziele zu erreichen und sich vorteilhaft zu entwickeln.

Es gibt keine absolute Kennzahl oder ein bestimmtes Ziel für Resilienz. Eine Organisation kann nur relativ gesehen – mehr oder weniger – resilient (belastbar) sein. Organisationen, die stärker belastbar sind, können Bedrohungen und Chancen, die sich aus plötzlichen oder schleichenden Veränderungen ihrer Umgebung entwickeln, vorausahnen und darauf reagieren.

Die eigene Belastbarkeit zu steigern, kann ein strategisches Ziel der Organisation sein und ist das Ergebnis guter und verantwortungsvoller Unternehmensführung sowie eines wirksamen Umgangs mit Risiken.

Es gibt keinen allgemeingültigen Lösungsansatz, um die Belastbarkeit einer Organisation zu erhöhen. Zwar gibt es etablierte Führungsmethoden, die zur Belastbarkeit des Unternehmens beitragen – aber einzeln betrachtet reichen diese Methoden nicht aus, um die Belastbarkeit abzusichern. Die Belastbarkeit einer Organisation ist das Ergebnis des Zusammenspiels von Merkmalen und Maßnahmen sowie Beiträgen verschiedener Führungs-Fachgebiete. Sie werden vor allem durch drei Faktoren beeinflusst: den Umgang mit Unsicherheiten, die Art der Entscheidungsfindung und die Qualität der Zusammenarbeit in der Belegschaft.

Verpflichtet sich eine Organisation auf das Ziel, ihre Belastbarkeit zu erhöhen, erreicht sie dadurch:

• eine verbesserte Fähigkeit, Risiken vorherzusehen und mit ihnen umzugehen
• eine verstärkte Koordination und Integration von Steuerungsmaßnahmen, um den logischen Zusammenhang und die Leistung zu verbessern
• ein größeres Verständnis der interessierten Parteien (Stakeholder) für ihre gegenseitigen Abhängigkeiten, mit denen die strategischen Zwecke und Ziele zusammenhängen.

ISO 22316:
der internationale Standard für Resilienz

Die ISO 22316 (Security and Resilience – Organizational Resilience – Principles and Attributes) kann Unternehmen dabei unterstützen, ihre Belastbarkeit zu erhöhen. Die internationale Norm enthält unter anderem:

• Grundsätze für die Steigerung der Belastbarkeit einer Organisation (Abschnitt 4)
• Merkmale, die erfüllt sein müssen, um die Übernahme der Grundsätze zu ermöglichen (Abschnitt 5)
• Flankierende Maßnahmen zur Nutzung, Bewertung und Verbesserung der Merkmale (Abschnitt 6)

Abschnitt 4: Grundsätze

In Abschnitt 4.1 der Norm werden die Grundsätze für einen verbesserten Stand der Belastbarkeit aufgeführt:

In einem koordinierten Ansatz soll die Organisation

• sicherstellen, dass die Führungskräfte der Verbesserung der Unternehmensbelastbarkeit verpflichtet sind
• erforderliche Ressourcen bereitstellen
• sich eine angemessene Struktur der Unternehmensführung geben, um die Aktivitäten zur Steigerung der Belastbarkeit des Unternehmens wirksam zu koordinieren
• sicherstellen, dass die Investitionen in Resilienz-Aktivitäten für das Umfeld der Organisation angemessen sind
• Systeme zur Verfügung stellen, die eine wirksame Implementation von Resilienz-Aktivitäten unterstützen
• Maßnahmen zur Unterstützung der betrieblichen Anforderungen einleiten, mit denen die Belastbarkeit bewertet und gesteigert werden kann
• wirksame Kommunikation ermöglichen, um die Verständigung und Entscheidungsfindung zu verbessern.

Abschnitt 5: Merkmale für die betriebliche Belastbarkeit

Wenn eine Organisation (ein Unternehmen) sich die Grundlagen für die eigene Belastbarkeit angeeignet hat, wird sie in der Regel die Eigenschaften aufweisen, die in der Norm beschrieben sind:

• Gemeinsame Vision und Transparenz des Zwecks
• Verständnis und Beeinflussung des Umfelds
• Wirksame und bevollmächtigte Führung
• eine Kultur, die die betriebliche Belastbarkeit unterstützt
• geteilte Information und Wissen
• Verfügbarkeit von Ressourcen
• Entwicklung und Koordination von Steuerungselementen
• Unterstützung von ständiger Verbesserung
• die Fähigkeit, Veränderungen vorherzusehen und zu steuern

Der Entwicklung und Koordination von Steuerungselementen kommt dabei besondere Bedeutung zu. Ihr Entwurf und ihre Entwicklung und Koordination sowie ihre Ausrichtung an den strategischen Zielen sind grundlegend für die Verstärkung der betrieblichen Belastbarkeit. Die Organisation sollte darstellen, dass sie

• ihre Steuerungselemente koordiniert, sodass diese einzeln und zusammen zum Zweck des Unternehmens beitragen und seinen Wert schützen
• die mit den Steuerungselementen verbundenen Risiken angemessen behandelt.

Abschnitt 6: Bewertung der Faktoren, die zur Belastbarkeit beitragen

Die Bewertung stellt der Unternehmensleitung Einsichten und Informationen zur Verfügung, wie die Strategie und die Ziele der betrieblichen Belastbarkeit noch den Anforderungen der Organisation gerecht werden oder wo Chancen zur Verbesserung bestehen.

Die Unternehmensleitung muss dafür

• angemessene Ziele der betrieblichen Belastbarkeit festlegen
• Bemessungskriterien für die Bewertung der Belastbarkeitsmerkmale entwickeln
• den Status der Belastbarkeitsreife überwachen und auswerten
• identifizieren, was ausgewertet und überwacht werden muss
• Schwellenwerte bestimmen, bei deren Einhaltung die Ergebnisse der Bewertung als akzeptabel eingestuft werden
• entscheiden, wie Bewertungs- und Überwachungsregelungen in bestehende Überwachungsprozesse integriert werden können
• vorgeben, wie die Ergebnisse der Überwachung analysiert, bewertet und berichtet werden sollen.

Die Organisation soll

• eine Beurteilung zur Bestimmung der Belastbarkeit durchführen, bevor ein Überwachungsprozess implementiert wird
• feststellen, ob die Belastbarkeit aus Sicht der obersten Leitung ausreichend ist
• angemessene Strategien prüfen, um sich wesentlichen Lücken, die in der Bewertung aufgefunden werden, zu widmen.

Anhang A: Relevante Steuerungselemente

Im Anhang der Norm werden Steuerungselemente aufgezählt, die die Empfehlungen der Norm im Abschnitt 5.8 unterstützen.

Fazit

Resilienz ist in der Definition der ISO-Normen kein unternehmerisches Steuerungselement, sondern das Ergebnis der Anwendung von Steuerungselementen, deren Anforderungen den Managementsystemnormen zu entnehmen sind. Daher reicht es nicht, die ISO 22316 anzuwenden. Sie ist nur eine Hilfsnorm, die den Zusammenhang mit Empfehlungen beschreibt. Die Liste der Steuerungselemente im Anhang A liefert den relevanten Gesamtzusammenhang für die Belastbarkeit einer Organisation.

Business Continuity Management: Gut absichern, damit der Betrieb weiterläuft

In einem Markt mit globalen Lieferketten können sich Störfälle zu unerwarteten Gefährdungen entwickeln. Die Corona-Pandemie hat gezeigt, wie anfällig viele Unternehmen zum Beispiel im Fall eines Lockdowns sind. Auch wenn nicht alle potenziellen Risiken im Vorfeld abgewendet werden können: Ein Business Continuity Management (BCM) nach ISO 22301 erleichtert die Aufrechterhaltung der Betriebsfähigkeit im Ernstfall erheblich.

Zu den für die Belastbarkeit (Resilienz) eines Unternehmens relevanten Steuerungselementen gehört die Aufrechterhaltung der Betriebsfähigkeit durch Business Continuity Management (BCM). Die Anforderungen für das BCM ergeben sich aus der DIN EN ISO 22301:2020-06; ergänzende Empfehlungen finden sich in den Begleitnormen. Auch in kleinen und mittleren Unternehmen lassen sich die Normen ohne Weiteres umsetzen.

DIN EN ISO 22301 – der Rahmen für
Business Continuity Management

Seit 2012 stellt die ISO 22301 ein Rahmenwerk zur Verfügung, mit dem sich ein Business Continuity Managementsystem (BCMS) nicht nur planen, entwickeln, einführen und betreiben, sondern auch überwachen und überprüfen lässt. Die Norm war weltweit der erste Standard, der die Anforderungen beschreibt, die nötig sind, um die Aufrechterhaltung der Betriebsfähigkeit zu steuern. Im Oktober 2019 wurde sie mit der Veröffentlichung der neuen englischen Fassung aktualisiert sowie  als europäische Norm – und damit auch als deutsche Norm (DIN EN ISO 22301) – übernommen.

Die Norm folgt dem PDCA-Ansatz (Plan – Do – Check – Act), der für alle ISO‑Management­systemnormen gilt.

DIN EN ISO 22301: Die PDCA-Bestandteile der Norm

Auch wenn die meisten Zwischenfälle klein sind, können sie bedeutende Auswirkungen haben. Deshalb lohnt sich ein BCM zu jeder Zeit. Inzwischen gibt es ein globales Bewusstsein dafür, dass Organisationen im öffentlichen und privaten Sektor wissen müssen, wie sie sich auf unerwartete Störfälle vorbereiten und auf diese reagieren.

Für die Aufrechterhaltung der Betriebsfähigkeit stellt die Internationale Organisation für Normung (ISO) eine Dokumentenfamilie zur Verfügung. ISO 22301 ist die Basisnorm für die Aufrechterhaltung der Betriebsfähigkeit. Sie wird unterstützt von der ISO 22313 (Sicherheit und Schutz des Gemeinwesens – Business Continuity Management Systems – Leitlinie), die Leitlinien zur Implementierung der ISO 22301 enthält. Vertiefende Information und Beispiele, die ein umfänglicheres Verständnis für das BCMS enthalten, finden sich in mehreren Technischen Spezifikationen (TS). Die wichtigsten:

• ISO TS 22317 (Business Impact Analyse)
• ISO TS 22318 (Lieferkettenkontinuität)
• ISO/TS 22330 (Leitlinien für Personenaspekte)
• ISO TS 22331 (Business Continuity Strategie).

Die Einführung der Norm

Der erste Schritt bei der Einführung der ISO 22301 in einem Unternehmen konzentriert sich auf vier Abschnitte der Norm, deren Anforderungen für ein wirksames Business Continuity Management System (BCMS) berücksichtigt werden müssen:

• Die relevanten externen und internen Themen der Organisation verstehen (Abschnitt 4)
  Dieser Abschnitt der Norm legt die Anforderungen für die Ermittlung des Umfelds der Organisation fest. Warum gibt es die Organisation, was ist ihre Mission und was sind die Anforderungen und Erwartungen der interessierten Parteien? Welche Angelegenheiten beeinflussen die Fähigkeit der Organisation, die beabsichtigten Ergebnisse des BCMS zu erreichen?
• Verpflichtung der Führung, getragen von Leitlinien und Verantwortung (Abschnitt 5)
  Gute Unternehmensleitung ist erforderlich, um die Notwendigkeit und den Nutzen eines BCMS zu erkennen. Die Unternehmensleitung entwickelt eine Leitlinie zum Thema „Aufrechterhaltung der Betriebsfähigkeit“. Damit liegt ein formales Dokument vor, das den Auftrag zur Entwicklung eines Steuerungssystems enthält. Einzelheiten für die Rollen und Verantwortlichkeiten im Rahmen dieses Steuerungssystems sind in der ISO 22313 aufgelistet.

• Die Planung, die zu Begründung strategischer Ziele und Leitbilder sowie für Änderungen zum BCMS erforderlich ist (Abschnitt 6)
  Die DIN EN ISO 22301 kennt zwei unterschiedliche Arten der Planung:
  (1) Abschnitt 6 beschreibt die Anforderungen zur Festlegung der strategischen Ziele und leitenden Prinzipien für das BCMS.
  (2) Abschnitt 8 beinhaltet die Planung, die notwendig ist, um die erforderlichen Fähigkeiten, Pläne und Kompetenzen zur Aufrechterhaltung der Betriebsfähigkeit operativ zu definieren und umzusetzen.
  
  Im Abschnitt 6 konzentriert sich die DIN EN ISO 22301 besonders auf folgende Schritte:
  • Risiken und Chancen zu ermitteln
  • Pläne aufzustellen, um die Aufrechterhaltung der Betriebsfähigkeit zu erreichen
  • Notwendige und sinnvolle Änderungen des BCMS zu planen.

Jedes Thema in einem Unternehmen kann mit Risiken oder Chancen verbunden sein, die gegebenenfalls Maßnahmen erforderlich machen. Im Zusammenhang mit Abschnitt 6 beziehen sich Risiken und Chancen auf die Wirksamkeit des Steuerungssystems, mit dem die Betriebsfähigkeit aufrechterhalten werden soll.

Die Organisation muss die Ziele zur Aufrechterhaltung der Betriebsfähigkeit konkretisieren: Sie müssen an den maßgeblichen Funktionen des Betriebes ausgerichtet werden. Dabei wird bestimmt, was getan werden muss, welche Hilfsmittel erforderlich sind, wer verantwortlich ist und wie die Ergebnisse bewertet werden.

Werden Schwachstellen oder Chancen für die Verbesserung des BCMS identifiziert, müssen Änderungen geplant und umgesetzt werden.

• Die Ressourcen, die zur Unterstützung des BCMS erforderlich sind (Abschnitt 7)
  Das BCMS soll insbesondere durch folgende Merkmale unterstützt werden:

1. Hilfsmittel (Ressourcen), die von der Unternehmensleitung geprüft und zur Verfügung gestellt werden.
2. Kontrolle von Personen, die die erforderliche Kompetenz vorweisen können bzw. entsprechend fortgebildet werden.
3. Die Belegschaft soll die Leitlinien für die Aufrechterhaltung der Betriebsfähigkeit, ihren Beitrag zum BCMS und ihre eigene Rolle und Verantwortlichkeit vor, während und nach einer Störung kennen.
4. Es muss bestimmt werden, was (extern und intern) im Fall einer betrieblichen Störung kommuniziert wird, wann es kommuniziert wird, wem es berichtet wird, wie es kommuniziert wird und wer es kommuniziert.
5. Information soll so dokumentiert werden, dass sichergestellt ist, dass der Organisation jederzeit die notwendigen Informationen zur Erreichung der Ziele des BCMS zur Verfügung stehen.

Die Umsetzung der Norm

Abschnitt 8 der Norm beschreibt, wie die Fähigkeiten des Unternehmens zur Steuerung der Aufrechterhaltung der Betriebsfähigkeit festgelegt und umgesetzt werden. Dafür werden vier Themen angesprochen

1. Definieren der Anforderungen und des Gefahrenpotenzials (Business Impact Analyse und Risikobeurteilung, Abschnitt 8.2)
Anforderungen und Gefahrenpotenziale werden mittels einer Business Impact Analyse (BIA) und einer Risikobeurteilung (RA) definiert. 
Um die Auswirkungen von Störungen (und den Zeitrahmen, über den ihr Ausmaß bewertet wird) zu verstehen, sind Kennzahlen erforderlich. Zwei Größen müssen bestimmt werden:

• die maximal zulässige Dauer einer Störung (Maximum Tolerable Period of Disruption, MTPD) – also der Zeitpunkt, ab dem die Existenz der Organisation bedroht ist
• das Planziel für die Dauer der Wiederherstellung (Recovery Time Objective, RTO).

Wenn jeder Aktivität ein RTO zugeordnet wird, ergibt sich eine aufsteigende RTO-Liste, die es möglich macht, die Aktivitäten mit Priorität zu identifizieren. Um gleichzeitig die materiell wichtigen Ressourcen zu bestimmen, die für die Wiederherstellung einer Aktivität erforderlich sind, ist auch jeder Ressource das RTO der Aktivität zuzuordnen. 

Das im Rahmen der Risikobeurteilung identifizierte Risiko muss im Zusammenhang mit Aktivitäten und Ressourcen hoher Priorität stehen. Maßgeblich sind dabei die Gefahren, die eine betriebliche Störung zur Folge haben können. Für den Prozess der Risikobeurteilung wird auf die ISO 31000 (Risikomanagement) verwiesen.

2. Definieren der Strategien, um die Anforderungen an die Aufrechterhaltung der Betriebsfähigkeit zu erfüllen, das Gefahrenpotential zu entschärfen und Lösungen zur Umsetzung auszuwählen (Abschnitt 8.3)

Die Organisation muss Strategien und Lösungen vor, während und nach einer Störung ermitteln und auswählen. Für jede Aktivität und Ressource mit Priorität sollte geschultes und erfahrenes Personal bei der Bestimmung von geeigneten Strategien zusammenarbeiten. Für jede ausgewählte Lösung müssen die für die Umsetzung der Lösung erforderlichen Hilfsmittel ermittelt werden.

3. Umsetzen dieser Lösungen durch Steuerungsmaß­nahmen mittels Planung und kompetenter Teams (Abschnitt 8.4)

Basierend auf den Strategien und Lösungen sollte die Organisation eine dokumentierte Reaktionsstruktur haben: ein Dokument, das beschreibt, wie die Organisation während einer Störung gesteuert wird.

Für sich allein sind Pläne und Methoden nutzlos. Sie müssen von Teams befolgt werden, die so aufgestellt sind, dass sie die allgemeinen Bedürfnisse der Organisation während einer Störung erfüllen können. Wesentlich für eine erfolgreiche Reaktionsstruktur ist es, sicherzustellen, dass die Teams schnell eingesetzt werden können und dass jedes Team in der Lage ist, seine Ziele zu erreichen.

• Nachweisen, dass Leistungsfähigkeit, Pläne und Teams zusammen die Anforderungen der Business Impact Analyse erfüllen (Abschnitt 8.5 und 8.6)

  Um die Kompetenz, das Selbstvertrauen und das Wissen derjenigen zu verbessern, denen bestimmte Rollen bei der Reaktion auf eine Störung und der anschließenden Wiederaufnahme des Betriebs zukommen, wird das BCM durch Übungen und Prüfungen (samt Dokumentation der Ergebnisse) verankert. Zusätzliche Handlungsempfehlungen finden sich in der ISO 22398 (Sicherheit und Schutz des Gemeinwesens – Leitfaden für das Üben und Erproben).

  Bewertungen der BC-Fähigkeiten und der Teamkompetenz sollen zeigen, ob diese weiterhin geeignet, angemessen und wirksam sind. Die Erfahrungen sollen helfen, die Prozesse bei ihrer Überprüfung zu verbessern und an die Leitlinien anzupassen.

Am Ende der Norm steht – wie bei allen Managementsystemnormen der ISO die Anforderung, die Leistung und die Wirksamkeit des BCMS zu bewerten, die Möglichkeiten zur Verbesserung des BCMS zu bestimmen es fortlaufend zu verbessern.

Gefahrenabwehr: Mit DIN ISO 22320 schnell und effektiv reagieren

Wenn ein gefährlicher Zwischenfall droht oder bereits eingetreten ist, muss schnell und wirksam gehandelt werden. Das gelingt am besten mit einer gut durchdachten Stabsstruktur, wie sie in DIN ISO 22320 beschrieben wird.

Die internationale Norm DIN ISO 22320 trägt im englischsprachigen Original den Titel Security and resilience - Emergency management - Guidelines for incident management (ISO 22320:2018). Ihr Inhalt beschreibt die Reaktion einer Organisation auf Schadensereignisse bzw. „Zwischenfälle“ (engl. incidents), zu deren Bekämpfung oder Verhinderung operative Maßnahmen erforderlich sind. Die Norm ist für öffentliche Institutionen der Gefahrenabwehr ebenso anwendbar wie für den privatwirtschaftlichen Sektor.

Bei der Erarbeitung dieses internationalen Standards wurden Best-Practice-Verfahren verschiedener Länder zusammengeführt. Herausgekommen ist mehr als der kleinste gemeinsame Nenner. Da die Organisation und Umsetzung operativer Gefahrenabwehr-Maßnahmen in der Regel sehr zeitkritisch ist, beschreibt die Norm im Kern die Organisation und Arbeitsweise einer Stabs-Struktur, in der arbeitsteilig

• die Lage erfasst
• strategische Ziele festgelegt
• operative Maßnahmen geplant und
• die Ressourcen bereitgestellt sowie geführt werden.
   

Unter der Leitung einer gesamtverantwortlichen Person oder Gruppe sollen grundsätzlich die folgenden (Stabs-)Funktionen eingerichtet werden:

• Planung (einschließlich Lageerkundung)
• Einsatz (Leitung der operativen Maßnahmen)
• Logistik
• Finanzen und Verwaltung
• Öffentlichkeitsarbeit
• Informations- und Kommunikationstechnik
• Fachberatung
• Einsatz- und Arbeitssicherheit
• Verbindungswesen

Eine Stärke der Norm liegt darin, dass sie eine auf den unterschiedlichen Ebenen gleiche Zusammenarbeit von Organisationen beschreibt, ohne dass es ein Über- oder Unterstellungsverhältnis geben muss. Das ist besonders dann hilfreich, wenn etwa im öffentlichen Bereich Einheiten der Gefahrenabwehr grenzüberschreitend oder international zusammenarbeiten sollen. Mit der DIN ISO 22320 steht ein Regelwerk zur Verfügung, mit dem es zum Beispiel möglich wird, dass nach einem Erdbeben Hilfskräfte aus unterschiedlichen Ländern nach einem einheitlichen und international anerkannten Verfahren zusammenarbeiten und in gleichen Strukturen geführt und geleitet werden.

Diese Vorteile bieten sich auch, wenn unterschiedliche Organisationen und Institutionen des privatwirtschaftlichen und öffentlichen Sektors Vereinbarungen zu einem konzertierten Vorgehen schließen. Die Norm ist dabei eine Orientierungshilfe, mit der sich vergleichbare Strukturen für besondere Lagen vorbereiten und im Ereignisfall einrichten lassen. Die Berücksichtigung der in der Norm empfohlenen Strukturen führt dann in jedem Fall zu einem besseren Verständnis der jeweiligen Entscheidungs- und Führungsprozesse.

Das folgende Schaubild macht diesen Charakter deutlich: Es stellt einen Führungsprozess dar, der von allen beteiligten Organisationen identisch vollzogen wird. Der Bedeutung angemessen beschreibt die Norm ausführlich auch die Voraussetzungen und Prozesse einer Zusammenarbeit der beteiligten Partner.

Koordinierter Führungsprozess (nach DIN ISO 22320)

Daneben gibt DIN ISO 22320 Hinweise zum Situationsbewusstsein, zur Informationsverarbeitung und zur durchgehenden Skalierbarkeit. Das Prinzip des „Situationsbewusstseins“ als Voraussetzung für Entscheidungen und als interner Prüfmaßstab ist Bestandteil der Norm. Bei der Zusammenarbeit verschiedener Organisationen wird es erweitert auf das „gemeinsame Situationsbewusstsein“. Dabei werden Informationen auf Verlässlichkeit und Relevanz geprüft. Den Betrachtungen der DIN ISO 22320 liegt die Annahme eines größeren (Schadens-)Ereignisses zugrunde. Das erleichtert die Skalierung auf kleinere Ereignisse durch Zusammenfassen oder Weglassen.

So steuern Sie die Sicherheit Ihrer Organisation

Die meisten Unternehmen erfahren in einer globalen Welt mit ihren zahlreichen Bedrohungen verstärkt Unsicherheit und Unbeständigkeit ihrer Sicherheitsum­gebung. Die daraus resultierenden Sicherheitslücken, Gefahren für die Sicherheit und Verletzungen ihrer Sicherheit beeinflussen ihre Ziele. Deshalb ist es sinnvoll, sich der Steuerung der Sicherheit der eigenen Organisation systematisch und grundsätzlich zu widmen. Frisch aus der ISO-Werkstatt wurde hierzu gerade die neue ISO 28000:2022 veröffentlicht.

Im März 2022 wurde die zweite Auflage der ISO 28000 veröffentlicht. Die Norm war ursprünglich im Technischen Komitee ISO/TC 8 Ships and marine technology entwickelt und 2007 veröffentlicht worden. Sie ist also eine sehr alte Norm, die über einen langen Zeitraum nicht überarbeitet wurde. Die alte Fassung wurde aber in zahlreichen Ländern zur Zertifizierung verwendet: 2016 stand dabei Indien mit 425 Zertifikaten an erster Stelle, gefolgt von Japan mit 299 und Spanien mit 231 Zertifikaten.

Änderungen in der neuen Auflage

Am augenfälligsten ist die Änderung des Titels: In der Neufassung enthält er den Begriff „Lieferkette“ nicht mehr. Der Titel lautet jetzt ISO 28000:2022 Security and resilience - Security management systems - Requirements. Das bedeutet aber nicht, dass die Norm jetzt nicht mehr auf die Lieferkette angewendet werden kann. Der Anwendungsbereich ist im ersten Abschnitt (Scope) der Norm wie folgt beschrieben: „This document specifies requirements for a security management system, including aspects relevant to the supply chain.“ („Dieses Dokument legt die Anforderungen an ein Sicherheitsmanagementsystem fest, einschließlich der für die Lieferkette relevanten Aspekte.“) Das entspricht dem Scope in der alten Fassung der Norm. Auch die in der Norm beschriebenen Anforderungen haben sich nicht geändert. Bestehende Zertifizierungen bleiben gültig und können bei Endfälligkeit ohne Schwierigkeiten auf der Basis der überarbeiteten Norm erneuert werden.

Auch inhaltlich gab es zwei Änderungen:

• Empfehlungen zu den Grundsätzen für die Steuerung von Sicherheit wurden in den Abschnitt 4 aufgenommen und
• Empfehlungen zum Betrieb wurden in den Abschnitt 8 aufgenommen, um den Gleichklang mit der ISO 22301 (Business Continuity Management) zu stärken.

Beide Änderungen sind nicht zertifizierungsrelevant, da es nach der Systematik der ISO keine Umsetzungsprüfung für Empfehlungen gibt – auch wenn manche Zertifizierungs-Berater*innen es gerne anders darstellen.

Übernahme als DIN-Norm

Die Übernahme der deutschen Fassung der Norm in den Normenkatalog des DIN hat der zuständige Ausschuss im DIN bereits beschlossen. Die Veröffentlichung ist noch 2022 zu erwarten.

Die Struktur der Norm folgt dem PDCA-Modell (Plan – Do – Check – Act), das bereits aus der DIN EN ISO 22301 zur Aufrechterhaltung der Betriebsfähigkeit und anderen Managementsystemnormen bekannt ist. Zudem folgt die Norm jetzt der HS (Harmonized Structure, früher: High Level Structure) aller modernen Managementsystemnormen der ISO, wodurch die Eingliederung ihrer Anforderungen und Empfehlungen in ein integriertes und nachhaltiges betriebliches Steuerungssystem ohne besonderen Aufwand möglich wird.

Die Zuordnung der Abschnitte der Norm zu den Teilen des PDCA-Modells, wie sie im DIN gelebt wird, findet sich in der Abbildung 1 in der Einleitung der Norm wieder. Sie entspricht der Struktur aller modernen Managementsystemnormen der ISO.

• Plan: Abschnitte 4 bis 7
• Do: Abschnitt 8
• Check: Abschnitt 9
• Act: Abschnitt 10

Planen

Abschnitt 4 enthält die grundsätzlichen und allgemein bekannten Unterabschnitte zum Umfeld der Organisation und den Erfordernissen und Erwartungen der interessierten Parteien. Neu sind die Grundsätze, die in der Abbildung 2 der Norm zusammengefasst sind:

_{Abbildung 2 der ISO 28000 – Principles}

Im Mittelpunkt der Norm steht ihr Zweck, der wie bei jeder Norm darin besteht, Werte zu schaffen und zu schützen. Die um dieses Kernziel gruppierten Grundsätze sind

• Verantwortung der Unternehmensführung zur Erreichung der Unternehmensziele
• ein strukturierter und umfassender Ansatz
• das Steuerungssystem sollte maßgeschneidert und angemessen zu den Bedürfnissen der Organisation sein
• interessierte Parteien sollen angemessen und rechtzeitig einbezogen werden
• Sicherheitsmanagement und Risikomanagement sollen in alle Aktivitäten integriert werden
• kontinuierliche Verbesserung soll im Fokus der Organisation angesichts von Veränderungen des Umfeldes stehen
• menschliche und kulturelle Faktoren sollen nicht aus dem Blickpunkt geraten
• Beziehungen zu allen relevanten interessierten Parteien sollen gesteuert werden.

Ein Steuerungssystem für die betriebliche Sicherheit (SMS, Security Management System) muss unter Einbeziehung der erforderlichen Prozesse entwickelt, eingeführt, erhalten und beständig verbessert werden.

Die Verantwortlichkeiten der Unternehmensleitung sind im Abschnitt 5 dargelegt. Sie entsprechen wie die Ausführungen im Abschnitt 6 zu den Maßnahmen zum Umgang mit Risiken und Möglichkeiten des SMS und des Abschnitts 7 zu den Unterstützungsmaß­nahmen den allgemeinen Anforderungen in Managementsystemnormen der ISO. Lediglich die Regelungen zum Umgang mit Risiken und Möglichkeiten sind detaillierter als die Mindestvorgaben der HS.

Der Betrieb

Die Organisation muss Prozesse planen, umsetzen und steuern, mit denen die Anforderungen der Norm erfüllt werden, und diese in angemessener Weise dokumentieren. Zunächst muss sie die erforderlichen Prozesse identifizieren, die ihre Sicherheitsgrundsätze und zugleich die gesetzlichen und behördlichen Anforderungen sowie die Anforderungen der eigenen Satzung und die eigenen Ziele erfüllen.

_{Teilprozesse des Abschnittes 8 der ISO 28000}

Ein Prozess zur Risikobewertung und -behandlung muss umgesetzt und erhalten werden, wofür auf die ISO 31000 (Risikomanagement) verwiesen wird. Hier geht es um Risiken, die sich auf die Sicherheit der Organisation beziehen, während in Abschnitt 6 Risiken für die Effektivität des Managementsystems behandelt werden.

Systematische Prozesse zur Analyse von Sicherheitslücken und Gefahren für die Sicherheit sollten umgesetzt und auf dieser Grundlage Sicherheitsstrategien entwickelt werden. Die dafür notwendigen Ressourcen müssen ermittelt und die erforderlichen Maßnahmen umgesetzt und erhalten werden.

Sicherheitspläne und Sicherheitsmaßnahmen müssen auf der Grundlage der Strategien entwickelt und dokumentiert werden. Eine Reaktionsstruktur muss umgesetzt und erhalten werden. Diese muss eine zeitnahe und effektive Steuerung der Organisation bei Sicherheitslücken und Gefahren für die Sicherheit oder Verletzungen der Sicherheit ermöglichen. Dazu sind Mitarbeitende zu benennen, denen entsprechende Rollen und Zuständigkeiten zugewiesen werden und entsprechende Verantwortung und Autorität übertragen wird. Kommunikationsstruk­turen sind festzulegen.

Prozesse sollen sowohl für die Aktivierung der Maßnahmen zur Absicherung oder Wiederherstellung der erforderlichen Sicherheit als auch für die „Rückkehr zum Normalbetrieb“ aus den temporären Maßnahmen vor, während und nach einer Verletzung der Sicherheit festgelegt werden.

Leistungsbewertung und fortlaufende Verbesserung

Am Ende der Norm stehen in den Abschnitte 9 und 10 – wie bei allen Managementsystemnormen der ISO – die Anforderungen,

1. die Leistung und die Wirksamkeit des SMS zu bewerten (interne Bewertungen und Managementbewertungen),
2. Eignung, Angemessenheit und Wirksamkeit des SMS kontinuierlich zu verbessern,
3. dass auf eine Nichtkonformität eine Reaktion zur (Gegen‑) Steuerung und Korrektur erfolgt und mit den Konsequenzen umgegangen wird und
4. dass die Ursachen von Nichtkonformitäten untersucht werden, damit Wiederholungen vermieden werden können. Das kann auch Überarbeitung des SMS mit sich bringen.

Wenn es angebracht ist, kann ein Unternehmen sich nach der Norm zertifizieren lassen. Wichtiger aber als das Zertifikat ist die sachkundige Umsetzung ihrer Anforderungen, um die Sicherheit und damit die Belastbarkeit des Unternehmens zu erhöhen.