DORA Insight: BCM-Verzahnung zwischen Insourcer und Outsourcer optimieren
Die Digital Operational Resilience Act (DORA) bringt klare Vorgaben für das Risikomanagement bei Auslagerungen – und stellt auch das Business Continuity Management (BCM) in den Fokus. Eine häufige Schwachstelle in der Praxis: Die BCM-Pläne von Insourcern und Outsourcern sind nicht ausreichend aufeinander abgestimmt. Vor allem die Wiederanlaufzeiten (RTOs, Recovery Time Objectives) werden oft ungenügend geprüft, was im Ernstfall zu erheblichen Problemen führen kann. Doch wie lassen sich BCM-Prozesse und RTOs effizient verzahnen?
Warum ist die Verzahnung von BCM-Plänen so wichtig?
Das Ziel eines effektiven BCMs ist klar: Die Sicherstellung der Geschäftskontinuität im Krisenfall. Wenn Unternehmen Aufgaben oder Systeme auslagern, bleibt diese Verantwortung bestehen – und erfordert eine enge Abstimmung mit dem Dienstleister. Ohne diese Verzahnung drohen Risiken wie:
- Unrealistische Wiederanlaufzeiten: Wenn die RTOs von Insourcer und Outsourcer nicht übereinstimmen, verlängert sich die Wiederherstellung.
- Fehlende Transparenz: Outsourcer liefern oft unzureichende Informationen über ihre BCM-Maßnahmen.
- Unklare Eskalationsprozesse: Im Krisenfall führt dies zu Verzögerungen bei der Reaktion.
Gerade DORA schreibt vor, dass Unternehmen ihre Auslagerungen und Notfallmaßnahmen regelmäßig prüfen und dokumentieren müssen – die Abstimmung der BCM-Pläne ist daher ein zentraler Bestandteil.
Typische Herausforderungen und wie du sie überwindest
-
RTOs realistisch definieren und abstimmen
- Herausforderung: Häufig legen Insourcer RTOs fest, ohne die realen Möglichkeiten des Outsourcers zu kennen.
- Lösung: Gemeinsame Workshops mit Dienstleistern, um realistische RTOs festzulegen und sie in Verträge (SLAs) zu integrieren.
-
BCM-Tests gemeinsam durchführen
- Herausforderung: Outsourcer werden oft nicht in interne Notfallübungen des Unternehmens eingebunden.
- Lösung: BCM-Tests regelmäßig gemeinsam planen und dokumentieren, um Schwachstellen zu identifizieren.
-
Transparenz bei Notfallmaßnahmen sicherstellen
- Herausforderung: Outsourcer informieren nicht ausreichend über ihre eigenen Notfallpläne oder aktualisieren diese nicht.
- Lösung: Verlange regelmäßige Berichte über BCM-Maßnahmen und mache Audit- und Eskalationsrechte verbindlich.
Best Practices für eine effektive BCM-Verzahnung
- BCM-Pläne synchronisieren: Stelle sicher, dass dein BCM-Plan die BCM-Maßnahmen des Outsourcers berücksichtigt. Dies umfasst RTOs, Kommunikationsprozesse und Eskalationsmechanismen.
- Eskalationsprozess festlegen: Definiere klare Schritte, wie beide Seiten im Krisenfall reagieren – von der ersten Benachrichtigung bis zur Problemlösung.
- Technologische Unterstützung nutzen: Tools wie BCM-Software oder Echtzeit-Monitoring-Systeme erleichtern die Abstimmung und Dokumentation.
Regulatorische Anforderungen: Was verlangt DORA?
DORA schreibt vor, dass Unternehmen BCM-Pläne regelmäßig testen und dokumentieren müssen – dies gilt auch für ausgelagerte Funktionen. Wichtige Vorgaben umfassen:
- Artikel 11: Dienstleister müssen ihre Fähigkeit zur Wiederherstellung von Prozessen und Systemen nachweisen.
- Artikel 17: Unternehmen sind verpflichtet, die Resilienz und BCM-Pläne ihrer Outsourcer regelmäßig zu bewerten.
Zusätzlich verlangen MaRisk und EBA-Leitlinien, dass Auslagerungsbeauftragte regelmäßig prüfen, ob die BCM-Pläne des Outsourcers in die eigenen Notfallmaßnahmen integriert sind.
Dein Weg zu einer optimalen BCM-Verzahnung
Die Abstimmung von BCM-Plänen ist ein komplexer, aber unverzichtbarer Prozess – sowohl für die Betriebssicherheit als auch für die Erfüllung regulatorischer Anforderungen. Seminare und Schulungen helfen dir dabei, die richtigen Maßnahmen zu ergreifen und diese in der Praxis umzusetzen.
➡️ Update-Seminar für Auslagerungsbeauftragte:
Lerne, wie du BCM-Prozesse effizient mit deinen Outsourcern verzahnst und DORA-konform handelst.
Mehr erfahren: Update-Seminar für Auslagerungsbeauftragte
➡️ Seminar: BCM und Krisenmanagement in der Praxis:
Erhalte praxisnahe Tipps zur Entwicklung und Überprüfung von BCM-Plänen in Auslagerungen.
Mehr erfahren: BCM und Krisenmanagement in der Praxis
DORA Insight: Mit der richtigen Verzahnung von BCM-Plänen und abgestimmten RTOs bist du bestens auf den Ernstfall vorbereitet – und minimierst gleichzeitig Haftungs- und Compliance-Risiken. Nutze die Chance, deine Auslagerungsprozesse sicherer und effizienter zu gestalten!