Abschnitt 4 NLVwBCLLRdErl - Rechtliche und sonstige Anforderungen
Bibliographie
- Titel
- Leitlinie zum Business Continuity Management (BCLL) in der Niedersächsischen Landesverwaltung
- Redaktionelle Abkürzung
- NLVwBCLLRdErl,NI
- Normtyp
- Verwaltungsvorschrift
- Normgeber
- Niedersachsen
- Gliederungs-Nr.
- 20150
4.1 Jede Behörde wendet die für sie wesentlichen rechtlichen und sonstigen Anforderungen an das BCM an. Sie stellt sicher, dass entsprechende rechtliche Anforderungen, Änderungen sowie neue Anforderungen durch regelmäßige Prüfungen berücksichtigt werden. Da Behörden der Verpflichtung unterliegen, nach Recht und Gesetz zu handeln, wird auf die Benennung von allgemeinen rechtlichen Vorgaben verzichtet.
4.2 Die Behörden der Landesverwaltung Niedersachsen wenden den "BSI-Standard 200-4 Business Continuity Management" an. Im Ziel sollen nach Möglichkeit alle dort gestellten Anforderungen erfüllt werden. Abweichungen von Anforderungen, die erfüllt werden müssen, sind zu begründen und müssen dem BCM-Board mitgeteilt werden. Das BCM-Board muss lediglich unterrichtet werden. Eine Zustimmung des BCM-Boards ist nicht erforderlich. Abweichungen von Anforderungen, die lediglich erfüllt werden sollen, bedürfen ebenfalls einer Begründung, aber keiner Unterrichtung des BCM-Boards. Die Nichterfüllung von MUSS-Anforderungen wird dokumentiert und mittels Risikoübernahme durch die Behördenleitung behandelt.
4.3 Als gemeinsame Mindestanforderung gilt, dass alle Geschäftsprozesse mit einer maximal tolerierbaren Ausfallzeit von 30 Tagen oder weniger als zeitkritisch gelten. Diese Geschäftsprozesse müssen also im Rahmen des BCM behandelt werden. Bei der Einrichtung eines BCMS empfiehlt es sich, zunächst die Geschäftsprozesse mit der kürzesten tolerierbaren Ausfallzeit höher priorisiert anzugehen. Jede BC-Domäne kann einen größeren Zeitraum als 30 Tage festlegen.
4.4 Die folgenden Ausfallszenarien stellen zusätzliche Mindestanforderungen dar, die von den Behörden zu berücksichtigt sind:
Gebäudeausfall: Arbeitsplätze im Gebäude,
Personalausfall: Mitarbeitende, Fähigkeiten oder Erfahrung der Mitarbeitenden,
Dienstleisterausfall: Externe Dienstleistungen (nicht-IT, IT),
Ausfall von IT-Diensten, IT-Systemen oder IT-Infrastrukturen.
Zu berücksichtigen ist jeweils ein Ausfall in einem solchen Umfang, dass eine Durchführung der zeitkritischen Geschäftsprozesse verhindert wird.
Für die Ausfallszenarien sind ressortübergreifende Lösungen zu bevorzugen, wenn diese angemessen und effizient sind. Dies gilt insbesondere für den Gebäudeausfall und den zentralen IT-Dienstleister des Landes.
Außer Kraft am 1. Januar 2030 durch Nummer 8 des RdErl. vom 23. Juni 2024 (Nds. MBl. 2024 Nr. 300)