Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 23.06.2024 - 02854-0100-200-2209/2023 -

Vom 23. Juni 2024 (Nds. MBl. 2024 Nr. 300)

- VORIS 20150 -

1.1 Es ist Teil des Grundsatzes des rechtmäßigen Verwaltungshandelns, die Funktionsfähigkeit der Landesverwaltung auch in Notfallsituationen gewährleisten zu können. Ein Ausfall dieser Funktionen oder eines Teils von ihnen kann direkte Auswirkungen auf die Aufrechterhaltung der öffentlichen Sicherheit und Ordnung und das öffentliche Ansehen der Landesverwaltung haben. Darüber hinaus können Notfälle für die Landesverwaltung hohe finanzielle Schäden bedeuten. Um Notfällen und Krisen vorzubeugen und zeitkritische Geschäftsprozesse angemessen abzusichern, ist es erforderlich, dass die Verwaltung eine angemessene Vorsorge in Gestalt eines Business Continuity Prozesses etabliert. Dieser Prozess wird auf Grundlage des Standards "BSI 200-4 Business Continuity Management" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) etabliert werden.

1.2 Der Geltungsbereich dieser Leitlinie umfasst alle Behörden, Einrichtungen, Organisationseinheiten und Geschäftsprozesse der unmittelbaren Landesverwaltung mit Ausnahme des LT, des LRH, des Staatsgerichtshofes und des LfD.

1.3 Sich aus der Leitlinie ableitende Anforderungen zum Business Continuity Management (BCM) gelten sowohl für interne und externe Mitarbeitende und sind auch für die Einbindung von Dienstleistern bindend, sofern diese zeitkritische Dienste oder Leistungen für eine Stelle der unmittelbaren Landesverwaltung erbringen oder in zeitkritische Geschäftsprozesse eingebunden sind und dies vertraglich vereinbart ist.

Mit dem BCM soll die Resilienz der Landesverwaltung erhöht und insbesondere folgende Ziele für Notfallsituationen verfolgt werden:

• Sicherstellung, dass relevante gesetzliche und verwaltungsinterne Vorgaben eingehalten werden,

• Sicherstellung der Aufgabenerfüllung der Verwaltung innerhalb des Staatswesens,

• Schutz der Beschäftigten der Verwaltung,

• Schutz der Reputation der Verwaltung in der Öffentlichkeit, insbesondere bei einer Unterbrechung des Geschäftsbetriebs.

2.1 Zur Erreichung dieser Ziele etablieren die Ressorts ein Business Continuity Management System (BCMS) auf Grundlage dieser Leitlinie.

2.2 Zusätzlich wird ein ressortübergreifendes BCMS eingerichtet, das folgende Ziele verfolgt:

• Förderung der ressortübergreifenden Zusammenarbeit in Bezug auf das BCM,

• Unterstützung der Behörden der unmittelbaren Landesverwaltung bei der Einführung eines BCMS,

• Harmonisierung der BCMS in den Behörden,

• Wirksamkeits- und Reifegradprüfung der BCMS der Behörden nach zuvor einheitlich durch das BCM-Board festgelegten Vorgaben.

I. S. dieser Leitlinie gelten folgende Definitionen:

3.1 Ein "Geschäftsprozess" ist eine logisch-zeitlich strukturierte und sich wiederholende Abfolge von Tätigkeiten zum Erzielen eines vorgesehenen Ergebnisses.

3.2 "Zeitkritische Geschäftsprozesse" sind solche, deren Ausfall, innerhalb des in diesem Dokument (siehe Nummer 4.3) definierten Betrachtungszeitraums, zu einem nicht tolerierbaren Schaden für die Behörde führen. Als zeitkritisch gelten in diesem Kontext ebenfalls die Ressourcen (z. B. Personal, Gebäude oder IT), die zur Aufrechterhaltung dieser zeitkritischen Geschäftsprozesse benötigt werden.

3.3 Eine "Störung" ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen. Störungen werden in der Regel innerhalb des Normalbetriebs durch die Behörde behoben. Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Vorfallmanagements zurückgegriffen. Störungen können jedoch zu einem Notfall eskalieren, wenn sie nicht in einer angemessenen Zeit behoben werden können.

3.4 Ein "Notfall" ist eine Unterbrechung von Geschäftsprozessen aufgrund des Ausfalls wesentlicher Ressourcen (z. B. Personalausfall, Gebäudeausfall oder IT-Ausfall). Es ist mindestens ein zeitkritischer Geschäftsprozess betroffen. Ein Notfall kann nicht im Normalbetrieb bewältigt werden. Die Wiederherstellung des Normalbetriebes innerhalb der maximal tolerierbaren Ausfallzeit benötigt eine spezielle, zur strukturierten Bewältigung befähigte, Notfallorganisation (Besondere Aufbauorganisation - BAO). Im Gegensatz zur Krise liegen geeignete Pläne zur Bewältigung vor oder bestehende Pläne können adaptiert werden. Notfälle können auch eintreten, bevor das Schadensereignis zu einer Unterbrechung des Geschäftsbetriebs führt. Es genügt die Gefahr, dass durch das potenzielle oder bereits eingetretene Schadensereignis der Geschäftsbetrieb unterbrochen wird. Eine Gefahr besteht bereits bei Vorliegen einer hinreichenden Wahrscheinlichkeit des Eintritts des Schadensereignisses in einem absehbaren Zeitrahmen. Ein Notfall kann jederzeit zu einer Krise eskalieren.

3.5 Eine "Krise" ist ein Schadensereignis, das sich in erheblicher Weise negativ auf die Aufgabenerfüllung einer Behörde auswirkt und dessen Auswirkungen auf die Behörde nicht im Normalbetrieb bewältigt werden können. Im Gegensatz zu einem Notfall liegen zur Bewältigung einer Krise jedoch keine spezifischen Notfallpläne vor. Vorhandene Notfallpläne können nicht oder nur bedingt adaptiert werden oder greifen schlicht nicht. Innerhalb der Behörde wird die Krise durch eingeleitete strukturierte Methodiken und Maßnahmen der BAO bewältigt. Krisen können unmittelbar auftreten oder aus einer Störung oder einem Notfall heraus eskalieren.

3.6 Das "Business Continuity Management" (BCM) bezeichnet die Absicherung zeitkritischer Geschäftsprozesse gegen Ausfälle. Ziel des BCM ist es, sicherzustellen, dass der Geschäftsbetrieb selbst bei erheblichen Schadensereignissen nicht unterbrochen wird (Prävention) oder nach einem Ausfall in angemessener Zeit auf einem definierten Mindestniveau fortgeführt werden kann (Reaktion).

3.7 Das "Business Continuity Managementsystem" (BCMS) umfasst alle Regelungen und Verfahren, welche dazu dienen, das BCM zu definieren, zu steuern, aufrechtzuerhalten und fortlaufend zu verbessern.

3.8 Eine "Behörde" i. S. dieser Leitlinie ist jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt (vgl. § 1 Abs. 4 NVwVfG). "Behördenleitung" i. S. dieser Leitlinie ist damit jede Leitung einer Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt.

3.9 Eine "Business Continuity-Domäne" (BC-Domäne) ist ein abgegrenzter Teil der Landesverwaltung, in dem ein eigenständiges BCMS gilt. Einer BC-Domäne können mehrere Behörden zugeordnet sein. Ebenso kann eine Behörde auch Teil mehrerer BC-Domänen sein. Eine BC-Domäne kann ebenfalls untergeordnete BC-Domänen enthalten. Jede BC-Domäne wendet jeweils die Regeln übergeordneter BC-Domänen an. Eine untergeordnete BC-Domäne kann immer nur zusätzliche Regeln festlegen, nicht jedoch die Regeln einer übergeordneten BC-Domäne abmildern.

3.10 Die maximal tolerierbare Ausfallzeit legt fest, wie lange ein Geschäftsprozess maximal ausfallen darf, bevor nicht tolerierbare Auswirkungen für die Behörde auftreten. Sie wird anhand einer Schadensbewertung je Geschäftsprozess ermittelt.

4.1 Jede Behörde wendet die für sie wesentlichen rechtlichen und sonstigen Anforderungen an das BCM an. Sie stellt sicher, dass entsprechende rechtliche Anforderungen, Änderungen sowie neue Anforderungen durch regelmäßige Prüfungen berücksichtigt werden. Da Behörden der Verpflichtung unterliegen, nach Recht und Gesetz zu handeln, wird auf die Benennung von allgemeinen rechtlichen Vorgaben verzichtet.

4.2 Die Behörden der Landesverwaltung Niedersachsen wenden den "BSI-Standard 200-4 Business Continuity Management" an. Im Ziel sollen nach Möglichkeit alle dort gestellten Anforderungen erfüllt werden. Abweichungen von Anforderungen, die erfüllt werden müssen, sind zu begründen und müssen dem BCM-Board mitgeteilt werden. Das BCM-Board muss lediglich unterrichtet werden. Eine Zustimmung des BCM-Boards ist nicht erforderlich. Abweichungen von Anforderungen, die lediglich erfüllt werden sollen, bedürfen ebenfalls einer Begründung, aber keiner Unterrichtung des BCM-Boards. Die Nichterfüllung von MUSS-Anforderungen wird dokumentiert und mittels Risikoübernahme durch die Behördenleitung behandelt.

4.3 Als gemeinsame Mindestanforderung gilt, dass alle Geschäftsprozesse mit einer maximal tolerierbaren Ausfallzeit von 30 Tagen oder weniger als zeitkritisch gelten. Diese Geschäftsprozesse müssen also im Rahmen des BCM behandelt werden. Bei der Einrichtung eines BCMS empfiehlt es sich, zunächst die Geschäftsprozesse mit der kürzesten tolerierbaren Ausfallzeit höher priorisiert anzugehen. Jede BC-Domäne kann einen größeren Zeitraum als 30 Tage festlegen.

4.4 Die folgenden Ausfallszenarien stellen zusätzliche Mindestanforderungen dar, die von den Behörden zu berücksichtigt sind:

• Gebäudeausfall: Arbeitsplätze im Gebäude,

• Personalausfall: Mitarbeitende, Fähigkeiten oder Erfahrung der Mitarbeitenden,

• Dienstleisterausfall: Externe Dienstleistungen (nicht-IT, IT),

• Ausfall von IT-Diensten, IT-Systemen oder IT-Infrastrukturen.

Zu berücksichtigen ist jeweils ein Ausfall in einem solchen Umfang, dass eine Durchführung der zeitkritischen Geschäftsprozesse verhindert wird.

Für die Ausfallszenarien sind ressortübergreifende Lösungen zu bevorzugen, wenn diese angemessen und effizient sind. Dies gilt insbesondere für den Gebäudeausfall und den zentralen IT-Dienstleister des Landes.