Business-Impact-Analyse
Die Business-Impact-Analyse (BIA) bewertet systematisch, welche Folgen der Ausfall kritischer Geschäftsprozesse hat, und leitet daraus Wiederanlaufzeiten und Schutzanforderungen für das Notfall- und Business-Continuity-Management ab.
Die Business-Impact-Analyse (BIA) ist ein zentrales Instrument des Business-Continuity-Managements und dient dazu, die zeitlichen und materiellen Auswirkungen von Störungen oder Ausfällen auf kritische Geschäftsprozesse zu ermitteln und zu bewerten. Sie identifiziert, welche Prozesse für das Überleben und die Handlungsfähigkeit der Organisation unverzichtbar sind, welche Ressourcen (IT-Systeme, Personal, Lieferanten, Standorte) diese Prozesse benötigen und wie schnell ein Wiederanlauf erfolgen muss, bevor untragbare Schäden entstehen. Damit bildet die BIA die Grundlage für eine risikobasierte Priorisierung von Schutz- und Wiederanlaufmaßnahmen.
Kern jeder BIA ist die Festlegung von Schlüsselkennzahlen je Prozess: Die Recovery Time Objective (RTO) beschreibt die maximal tolerierbare Ausfallzeit bis zum Wiederanlauf, die Recovery Point Objective (RPO) den maximal akzeptablen Datenverlust, und die Maximum Tolerable Period of Disruption (MTPD) die absolute Grenze, ab der ein Ausfall existenzbedrohend wird. Die Auswirkungen werden über mehrere Dimensionen bewertet, etwa finanzielle Verluste, rechtliche und vertragliche Folgen, Reputationsschäden sowie Beeinträchtigungen von Gesundheit und Sicherheit. Aus diesen Werten ergeben sich Abhängigkeiten und der Schutzbedarf einzelner Assets, was die BIA eng mit der Schutzbedarfsfeststellung und dem Risikomanagement verzahnt.
Im Kontext der NIS2-Richtlinie und ihrer nationalen Umsetzung gewinnt die BIA zusätzlich an Bedeutung, da betroffene Einrichtungen ein angemessenes Risikomanagement einschließlich Maßnahmen zur Aufrechterhaltung des Betriebs und des Krisenmanagements nachweisen müssen. Anerkannte Rahmenwerke wie der BSI-Standard 200-4 (Business Continuity Management) und die ISO 22301 beschreiben die BIA als verpflichtenden Bestandteil eines funktionierenden BCM-Systems. Eine sorgfältig durchgeführte, regelmäßig aktualisierte BIA ermöglicht es der Geschäftsleitung, fundierte Entscheidungen über Notfallvorsorge, Redundanzen und Investitionen zu treffen und ihre Sorgfaltspflichten belastbar zu dokumentieren.
Rechtliche Grundlage
BSI-Standard 200-4 (Business Continuity Management); ISO 22301; ISO/IEC 27001 Anhang A (A.5.30 IKT-Bereitschaft für Business Continuity); Art. 21 NIS2-Richtlinie (EU) 2022/2555
Praxisbeispiel
Ein mittelständischer Maschinenbauer, der als besonders wichtige Einrichtung unter NIS2 fällt, führt eine Business-Impact-Analyse durch und stellt fest, dass die Auftragsabwicklung und die Fertigungssteuerung die kritischsten Prozesse sind. Für das ERP-System wird eine RTO von vier Stunden und eine RPO von 15 Minuten festgelegt, weil ein längerer Ausfall Lieferverzug, Vertragsstrafen und Produktionsstillstand nach sich zieht. Auf Basis dieser Ergebnisse entscheidet der Informationssicherheitsbeauftragte gemeinsam mit der Geschäftsleitung, ein georedundantes Backup-Rechenzentrum und einen dokumentierten Wiederanlaufplan einzurichten, und priorisiert die knappen IT-Budgets gezielt auf diese existenzkritischen Prozesse.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren