Notfallmanagement

Notfallmanagement (englisch: Business Continuity & Emergency Management) bezeichnet den ganzheitlichen Prozess, mit dem eine Organisation auf gravierende Störungen vorbereitet wird, die den normalen Betrieb gefährden. Anders als das alltägliche Incident-Management adressiert es Ereignisse mit hohem Schadenspotenzial wie längere IT-Ausfälle, Cyberangriffe, Brand, Stromausfall oder den Ausfall wichtiger Dienstleister. Ziel ist es, die Ausfallzeit kritischer Geschäftsprozesse zu begrenzen und Schäden für Betrieb, Kunden und Reputation zu minimieren.

Ein wirksames Notfallmanagement folgt einem Lebenszyklus aus Vorbeugung, Vorbereitung, Reaktion und Wiederherstellung. Auf Basis einer Business-Impact-Analyse werden kritische Prozesse, ihre maximal tolerierbare Ausfallzeit (MTPD) sowie Wiederanlaufziele (RTO/RPO) bestimmt. Daraus leiten sich Notfallpläne, Wiederanlauf- und Krisenkommunikationspläne, definierte Rollen und Eskalationswege sowie Vorsorgemaßnahmen wie Datensicherung, Redundanzen und Ausweicharbeitsplätze ab. Regelmäßige Tests, Übungen und Schulungen stellen sicher, dass die Pläne im Ernstfall tatsächlich funktionieren.

Methodische Grundlage bilden Standards wie der BSI-Standard 200-4 (Business Continuity Management) und die ISO 22301. Für besonders wichtige und kritische Einrichtungen schreibt die NIS2-Richtlinie beziehungsweise das deutsche Umsetzungsgesetz ausdrücklich Maßnahmen zur Aufrechterhaltung des Betriebs, zum Backup-Management und zur Bewältigung von Sicherheitsvorfällen vor. Notfallmanagement ist damit nicht nur eine Frage der Resilienz, sondern zunehmend eine regulatorische Pflicht, für deren Umsetzung die Geschäftsleitung verantwortlich ist.