Ein unternehmensspezifisches Notfallmanagement dient dazu, Vorkehrungen und Verfahren einzurichten, um in einem technischen Krisenfall kritische Geschäftsprozesse auf einem definierten Mindestniveau fortsetzen und zeitnah den Normalbetrieb wiederherstellen zu können. Neben dem potenziellen Ausfall eigener IT-Systeme können auch Systempartner und andere Dienstleister von Notfällen getroffen werden.
Durch die ISO-Norm 22301 werden Anforderungen an ein betriebliches Kontinuitätsmanagement festgelegt, nach denen sich Unternehmen offiziell zertifizieren lassen können, um ihre Resilienz gegenüber Kunden und Lieferanten nachzuweisen.
Der erste Schritt bei der Einführung eines Notfallmanagements ist die sog. Business-Impact-Analyse zur Bestimmung der Auswirkungen bei Ausfall geschäftskritischer Prozesse (Schadensanalyse mit Priorisierung und Kritikalität für Geschäftsprozesse und dazugehörige Ressourcen).
Auf Basis einer Risikoanalyse wird ein Notfallkonzept erstellt. Dieses setzt sich aus einem Notfallvorsorgekonzept und einem Notfallhandbuch zusammen. Mit dem Notfallvorsorgekonzept werden präventive Maßnahmen zur Notfallvermeidung und Schadenbegrenzung definiert. Das Notfallhandbuch enthält Informationen zu Wiederanlaufplänen, Kontakte sowie weitere Handlungsanweisungen und dient der Notfallbewältigung.
Nach Umsetzung des Notfallkonzepts sind die definierten Maßnahmen regelmäßig durch Übungen auf ihre Wirksamkeit hin zu testen. Aus den Ergebnissen dieser Tests können weitere Maßnahmen zur Schadenbegrenzung oder Notfallbewältigung abgeleitet und das Notfallmanagement somit kontinuierlich verbessert werden.
Hinweis: Bei einer Nutzung von Cloud-Dienstleistern sollte das Notfallmanagement auch in den IT-Verträgen mit den Anbietern vereinbart werden. Dazu gehören beispielsweise auch Berichts- und Anzeigepflichten zwischen den Vertragsparteien und möglichen Subunternehmern.