Aufsichtsrechtliche Anforderungen an das Notfallmanagement beim Outsourcing (Witzel, ITRB 2022, 254)

Notfallmanagement oder Business Continuity Management war lange kein Thema für die Vertragsgestaltung. Zu theoretisch schienen die Szenarien. Die Pandemie hat das Notfallmanagement in den allgemeinen Fokus gerückt, was die BaFin zu weitergehenden aufsichtsrechtlichen Anforderungen zum Notfallmanagement, zur Informationssicherheit und zum Lieferantenmanagement veranlasst hat. Die MaRisk, die MaGo sowie die bankaufsichtlichen und versicherungaufsichtlichen Anforderungen an die IT (VAIT und BAIT) versuchen, durch regulatorische Vorgaben die Widerstandsfähigkeit der Finanz- und Versicherungsbranche zu stärken und betreffen auch die Vertragsgestaltung mit Dienstleistern. Die Anforderungen der BaFin können trotz ihres Branchenbezugs auch als Best Practices für Outsourcing- und Cloudverträge gelten.

I. Zielsetzung des Notfallmanagements

II. Prozesse und Bestandteile des Notfallmanagements

1. Bestandteile

2. Prozesse

a) Business Impact Analyse

b) Risiko Impact Analyse

c) Business Continuity Strategie

d) Business Continuity Maßnahmen

e) Tests, Schulungen, Berichterstattung

III. Typischer Inhalt eines Notfallkonzepts

1. Notfallkonzept

2. IT-Notfallhandbuch

IV. Geschäftsfortführungs- und Wiederherstellungspläne

1. Geschäftsfortführungspläne

2. Wiederherstellungspläne

V. Notfalltest und Notfallübungen

VI. Übersicht über regulatorische Anforderungen und Maßnahmen am Beispiel der MaRisk


I. Zielsetzung des Notfallmanagements

Beispielhaft für eine aufsichtsrechtliche Vorgabe zum Notfallmanagement ist Abschn. AT 7.3 Ziff. 1 MaRisk (Mindestanforderungen an das Risikomanagement): „Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen“. Aus Ziff. 2 ergibt sich die Anforderung an Auslagerungen: „Im Falle der Auslagerung von zeitkritischen Aktivitäten haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen“.

• Mögliche Notfälle im Sinne der MaRisk sind:
• technische Störungen bei Rechenzentren
• Stromausfall, Brand, Wassereintritt
• Naturkatastrophen
• Pandemien
• Hacker- oder Terrorangriffe

BAIT (Bankaufsichtliche Anforderungen an die IT) und VAIT (Versicherungsaufsichtliche Anforderungen an die IT) führen für das IT-Notfallmanagement folgende Szenarien auf:

• (Teil-)Ausfall eines Standorts (z.B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle)
• erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z.B. aufgrund von Fehlern oder Angriffen)
• Ausfall einer kritischen Anzahl von Mitarbeitern (z.B. bei Pandemie, Lebensmittelvergiftung, Streik)
• Ausfall von Dienstleistern (z.B. Zulieferer, Stromversorger)

Notfälle können bei Unternehmen zu Beeinträchtigungen des Geschäftsbetriebs führen. Das BSI unterscheidet zwischen Störung, Notfall, Krise und Katastrophe, wobei Störungen im Allgemeinen durch in das Tagesgeschäft integrierte Prozesse und Kontrollen gemanagt werden und nicht Bestandteil des Notfallmanagements sind. Ein Notfall ist demnach ein Schadenereignis, bei dem der Prozess oder die Ressourcen eines Unternehmens nicht wie vorgesehen funktionieren.

Das Notfallmanagement ist ein Managementprozess mit dem Ziel, (...)