Bundesamt für Sicherheit in der Informationstechnik

M 6.113 Bereitstellung angemessener Ressourcen für das Notfallmanagement

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, Notfallbeauftragter

Damit die für das Notfallmanagement gesteckten Ziele erreicht werden können, müssen angemessene Ressourcen bereitgestellt werden.

Planung, Umsetzung, Betrieb, Wartung und Verbesserung eines Notfallmanagements erfordern ausreichende finanzielle und personelle Ressourcen sowie eine geeignete Ausstattung. Diese müssen von der Behörden- bzw. Unternehmensleitung in angemessenem Umfang bereitgestellt werden.

Es ist zu empfehlen, dass der Notfallbeauftragte anhand des Gefährdungspotentials und der Ziele und Aufgaben der Notfallvorsorge und der Notfallbewältigung die benötigten Ressourcen aufzeigt. Dies dient einerseits als Grundlage für die notwendigen Management-Entscheidungen über die Zuteilung der Ressourcen und andererseits zur Festlegung der Projektpläne und der Umsetzungszeiträume.

Benennung eines Verantwortlichen für das Notfallmanagement

Ohne eine funktionierende Organisationsstruktur für das Notfallmanagement nützen die teuersten technischen Lösungen nichts. Es ist daher durch die oberste Leitungsebene ein Verantwortlicher für das Notfallmanagement aus der Leitungsebene zu benennen, der die entsprechenden Befugnisse besitzt.

Benennungen von Zuständigen für die Planung, Umsetzung, Betrieb, Wartung und Verbesserung eines Notfallmanagements

Es sind für alle für das Notfallmanagement festgelegten Rollen geeignete Personen zuzuweisen. Die Rollen müssen alle Phasen des Notfallmanagement-Prozesses abdecken, von der Initiierung, Planung, Umsetzung, Wartung, Aufrechterhaltung und der Überprüfung des Notfallmanagements. Auch die nur temporär benötigten Rollen der Notfall- und Krisenbewältigung müssen berücksichtigt werden. Insbesondere ist ein Notfallbeauftragter zu benennen, der der zentrale Ansprechpartner für das Notfallmanagement und zuständiger Koordinator aller anfallender Aufgaben ist.

Personelle Ressourcen für das Notfallmanagement

Alle Mitarbeiter des Notfallmanagement-Teams sollten über ausreichende Kompetenzen verfügen, um die ihnen mit den Rollen zugewiesenen Aufgaben erfüllen zu können. Sie müssen Zugriff auf erforderliche Ressourcen haben und über ausreichend Zeit für ihre Arbeit verfügen. Dies gilt insbesondere dann, wenn ein Mitarbeiter die Aufgaben in Personalunion neben seinen eigentlichen Tätigkeiten wahrnimmt. Das Notfall-Organigramm ist von der Behörden- bzw. Unternehmensleitung zu autorisieren.

Bereitstellung von Ressourcen für den IT-Betrieb

Werden durch das Notfallmanagement zusätzliche Anforderungen an die IT gestellt, so ist sicherzustellen, dass dem IT-Betrieb ausreichende Ressourcen zur Verfügung gestellt werden. Typische Probleme des IT-Betriebs (knappes Budget, überlastete Administratoren und eine unstrukturierte oder schlecht gewartete IT-Landschaft) müssen in der Regel gelöst werden, damit die Notfallvorsorgemaßnahmen wirksam und effizient umgesetzt werden können.

Zugriff auf externe Ressourcen

In einzelnen Phasen des Notfallmanagements, wie beispielsweise der Konzeption oder in der Notfallbewältigung, sind Arbeitsspitzen zu erwarten. Um diese bewältigen zu können, müssen entweder intern zusätzliche Mitarbeiter eingesetzt oder auf externe Experten zurückgegriffen werden. Zusätzlich kann es sinnvoll sein, bei fehlendem Know-how oder von Erfahrung temporär auf Experten zurückzugreifen. Der Bedarf muss von den internen Notfallmanagement-Experten kommuniziert werden, damit die Leitungsebene die erforderlichen Ressourcen bereit stellen kann.

Wirtschaftlichkeitsaspekte

Die Notfallmanagementstrategie sollte von Beginn an auch Wirtschaftlichkeitsaspekte berücksichtigen. Bei der Auswahl der umzusetzenden Notfallvorsorgemaßnahmen sollten auch die zur Verfügung stehenden Ressourcen berücksichtigt werden. Wenn für bestimmte Maßnahmen keine ausreichende finanzielle, technische oder personelle Unterstützung vorhanden ist, muss die Strategie geändert werden. Wenn aber die formulierten Ziele für das Notfallmanagement und die vorhandenen finanziellen, technischen oder personellen Möglichkeiten zu weit auseinander liegen, müssen sowohl die Ziele wie auch die Strategie grundsätzlich überdacht werden. In diesem Fall muss die Leitungsebene über diese Diskrepanz informiert werden, damit sie gegebenenfalls Korrekturmaßnahmen vornehmen kann.

Bei der Festlegung von Notfallvorsorgemaßnahmen sollten immer die für die Umsetzung benötigten personellen und finanziellen Ressourcen konkret genannt werden. Hierzu gehört die Benennung von Verantwortlichen und anderen Ansprechpartnern, aber auch die Festlegung genauer Terminpläne und der zu beschaffenden Materialien. Es empfiehlt sich außerdem, bei allen geplanten Notfallvorsorgemaßnahmen zu dokumentieren, ob die für eingeplanten Ressourcen termingerecht bereitgestellt wurden und was die Gründe für Projektabweichungen waren. Nur so lassen sich nachhaltige Verbesserungen erreichen und Störungen vermeiden.

Prüffragen:

  • Sind die finanziellen, technischen und personellen Ressourcen für die angestrebten Ziele des Notfallmanagements angemessen?

  • Verfügen der Notfallbeauftragte beziehungsweise das Notfallmanagement-Team über genügend Zeit für ihre Aufgaben im Notfallmanagement?

Stand: 13. EL Stand 2013