Compliance-Lexikon · Praxis
Availability – Praxis
Verfuegbarkeit ist im Audit haeufig ein blinder Fleck: RTO und RPO sind dokumentiert, aber nie getestet. Redundanzen sind geplant, aber nicht verifiziert. Was Auditoren bei NIS-2, DORA und ISO 27001 wirklich pruefen, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Bei einer Pruefung von Availability fragt der Auditor nach nachweislich getesteten Wiederherstellungszielen. Das BAM-Objekt CROSS-AV-02 definiert im Evidence-Feld, was konkret vorgelegt werden muss.
Haeufige Fehler
- Kein differenziertes RTO/RPO pro Systemkategorie
- Backup-Tests undokumentiert oder nicht regelmaessig
- Failover-Systeme existieren, werden aber nie aktiviert und getestet
- Single Points of Failure in der Netzwerkarchitektur nicht adressiert
Praxis-Tipp
Fuer Availability gilt: Ein nicht getestetes Backup ist kein Backup. Auditoren wollen Testberichte mit Datum, getestetem System, erreichter Wiederherstellungszeit und Ergebnis – nicht die Konfiguration des Backup-Systems allein.
Umsetzung Schritt fuer Schritt
Erster Schritt: Alle kritischen Systeme identifizieren und Verfuegbarkeitsklassen zuweisen. Zweiter Schritt: RTO und RPO pro System festlegen und dokumentieren. Dritter Schritt: Redundanzmassnahmen und Backup-Konzept gegen RTO/RPO ausrichten. Vierter Schritt: Jaehrliche Wiederherstellungstests durchfuehren und dokumentieren. Fuenfter Schritt: Single Points of Failure identifizieren und Massnahmen planen. Sechster Schritt: Erreichtes vs. geplantes RTO/RPO im Testbericht vergleichen.
Evidence-Anforderungen im Audit
Der Auditor erwartet: Liste kritischer Systeme mit Verfuegbarkeitsklassen und RTO/RPO, Testberichte aller Wiederherstellungstests mit Datum und Ergebnissen, Backup-Konfigurationsdokumentation, Nachweis der Failover-Tests und – bei DORA-pflichtigen Unternehmen – den vollstaendigen Business-Continuity-Plan.
Naechster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2 und DORA in 20 Minuten.
Die strategische Einordnung – warum Availability langfristig mehr als ein Betriebsthema ist – findet sich auf Ebene 3.