Compliance-Lexikon · Praxis
Business Impact Analysis – Praxis
Eine Business Impact Analysis klingt nach großem Aufwand. In der Praxis ist ein strukturierter Workshop mit den Prozessverantwortlichen und eine klare Dokumentation ausreichend – wenn die richtigen Fragen gestellt werden.
Was Auditoren konkret prüfen
Der Auditor fragt: Sind RTO und RPO für alle kritischen Prozesse definiert? Ist die BIA datiert und von der Geschäftsführung abgenommen? Wurde sie in den letzten zwei Jahren überprüft? Stimmt die Priorisierung der IT-Systeme mit der BIA überein?
Häufige Fehler
- RTO und RPO sind definiert, aber nicht mit dem IT-Betrieb abgeglichen
- BIA deckt nur IT-Systeme ab, nicht Geschäftsprozesse
- Keine Überprüfung nach wesentlichen Änderungen
Praxis-Tipp
RTO und RPO sind nur dann auditrelevant, wenn die technische Infrastruktur sie auch einhalten kann. Ein definierter RPO von 4 Stunden ist wertlos, wenn das Backup-System täglich einmal läuft. BIA und technisches Setup müssen aufeinander abgestimmt sein – und das muss dokumentiert sein.
BIA-Dokumentation: Mindestinhalt
Ein auditrelevantes BIA-Dokument enthält: Liste der kritischen Geschäftsprozesse mit Beschreibung, Abhängigkeiten zu IT-Systemen und Lieferanten, RTO und RPO je Prozess, Schadensklassifizierung bei Ausfall, Priorisierung der Wiederherstellung und Datum der letzten Überprüfung. Umfang: 5 bis 15 Seiten je nach Organisationsgröße.
Evidence-Anforderungen im Audit
Vorzulegen sind: BIA-Bericht mit Datum und Genehmigung, RTO/RPO-Tabelle für alle kritischen Prozesse, Nachweis der Abstimmung mit IT-Betrieb und Business-Continuity-Plan, der auf der BIA basiert. Das BAM-Objekt RISK-BIA-01 listet diese Anforderungen als prüfbare Checkliste.
Nächster Schritt
NIS-2-Stresstest starten
Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – BIA als Grundlage der Resilienzstrategie – findet sich auf Ebene 3.