Business Continuity Management nach ISO 22301

02. Apr. 2024 Audit

Die Resilienz im Betrieb stärken mit der ISO 22301

Die Geschäftsfortführung ist aufgrund komplexer ökologischer, sozialer und ökonomischer Risikolagen sowie anfälliger Infrastrukturen keine Selbstverständlichkeit mehr. Im Rahmen der international anerkannten Norm ISO 22301 entwickeln Unternehmen ihre Anpassungs- und Reaktionsfähigkeiten, um auch bei kritischen Ereignissen handlungsfähig zu bleiben.
Stromausfall in der Gigafactory Tesla: Ein Fall für Business Continuity Management
In der Nacht vom 26. auf den 27. März 2024 kam es in der Tesla Gigafactory in Grünheide bei Berlin zu einem Stromausfall, der die Produktion für mehrere Tage lahmlegte. Der Blackout führte zur siebentägigen Betriebsunterbrechung und Evakuierung des Werks mit einem Schaden von mehreren Hundert Millionen Euro. Ursache war ein mutmaßlicher Brandanschlag auf einen Strommast in der Nähe des Werks.
Der Vorfall wirft ein Schlaglicht auf die Bedeutung von Business Continuity Management (BCM) in einer Zeit die von Veränderungen geprägt ist. Unternehmen aller Größen und Branchen sind potenziellen Bedrohungen ausgesetzt, die zu Betriebsunterbrechungen führen können. Dazu zählen unter anderem Naturkatastrophen, Cyberangriffe, technische Ausfälle und eben auch Brandstiftung.

Tesla: Auswirkungen des Stromausfalls und mögliche BCM-Maßnahmen

Der Stromausfall in der Gigafactory verdeutlicht die immensen Folgen, wie Reputationsverlust und finanzielle Verluste, die eine Betriebsunterbrechung für ein Unternehmen auslösen kann. Darüber hinaus kann ein Stromausfall auch zu Lieferengpässen, Imageschäden und einem Verlust des Vertrauens der Kunden führen. Deswegen ist es wichtig, dass Unternehmen über BCM- Maßnahmen verfügen um bei Unterbrechungen möglichst schnell wieder zum Normalbetrieb zurückzukehren. Mögliche Maßnahmen, die in einem solchen Fall ergriffen werden könnten, umfassen:
  • Notstromversorgung: Sicherstellen, dass wichtige Systeme und Prozesse auch bei einem Stromausfall weiterlaufen können.
  • Redundante Systeme: Aufbau redundanter Systeme, um Ausfälle einzelner Komponenten zu kompensieren.
  • Auslagerung: Verlagerung der Produktion an einen anderen Standort, falls der ursprüngliche Standort nicht mehr verfügbar ist.
  • Krisenkommunikation: Informieren der Mitarbeiter, Kunden und Lieferanten über die Situation und die getroffenen Maßnahmen.
Das Managementsystem
Business Continuity Management umfasst alle Maßnahmen, die ein Unternehmen ergreift, um seine Geschäftsprozesse auch im Falle von unvorhergesehenen Ereignissen aufrechtzuerhalten. Dazu gehört unter anderem die Erstellung eines Business Continuity Plans (BCP), der die wichtigsten Prozesse, Ressourcen und Verantwortlichkeiten im Falle einer Störung definiert.
Die praxisbewährte Norm 22301 baut wie die gesamte ISO-Familie auf der Harmonized Struktur des klassischen Qualitätsmanagements (ISO 9001) auf. Sollte eine Betriebsunterbrechung unausweichlich sein (Cyberattacke, Gebäudeschaden, Naturkatastrophen, Lieferunterbrechung etc.), ist die Organisation durch das implementierte BCMS dennoch in der Lage, im tolerablen Zeitrahmen rasch zum Normalbetrieb zurückzukehren.
Haftungsfragen werden relevanter
Fahrlässigkeit und fehlende Nachweise eines präventiven Krisenmanagements können den verantwortlichen Personenkreis persönlich hart treffen, sollte das Unternehmen haftbar gemacht werden. Beispielsweise verankert das seit Anfang 2021 geltende §1 StaRUG (Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen) die Pflicht zur Krisenfrüherkennung und zum Krisenmanagement bei haftungsbeschränkten Unternehmen. Auch aus dem KonTraG, § 91 Abs. 2 AktG, § 317 Abs. 4 GmbHG sowie der Sorgfaltspflicht eines ordentlichen Kaufmanns (§347 Abs. 1 HGB) sind beispielsweise verstärkte Anforderungen zu präventiven Sicherungsmaßnahmen des Geschäftsbetriebs ableitbar.
Synergien mit neuem KRITIS-Dachgesetz
Das Krisen-Szenario aus Grünheide zeigt, inwiefern eine sektorenübergreifende Verflechtung das Risikomanagement herausfordert. Ausfälle etwa bei der Energieversorgung, IT oder Logistik können sich unmittelbar auf die gesamten Wertschöpfungskette durchschlagen. Während für die Cybersicherheit kritischer Infrastrukturen bereits umfassende Regulierungen (BSI-Gesetz, BSI-KritisV) und Standards zur Erlangung von Informationssicherheit (ISO 27001) gelten, wird nun beim physischen Schutz nachgeschärft. Mit dem KRITIS-Dachgesetz entsteht ein sektoren- und gefahrenübergreifendes Regelwerk zum physischen Schutz kritischer Infrastrukturen. Es wird ab Oktober 2024 in Kraft treten und somit die EU RCE Verordnung bzw. die CER-Richtlinie, EU 2022/2557 zur Resilienz bei Kritischen Infrastrukturen in Deutschland umsetzen. Aktuell rechnet man damit, dass über 20.000 weitere Unternehmen von der neuen Verordnung betroffen sein werden.
Unternehmen die unter die Verordnung fallen, müssen konkrete Resilienz-Maßnahmen in den Bereichen Prävention, physischer Schutz, Reaktion, Wiederherstellung, Personalsicherheit sowie hinsichtlich der Sensibilisierung für kritische Risikofaktoren nachweisen. Damit steht das Business Continuity Management bzw. die ISO 22301 auch im Anwendungsbereich der KRITIS-Regularien und erfüllt Anforderungen wie:
  • die Einrichtung eines betrieblichen Risiko- und Krisenmanagements,
  • fortlaufende Risikoanalysen und -bewertungen,
  • die Erstellung von Resilienz-Plänen,
  • die Umsetzung geeigneter und verhältnismäßiger technischer, personeller und organisatorischer Maßnahmen.
Fazit:
Der Stromausfall in der Tesla Gigafactory zeigt, wie wichtig Business Continuity Management für Unternehmen ist. Unternehmen, die das BCMS gemäß ISO 22301 etabliert haben, stärken nicht nur ihre zentralen Unternehmensfunktionen. Durch die Einführung eines BCM-Systems können Unternehmen die Risiken von Betriebsunterbrechungen minimieren und die negativen Auswirkungen auf ihr Geschäft reduzieren. Der Stromausfall in der Tesla-Fabrik sollte als Weckruf für alle Unternehmen dienen, die Bedeutung von Business Continuity Management zu erkennen und entsprechende Maßnahmen zu ergreifen. Sie können Ihr BCMS durch unabhängige Experten zertifizieren lassen und Ihren Kunden, Lieferanten und Kapitalgebern bestätigen, dass Ihre Organisation über Widerstandskraft und Reaktionsfähigkeit bei krisenhaften Ereignissen verfügt.