Fachbeiträge & Kommentare zu Notfallmanagement

"Nach dem Einsatz ist vor dem Einsatz!". Jeder Einsatz sollte daher nach Abschluss mit den Einsatzkräften ausgewertet werden: Welche Maßnahmen konnten wie geplant durchgeführt werden? Welche Maßnahmen mussten aufgrund des dynamischen Einsatzgeschehens umgeplant werden? Wie funktionierte das interne und externe Gefahrenabwehrmanagement? Welche weitere Unterstützung benötigen inte...mehr

Die Aufgaben des Brandschutzbeauftragten beruhen v. a. auf baurechtlichen Forderungen, insbesondere den Sonderbauverordnungen und den Industriebaurichtlinien der Bundesländer. Die Bestellung eines Brandschutzbeauftragten kann aber auch aufgrund einer Forderung in einem Brandschutzkonzept oder als Auflage zur Erteilung einer Baugenehmigung erforderlich sein. Keine Forderung, ...mehr

Verbesserung der Steuerung und Vernetzung Die Terminservicestellen werden zu Akutleitstellen weiterentwickelt, digital mit Rettungsleitstellen vernetzt und sollen Hilfesuchende besser steuern. Notrufwege bleiben getrennt: 112 für Rettungsdienst, 116 117 für die Akutleitstelle der Kassenärztlichen Vereinigungen. Ausbau der notdienstlichen Akutversorgung Die Kassenärztlichen Vere...mehr

Rz. 24 Der Rehabilitationssport i. S. d. § 64 ist ein Training mit den Mitteln des Sports und sportlich ausgerichteter Spiele in der Gruppe. Voraussetzung ist, dass die Teilnehmer über die notwendige Mobilität sowie physische und psychische Belastbarkeit für Übungen in der Gruppe verfügen. Unabhängig von der Art der Behinderung weisen behinderte oder chronisch kranke Menschen...mehr

Sind die richtigen Drohnen erst einmal angeschafft und die grundlegenden Sicherheitsstrukturen und -prozesse eingeführt, so können die Geräte für Arbeitsprozesse oder aber den Arbeitsschutz eingesetzt werden. Wie kann ein Unternehmen vor und während des Drohneneinsatzes selbst für genügend Sicherheit sorgen? Was muss es dabei bedenken? Grundlegende Fragen, die sich ein Untern...mehr

Die Fachkraft für Arbeitssicherheit sollte Notfallpläne für den Fall entwickeln, dass Risiken trotz der getroffenen Maßnahmen eintreten. Dies umfasst klare Prozesse für die schnelle Reaktion und Behebung von Problemen. Auch regelmäßige Übungen und Sensibilisierungen sollten durchgeführt werden. Ähnlich wie bei den Brandschutzübungen, trägt dies dazu bei sicherzustellen, dass...mehr

Rz. 111 Der EBM (Stand 1.1.2016) ist in folgende Abschnitte gegliedert: I Allgemeine Bestimmungen II Arztgruppenübergreifende allgemeine Gebührenordnungspositionen III Arztgruppenspezifische Gebührenordnungspositionen IV Arztgruppenübergreifende spezielle Gebührenordnungspositionen V Kostenpauschalen VI Anhänge VII Ausschließlich im Rahmen der ambulanten spezialfachärztlichen Verso...mehr

Rz. 56 Es liegt natürlich im Interesse der Institute, Verluste aus Schadensfällen weitgehend zu vermeiden. Nach Art. 85 Abs. 2 CRD IV müssen die Institute zum Management ihrer operationellen Risiken über Notfall- und Geschäftsfortführungspläne verfügen, die bei einer schwerwiegenden Betriebsunterbrechung die Fortführung der Geschäftstätigkeit und die Begrenzung von Verlusten...mehr

Rz. 2 Naturkatastrophen, Terroranschläge, Pandemien oder Hackerangriffe können Unterbrechungen der innerbetrieblichen Geschäftsabläufe zur Folge haben, die sich im Extremfall aufgrund der Vernetzung der internationalen Finanzmärkte zu globalen Krisen ausweiten. Aber auch weniger spektakuläre Ereignisse können bei Instituten zu gravierenden Beeinträchtigungen führen, wie z. B...mehr

Rz. 1 1 Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlas...mehr

Rz. 8 Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Die Ziele zum Notfallmanagement ergeben sich im Grunde bereits aus dessen Definition und den damit verbundenen Aufgabenstellungen zur Notfallvorsorge und zur Notfallbewältigung. Die Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. ...mehr

Rz. 43 Die Erkenntnisse aus beiden Analysen dienen im nächsten Schritt dazu, das Notfallkonzept mit Leben zu füllen. Im "Notfallkonzept" sollen u. a. die Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung der zeitkritischen Aktivitäten und Prozesse bestimmt werden. Das Notfallkonzept muss zudem die Geschäftsfortführungs- und Wiederherstellungspl...mehr

Rz. 282 Die Grundsätze des Baseler Ausschusses für Bankenaufsicht für die effektive Aggregation von Risikodaten und die Risikoberichterstattung[1] enthalten nicht nur Vorgaben für das Risikomanagement (→ Kapitel 2.6.1), sondern betreffen in einem hohen Maße auch die Informationstechnologie. Die IT-relevanten Vorgaben wurden erstmals im November 2017 als Konkretisierung der M...mehr

Rz. 109 Die Überprüfungen beinhalten u. a. einen "Test der technischen Vorsorgemaßnahmen", "Kommunikations-, Krisenstabs- und Alarmierungsübungen" sowie "Ernstfall- oder Vollübungen" (→ AT 7.3 Tz. 3, Erläuterung). Bei den Vorgaben zu den Überprüfungen des Notfallkonzeptes hat sich die deutsche Aufsicht nach eigener Auskunft eng an den BSI-Standards 100-4 (Notfallmanagement) ...mehr

Rz. 147 Gesetzliche Grundlage der MaRisk und Anknüpfungspunkt für die Umsetzung des "Supervisory Review Process" (SRP) ist § 25a Abs. 1 KWG, der von den Instituten eine "ordnungsgemäße Geschäftsorganisation" fordert. Das KWG zielt diesbezüglich in erster Linie auf ein aus qualitativer Sicht angemessenes Risikoumfeld in den Instituten ab, das zur Stärkung des Risikobewusstsei...mehr

Rz. 67 Die Institute sollten mit den Geschäftsfortführungsplänen sicherstellen, dass sie auf potenzielle Ausfallszenarien angemessen reagieren können und in der Lage sind, den Betrieb ihrer kritischen Geschäftstätigkeiten nach Störungen (bzw. bei Untersuchung von "Störungsszenarien") innerhalb einer vorgegebenen "Wiederanlaufzeit" ("Recovery Time Objective", RTO)[1] und zu e...mehr

Rz. 87 Unmittelbar im Anschluss an die Veröffentlichung der fünften MaRisk-Novelle hat die deutsche Aufsicht im November 2017 die "Bankaufsichtlichen Anforderungen an die IT" (BAIT) vorgelegt.[1] Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 KWG einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute vor, insbesonder...mehr

Rz. 55 Die Institute müssen die Ziele für das "Notfallmanagement" definieren und einen entsprechenden Prozess etablieren. Im zugehörigen "Notfallkonzept" geht es um die Vorsorge für Notfälle in zeitkritischen Aktivitäten und Prozessen. Zu diesem Zweck werden Maßnahmen festgelegt, mit deren Hilfe das Ausmaß möglicher Schäden reduziert werden kann (→ AT 7.3 Tz. 1). Diese Maßna...mehr

[…] die Novellierung der BAIT ist abgeschlossen. Vielen Dank für Ihr Mitwirken durch schriftliche Rückmeldungen, beispielsweise in der öffentlichen Konsultation sowie durch konstruktive Mitarbeit im Fachgremium IT. Mein Dank gilt auch der Deutschen Bundesbank, die in enger Zusammenarbeit mit der Gruppe IT-Aufsicht an der BAIT-Novelle mitgewirkt hat. Ich freue mich, Ihnen nun ...mehr

Rz. 51 Das Notfallkonzept ist angemessen zu kommunizieren. Vor diesem Hintergrund bietet es sich an, den Inhalt des Notfallkonzeptes in den Organisationsrichtlinien zu verankern. Viele Institute haben für diese Zwecke allerdings auch separate Notfallhandbücher entwickelt, was ebenso möglich ist. Sofern in einem Institut mehrere Notfallpläne für verschiedene Zwecke existieren...mehr

Rz. 10 Die dem Risikomanagementbegriff der MaRisk zugrunde liegende Systematik ist durch die verschiedenen Novellierungen des § 25a Abs. 1 KWG ebenfalls weitgehend unberührt geblieben. Auch für die Anforderungen an das Risikomanagement gilt grundsätzlich das Proportionalitätsprinzip: Die Ausgestaltung des Risikomanagements hängt von Art, Umfang, Komplexität und Risikogehalt ...mehr

Rz. 9 Die Finanzmarktkrise im Jahr 2008 hat eindrucksvoll gezeigt, dass Unternehmenskrisen im Banken- und Versicherungssektor zu erheblichen Verwerfungen auf den Finanzmärkten führen können – mit entsprechend negativen Auswirkungen auf die Unternehmen des Finanzsektors sowie die Realwirtschaft. Darüber hinaus haben die notwendig gewordenen staatlichen Stützungsmaßnahmen die ...mehr

Rz. 25 Nicht zuletzt aus der Definition einer Störung ergibt sich die Notwendigkeit einer Abgrenzung zwischen der "Störungsbeseitigung" bzw. dem "Vorfallmanagement" und dem "Notfallmanagement". Rz. 26 Die EBA fordert die Etablierung eines "Prozesses zum Management von Vorfällen und Problemen", um operationelle und sicherheitsrelevante IKT-Vorfälle zu überwachen und zu protoko...mehr

Rz. 40 Aufgrund der Abhängigkeit von der IT wird wohl bei nahezu allen Instituten deren teilweiser oder vollständiger Ausfall als "zeitkritisch" und somit als Notfall eingestuft werden. Dasselbe trifft auf Liquiditätsengpässe zu, für deren Beseitigung sogar explizit ein Notfallplan gefordert wird (→ BTR 3.1 Tz. 9). Ähnlich bedeutsam kann der Ausfall wesentlicher Geschäftspro...mehr

Rz. 275 In den beiden geschilderten Varianten hat das auslagernde Institut i. d. R. die Möglichkeit, sich rechtzeitig auf die Beendigung der Auslagerungsvereinbarung einzustellen und insofern in geeigneter Weise darauf zu reagieren. Anders verhält es sich hingegen, wenn eine wesentliche Auslagerung aus Sicht des auslagernden Institutes "unbeabsichtigt" bzw. "unerwartet" been...mehr

Rz. 83 Die Auslagerung von zeitkritischen Aktivitäten und Prozessen darf nicht dazu führen, dass die Vorsorge für Notfälle vernachlässigt oder sogar komplett ausgeblendet wird. Das wäre insbesondere vor dem Hintergrund der großen Bedeutung der IT-Auslagerungen für die Institute ein fataler Trugschluss.[1] Rz. 84 Allerdings ist es schon unter Praktikabilitätsgesichtspunkten ka...mehr

Rz. 164 Auch im Hinblick auf den sonstigen Fremdbezug von IT-Dienstleistungen haben die Institute zunächst die allgemeinen Anforderungen an die ordnungsgemäße Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten (→ AT 9 Tz. 1, Erläuterung). Darüber hinaus sind bei jedem Bezug von Software die damit verbundenen Risiken angemessen zu bewerten (→ AT 7.2 Tz. 4 Satz 2). Wegen...mehr

Rz. 1 IT-Dienstleistungen umfassen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung. Die Auslagerungen der IT-Dienstleistungen haben die Anforderungen nach AT 9 der MaRisk zu erfüllen. Dies gilt auch für Auslagerungen von IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsun...mehr

Rz. 196 Beim Bezug von Software sind die damit verbundenen Risiken angemessen zu bewerten. Der isolierte Bezug von Software ist i. d. R. als "sonstiger Fremdbezug von Leistungen" einzustufen. Allerdings sind mit dem Bezug von Software häufig auch Unterstützungsleistungen verbunden. Sofern die Software zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation...mehr

Rz. 77 Kommunikation ist bei jedem Notfall die kritische Komponente und ein zentraler Erfolgsfaktor des Notfallmanagements. Soweit in diesem Zusammenhang keine klaren Regelungen im Notfallkonzept getroffen werden, kann das gesamte Konzept ggf. ins Leere laufen (z. B. weil die Ansprechpartner für den Notfall nicht bekannt sind). Die im Notfall verantwortlichen Mitarbeiter ode...mehr

Rz. 161 Zu den Anforderungen an die Geschäftsleiter nach § 25c KWG besteht eine enge Verbindung. Diese Anforderungen beziehen sich in Abs. 3 zunächst auf die Gesamtverantwortung für die ordnungsgemäße Geschäftsorganisation, die in Abs. 4 durch die Forderung nach angemessenen personellen und finanziellen Ressourcen zur Bewältigung dieser Aufgabe sowie in Abs. 4a bzw. Abs. 4b ...mehr

Rz. 18 Um einen "Notfall" richtig einordnen zu können, ist es hilfreich, sich einen Überblick über die verschiedenen Ursachen für Unterbrechungen von Geschäftsprozessen und deren mögliche Auswirkungen zu verschaffen. Hilfestellung liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Den Definitionen vom BSI zufolge können verschiedene "Schadensereignisse" b...mehr

Rz. 1 Die IT-Strategie hat die Anforderungen nach AT 4.2 der MaRisk zu erfüllen. Dies beinhaltet insbesondere, dass die Geschäftsleitung eine nachhaltige IT-Strategie festlegt, in der die Ziele, sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden. Rz. 2 Die Geschäftsleitung hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen. Mindestinhalte...mehr

Rz. 114 Die Überprüfungen des Notfallkonzeptes sind zu protokollieren. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen und hinsichtlich notwendiger Verbesserungen zu analysieren. Das fordert auch der BCBS.[1] Die EBA bezieht diese Anforderung auf alle aus den Tests resultierenden festgestellten Mängel, Probleme oder Störungen. Dabei sollten die In...mehr

Rz. 314 Seit der sechsten MaRisk-Novelle haben bei wesentlichen Auslagerungen das auslagernde Institut und das Auslagerungsunternehmen die Anforderungen für die Umsetzung und Überprüfung von Notfallkonzepten vertraglich zu vereinbaren. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben sie über aufeinander abgestimmte Notfallkonzepte zu verfügen (→ AT...mehr

Rz. 75 Direkt mit den Geschäftsfortführungs- und Wiederherstellungsplänen verbunden ist die Vorgabe, unter welchen Umständen diese Pläne wirksam werden. Daher sollen im Notfallkonzept die Kriterien für die Einstufung sowie für das Auslösen dieser Pläne enthalten sein (→ AT 7.3 Tz. 2, Erläuterung). Mit Blick auf diese Kriterien sollte festgelegt werden, unter welchen Bedingun...mehr

Rz. 1 Operationelle Risiken werden im Gegensatz zu Adressenausfallrisiken oder Marktpreisrisiken vom Institut zwar grundsätzlich nicht bewusst eingegangen, um daraus Erträge zu generieren. Allerdings müssen sich die Institute z. B. bei der Einführung neuer (komplexer) Produkte oder bei Änderungen betrieblicher Prozesse und Strukturen der damit verbundenen prozessualen, recht...mehr

Rz. 28 Mitarbeiter sowie deren Vertreter müssen in Abhängigkeit von ihren Aufgaben, Kompetenzen und Verantwortlichkeiten über die erforderlichen Kenntnisse und Erfahrungen verfügen. Diese Anforderung setzt voraus, dass Institute über eine entsprechende Personalbedarfsplanung verfügen, in der ebenjene notwendigen Fähigkeiten, Fertigkeiten, die Erfahrung und das Potenzial (d. ...mehr

mehr

[…] ich lege Ihnen hiermit den angekündigten Entwurf der Neufassung des Rundschreibens 09/2017 (BA) für die Mindestanforderungen an das Risikomanagement (im folgenden MaRisk) zur Konsultation vor. Die Überarbeitung ist zuvorderst auf Änderungen der internationalen Regelsetzung zurückzuführen. Mit der aktuellen MaRisk-Novelle werden die Leitlinien der EBA zu notleidenden und g...mehr

Rz. 169 Die modulare Struktur der MaRisk hat gegenüber dem Aufbau der alten Mindestanforderungen erhebliche Vorteile für Institute, Prüfer, Verbände, Aufsicht und andere Betroffene. Anpassungen des Regelwerkes führen nicht mehr automatisch zu weiteren Rundschreiben der BaFin. Ein zusätzlicher Vorteil besteht darin, dass im Bedarfsfall vollkommen neue Regelungsbereiche in die...mehr

[…] die Europäische Bankenaufsichtsbehörde (EBA) hat im November 2019 mit den "EBA-Leitlinien für IKT und Sicherheitsrisikomanagement" (ICT Guidelines) für den Binnenmarkt einheitliche Anforderungen an das Management von Informationstechnik und Informationssicherheit für Kreditinstitute, Wertpapierfirmen und Zahlungsdienstleister veröffentlicht. Aus dem Anlass haben Vertreteri...mehr

Rz. 1 Bei Industrieunternehmen ist die Leistungserstellung das Ergebnis des Zusammenwirkens verschiedener Produktionsfaktoren. Für Kredit- und Finanzdienstleistungsinstitute gilt im Prinzip nichts anderes. Kapital, Arbeit und Betriebsmittel werden in einem bestimmten Verhältnis miteinander kombiniert, um auf diese Weise die Ziele des Institutes bestmöglich zu verwirklichen. ...mehr

Rz. 112 Aufgrund ihrer besonderen Bedeutung für das Funktionieren der Prozesse hat das Institut in Abhängigkeit von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten auch Aussagen zur zukünftig geplanten Ausgestaltung der IT-Systeme zu treffen (→ AT 4.2 Tz. 1, Erläuterung). Damit wird die in den letzten Jahren ständig gestiegene Bedeutung der Informationstec...mehr

Rz. 77 Der "IT-Betrieb" hat laut Tz. 8.1 BAIT jene Anforderungen umzusetzen, die sich aus der Geschäftsstrategie und den IT-unterstützten Geschäftsprozessen ergeben. Für die Umsetzung der Anforderungen des Informationssicherheitsmanagements ist nach Tz. 5.1 BAIT hingegen die "operative Informationssicherheit" zuständig. Insofern entspricht die Tätigkeit der operativen Inform...mehr

Rz. 98 Im Zusammenhang mit dem Management der operationellen Risiken (→ BTR 4) wird von der EBA eine Reihe von Unterkategorien genannt, die von den Instituten im Risikomanagement und den zuständigen Behörden beim SREP zu berücksichtigen sind. Dazu gehören u. a. auch Auslagerungsrisiken sowie Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken). Das "IKT-Auslager...mehr

Rz. 223 Modul AT umfasst in erster Linie übergeordnete Anforderungen an die Ausgestaltung des Risikomanagements, bei denen grundsätzlich kein konkreter Bezug zu bestimmten Geschäftsbereichen oder Risikoarten besteht. Viele Regelungen der "alten" Mindestanforderungen sind wegen ihres übergreifenden Charakters in diesem Modul "vor die Klammer" gezogen worden. Das betrifft z. B...mehr

Rz. 230 Die prominenteste Schwester der MaRisk für Banken und Finanzdienstleistungsinstitute waren die im Januar 2009 von der BaFin veröffentlichten "Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen" (MaRisk VA).[1] Die MaRisk VA gaben auf der Basis des damaligen § 64a des Gesetzes über die Beaufsichtigung der Versicherungsunternehmen (VAG) einen Rah...mehr

Rz. 102 Gemäß dem Grundsatz der Verhältnismäßigkeit (Proportionalitätsprinzip) sollte das Stresstestprogramm eines Institutes mit seinem individuellen Risikoprofil und Geschäftsmodell übereinstimmen. Die Institute sollten daher bei der Entwicklung und Durchführung des Stresstestprogramms ihre Größe, ihre interne Organisation sowie die Art, den Umfang und die Komplexität ihre...mehr

Rz. 17 Die Institute haben sicherzustellen, dass für Notfälle in zeitkritischen Aktivitäten und Prozessen Vorsorge getroffen wird. Für diese Zwecke wird ein Notfallkonzept gefordert. Insofern geht es für das einzelne Institut zunächst darum, sich darüber klar zu werden, was unter einem Notfall verstanden wird, und zeitkritische Aktivitäten und Prozesse zu identifizieren. Dab...mehr