CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.30

IKT-Bereitschaft für Geschäftskontinuität

ISO 27001NIS2TISAXDORA

Die IKT-Bereitschaft muss auf Grundlage von Geschäftskontinuitätszielen und IKT-Kontinuitätsanforderungen geplant, umgesetzt, aufrechterhalten und getestet werden.

Was fordert dieses Control?

Die IKT-Bereitschaft muss auf Grundlage von Geschäftskontinuitätszielen und IKT-Kontinuitätsanforderungen geplant, umgesetzt, aufrechterhalten und getestet werden.

Warum ist das wichtig?

Geschäftsprozesse hängen an der IT. Definierte Wiederanlaufziele und getestete Wiederherstellung stellen sicher, dass kritische Systeme rechtzeitig zurückkehren.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX7.1.1Direkt
DORAArt. 11Direkt

Was der Auditor erwartet

  1. 1Definierte RTO/RPO für kritische Systeme
  2. 2Wiederanlaufpläne für die IKT
  3. 3Regelmäßige Tests der Wiederherstellung

Audit-Checkliste

Dokumente

  • IT-Wiederanlaufpläne

    RTO/RPO und Wiederherstellungsschritte je System

Nachweise

  • Wiederherstellungstests

    Durchgeführte Tests mit Ergebnis und Lessons Learned

Interviews

  • IT-Betrieb

    Kenntnis der Wiederanlaufprozesse

Technisch

  • Backup-/Restore-Fähigkeit

    Funktionierende, getestete Wiederherstellung

Praxis-Tipps zur Umsetzung

1

RTO/RPO ableiten

Wiederanlaufziele aus der Business-Impact-Analyse herleiten.

2

Restore testen

Backups regelmäßig wiederherstellen, nicht nur sichern.

3

Pläne aktuell halten

Wiederanlaufpläne nach Änderungen der IT-Landschaft pflegen.

Häufige Fehler

Backup nie getestet

Sicherungen existieren, lassen sich aber im Ernstfall nicht zurückspielen.

Keine RTO/RPO

Es gibt keine Vorgabe, wie schnell und mit welchem Datenverlust wiederhergestellt wird.

Häufig gestellte Fragen

Was bedeuten RTO und RPO?

RTO ist die maximal tolerierbare Wiederanlaufzeit, RPO der maximal tolerierbare Datenverlust.

Wie oft muss man Restores testen?

Regelmäßig, mindestens jährlich und nach wesentlichen Änderungen der Systeme.

Reicht ein Backup als IKT-Bereitschaft?

Nein, nötig sind getestete Wiederherstellung, definierte Ziele und Wiederanlaufpläne.

So hilft CompliantDesk bei A.5.30

Hinterlegen Sie RTO/RPO und Wiederanlaufpläne im BCM-Modul und planen Sie Wiederherstellungstests als wiederkehrende Termine.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.8.13

Sicherung von Informationen (Backup)

A.8.14

Redundanz von informationsverarbeitenden Einrichtungen

A.5.29

Informationssicherheit während einer Störung