A.8 Technologische Maßnahmen
Redundanz von informationsverarbeitenden Einrichtungen
Informationsverarbeitende Einrichtungen müssen mit ausreichender Redundanz umgesetzt werden, um die Verfügbarkeitsanforderungen zu erfüllen.
Was fordert dieses Control?
Informationsverarbeitende Einrichtungen müssen mit ausreichender Redundanz umgesetzt werden, um die Verfügbarkeitsanforderungen zu erfüllen.
Warum ist das wichtig?
Redundanz vermeidet Single Points of Failure. Sie hält kritische Systeme auch bei Ausfall einzelner Komponenten verfügbar und ergänzt Backup und BCM.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| NIS2 | Art. 21 (2) | Direkt |
| TISAX | 7.1.1 | Indirekt |
| DORA | Art. 12 | Direkt |
Was der Auditor erwartet
- 1Redundanz für kritische Systeme entsprechend Verfügbarkeitszielen
- 2Vermeidung von Single Points of Failure
- 3Tests der Umschaltmechanismen
Audit-Checkliste
Dokumente
Verfügbarkeits-/Redundanzkonzept
Redundanzen je kritischem System und Verfügbarkeitsziel
Nachweise
Failover-Tests
Erfolgreiche Umschaltungen auf redundante Systeme
Technisch
Redundante Komponenten
Doppelte Auslegung kritischer Systeme/Netze
Praxis-Tipps zur Umsetzung
SPOF identifizieren
Kritische Einzelkomponenten gezielt aufspüren und absichern.
Failover testen
Umschaltung regelmäßig erproben, nicht nur vorhalten.
Verfügbarkeitsziele ableiten
Redundanz an RTO/RPO und Geschäftsanforderungen ausrichten.
Häufige Fehler
Failover ungetestet
Redundanz existiert, funktioniert im Ernstfall aber nicht.
Versteckter SPOF
Eine gemeinsame Komponente macht die Redundanz wirkungslos.
Häufig gestellte Fragen
Was ist ein Single Point of Failure?
Eine Komponente, deren Ausfall allein das gesamte System lahmlegt.
Ist Redundanz immer nötig?
Nur entsprechend den Verfügbarkeitsanforderungen, nicht jedes System braucht Hochverfügbarkeit.
Wie unterscheidet sich das von Backup?
Backup stellt Daten wieder her, Redundanz hält den Betrieb ohne Unterbrechung aufrecht.
So hilft CompliantDesk bei A.8.14
Dokumentieren Sie Redundanzmaßnahmen als Kontrolle, verknüpfen Sie sie mit BCM-Szenarien und verfolgen Sie Failover-Tests im Kalender.