Digitale Systeme sind heute das Rückgrat der Wirtschaft, und wenn sie ausfallen, entstehen sofort Kosten.
Der Bericht „The State of Resilience 2025” von Cockroach Labs ergab, dass jedes befragte Unternehmen im vergangenen Jahr Umsatzverluste aufgrund von Ausfällen verzeichnete, wobei die Kosten pro Vorfall zwischen 10.000 und über 1 Million US-Dollar lagen.
Nach 14 Jahren wurde ISO/IEC 27031 aktualisiert, um dieser Realität Rechnung zu tragen. Der Leitfaden konzentriert sich auf die IKT-Bereitschaft und bietet Organisationen praktische Anweisungen zur Vorbereitung auf digitale Störungen, zur Reaktion darauf und zur Wiederherstellung nach solchen Störungen. Es handelt sich zwar nicht um eine zertifizierbare Norm, aber sie ergänzt ISO 22301 zur Geschäftskontinuität und ISO/IEC 27001 zur Informationssicherheit und schafft so eine solidere Grundlage für die Widerstandsfähigkeit.
In Verbindung mit Rahmenwerken wie dem FFIEC IT Handbook, den britischen Vorschriften zur operativen Resilienz, DORA und NIS 2 hilft ISO/IEC 27031 Unternehmen dabei, die Resilienz ihrer IKT an die steigenden Compliance- und Aufsichtsanforderungen anzupassen. Sehen wir uns einmal an, was es Neues in der Aktualisierung von 2025 gibt, warum dies wichtig ist und wie Sie die Leitlinien in der Praxis anwenden können.
In diesem Beitrag werden wir uns mit folgenden Themen befassen:
Was ist neu in ISO/IEC 27031:2025?
Die zweite Ausgabe der Norm ISO/IEC 27031 wurde im Mai 2025 veröffentlicht und ist die erste größere Aktualisierung seit der Veröffentlichung der ursprünglichen Leitlinien im Jahr 2011. Diese lang erwartete Überarbeitung spiegelt wider, wie sehr sich Technologie, Geschäftsabläufe und Erwartungen an die Widerstandsfähigkeit in den letzten anderthalb Jahrzehnten weiterentwickelt haben.
Es fallen mehrere wichtige Änderungen auf:
- Klarere Struktur: Der Rahmen wurde neu organisiert, um einem logischeren Ablauf zu folgen, der von der Steuerung und Planung bis hin zur Überwachung und Überprüfung reicht.
- Schärferer Fokus: Der Bericht hebt nun die zentrale Rolle hervor, die IKT-Teams bei Resilienzstrategien spielen, indem sie sicherstellen, dass die technische Bereitschaft direkt mit den Geschäftsergebnissen verknüpft ist.
- Erweiterte Leitlinien: Die Aktualisierung enthält detailliertere Angaben zu Risikomanagement, Reaktion auf Vorfälle, Integration der Geschäftskontinuität und strategischen Wiederherstellungsoptionen und entspricht damit den modernen Resilienzpraktiken.
- Cloud- und Drittanbieterdienste: Angesichts der heutigen Abhängigkeit von Cloud-Infrastrukturen und externen Anbietern befasst sich der Leitfaden ausdrücklich mit der Frage, wie Risiken und Kontinuität in erweiterten digitalen Ökosystemen verwaltet werden können.
Zusammen machen diese Aktualisierungen die Norm ISO/IEC 27031 für die heutigen digital orientierten Unternehmen relevanter und schlagen eine stärkere Brücke zwischen technischer Widerstandsfähigkeit und organisatorischer Kontinuität.
ISO 27031: 2011 vs. 2025 auf einen Blick
Warum das Update 2025 für die IKT-Resilienz wichtig ist
Die Überarbeitung der Norm ISO/IEC 27031 im Jahr 2025 ist mehr als nur eine Aktualisierung der Fachsprache. Sie spiegelt einen grundlegenden Wandel in der Art und Weise wider, wie Unternehmen in einer digitalisierten Wirtschaft mit Resilienz umgehen sollten.
Von der IT bis zur Vorstandsetage
Die Kontinuität der IKT wird nicht mehr als rein technisches Thema angesehen, das innerhalb der IT-Abteilungen verwaltet wird. Die aktualisierten Leitlinien heben die Resilienzplanung auf die Ebene der Unternehmensleitung und machen sie zu einem Kernelement des Unternehmensrisikomanagements und der strategischen Entscheidungsfindung.
Silos aufbrechen
Frühere Ansätze behandelten die Kontinuität der IKT oft getrennt von umfassenderen Programmen zur Geschäftskontinuität und Sicherheit. Die Ausgabe 2025 legt den Schwerpunkt auf Integration und stellt sicher, dass die IKT-Bereitschaft direkt mit Rahmenwerken wie ISO/IEC 27001 für Informationssicherheit und ISO 22301 für Geschäftskontinuität verknüpft ist. Diese Angleichung unterstützt eine einheitlichere, durchgängige Kontinuitätsstrategie.
Ein stärkerer Fokus auf die Cloud
Eine der wichtigsten Neuerungen ist die ausdrückliche Berücksichtigung von Cloud-basierten Diensten und Drittanbieterdiensten. Im Jahr 2011 war die Abhängigkeit von externen Anbietern noch weit weniger verbreitet. Heute sind hybride Infrastrukturen und SaaS-Ökosysteme die Norm, und Störungen bei einem Anbieter können sich schnell auf das gesamte Unternehmen auswirken. Die neuen Leitlinien tragen diesen Realitäten Rechnung und bieten Orientierungshilfen für das Management der Ausfallsicherheit in immer komplexer werdenden digitalen Lieferketten.
Durch die Erweiterung ihres Anwendungsbereichs und ihrer Relevanz positioniert die Ausgabe 2025 die Norm ISO/IEC 27031 als wichtigen Leitfaden für Organisationen, die technische Wiederherstellungsfähigkeiten mit regulatorischen Erwartungen und geschäftlichen Erfordernissen in Einklang bringen müssen.
Vorteile der Einführung von ISO 27031
Das Update für 2025 stärkt die IKT-Bereitschaft dort, wo es am wichtigsten ist. Es ermöglicht eine schnellere Wiederherstellung und weniger Ausfallzeiten und schützt so sowohl den Umsatz als auch den Ruf. Anerkannte Praktiken schaffen außerdem Vertrauen bei Regulierungsbehörden und Partnern und zeigen, dass Resilienz gemanagt und nicht improvisiert wird. Vor allem aber verbindet es IT, Sicherheit und Kontinuität zu einer einheitlichen Strategie für mehr organisatorische Stabilität.
Wie können Sie diese Leitlinien in Ihrem Unternehmen umsetzen?
ISO 27031 in die Praxis umsetzen
Die Einführung von ISO/IEC 27031 ist mehr als nur eine Frage des Bewusstseins. Sie erfordert einen strukturierten Ansatz, der Strategie und Umsetzung miteinander verbindet. Hier sind sechs praktische Schritte, die Ihnen bei der Umsetzung helfen:
-
Starke Governance aufbauen
Schaffen Sie ein robustes Governance-Framework, das klare Rollen, Verantwortlichkeiten und Kontrollmechanismen für die Kontinuität der IKT definiert. Dies gewährleistet Verantwortlichkeit und die Ausrichtung auf die Unternehmensziele.
-
Risiken und Auswirkungen identifizieren
Führen Sie IKT-spezifische Risikobewertungen und Business-Impact-Analysen durch, um Schwachstellen, Abhängigkeiten und die Folgen von Störungen aufzudecken. Dies bildet die Grundlage für fundierte Entscheidungen.
-
Strategien zur Designkontinuität
Entwickeln Sie realistische, dokumentierte Strategien, die die Wiederherstellung innerhalb der vereinbarten Wiederherstellungszeit und Wiederherstellungspunktziele unterstützen. Die Strategien sollten getestet werden und an sich verändernde Risiken anpassbar sein.
-
Pläne in die Tat umsetzen
Setzen Sie Strategien in die tägliche Praxis um. Bieten Sie Schulungen an, sensibilisieren Sie Ihre Mitarbeiter, dokumentieren Sie Verfahren und führen Sie Übungen durch, damit Ihre Teams bei Störungen sofort reagieren können.
-
Leistung überwachen und messen
Überwachen Sie die Wirksamkeit von Kontinuitätsmaßnahmen durch regelmäßige Überprüfungen, Kennzahlen und Audits. Aktualisieren Sie Pläne, wenn sich Systeme, Anbieter oder Risiken ändern.
-
Verpflichten Sie sich zu kontinuierlicher Verbesserung
Lernen Sie aus Vorfällen und Tests und verfeinern Sie Ihre Strategien, um mit den geschäftlichen Anforderungen und technologischen Veränderungen Schritt zu halten. Durch einen kontinuierlichen Verbesserungszyklus wird die Widerstandsfähigkeit gestärkt.
Digitale Disruptionen sind unvermeidlich. Was widerstandsfähige Organisationen auszeichnet, ist die Art und Weise, wie sie sich vorbereiten, reagieren und sich erholen. Die Aktualisierung der Norm ISO/IEC 27031 für 2025 bietet eine solidere Grundlage für die Umwandlung der IKT-Kontinuität von einem reaktiven Prozess in eine strategische Fähigkeit.
Für Unternehmen, die sich an den neuesten Richtlinien orientieren und verstehen möchten, wie ISO-Normen mit der Kontinuitätsplanung zusammenhängen, bietet unser Whitepaper zur ISO-Konformität einen tieferen Einblick.
