BIA (Busi­ness Impact Analyse)
Ist ein zen­tra­les Ana­ly­se­werk­zeug im Rah­men des Busi­ness Con­ti­nui­ty Manage­ments (BCM). Sie bil­det die metho­di­sche Grund­la­ge für alle nach­ge­la­ger­ten Schrit­te zur Absi­che­rung des Geschäfts­be­triebs, ins­be­son­de­re in außer­ge­wöhn­li­chen Situa­tio­nen wie IT-Aus­fäl­len, Lie­fer­eng­päs­sen, Natur­ka­ta­stro­phen, Cyber­an­grif­fen oder ande­ren betrieb­li­chen Krisenszenarien.

BCM (Busi­ness Con­ti­nui­ty Management)
Busi­ness Con­ti­nui­ty Manage­ment (BCM) ist ein ganz­heit­li­ches Manage­ment­sys­tem, mit dem eine Orga­ni­sa­ti­on sicher­stellt, dass sie auch bei Stö­run­gen, Kri­sen oder Kata­stro­phen ihre kri­ti­schen Geschäfts­pro­zes­se auf­recht­erhal­ten oder schnell wie­der auf­neh­men kann.

RTO (Reco­very Time Objective)
Die maxi­ma­le Zeit­span­ne, inner­halb der ein aus­ge­fal­le­ner Pro­zess in einem defi­nier­ten Not­be­triebs­ni­veau wie­der­her­ge­stellt und betriebs­fä­hig sein muss, um signi­fi­kan­te Schä­den zu vermeiden.

RPO (Reco­very Point Objective)
Der maxi­mal tole­rier­ba­re Daten­ver­lust im Sin­ne eines Zeit­punkts vor dem Aus­fall. Er defi­niert, wie vie­le Minuten/Stunden an Daten (z. B. aus Trans­ak­tio­nen, Ein­ga­ben, Mess­wer­ten) im schlimms­ten Fall ver­lo­ren gehen dürfen

MTPD (Maxi­mum Tole­ra­ble Peri­od of Dis­rup­ti­on) – tech­ni­scher Fokus
Der abso­lu­te Grenz­wert der Aus­fall­zeit einer Orga­ni­sa­ti­on oder eines kri­ti­schen Geschäfts­be­rei­ches, nach des­sen Über­schrei­tung irrever­si­ble Schä­den ent­ste­hen – z. B. Ver­trags­brü­che, Pro­duk­ti­ons­still­stand, regu­la­to­ri­sche Sank­tio­nen oder mas­si­ve Reputationsverluste.

MTD (Maxi­mum Tole­ra­ble Down­ti­me)– stra­te­gi­scher Fokus
Maxi­mum Tole­ra­ble Down­ti­me (MTD), auf Deutsch oft auch maxi­mal tole­rier­ba­re Aus­fall­zeit, bezeich­net die längs­te Zeit­span­ne, die ein kri­ti­scher Geschäfts­pro­zess oder eine IT-Res­sour­ce aus­fal­len darf, ohne dass es zu einem kata­stro­pha­len Scha­den für die Orga­ni­sa­ti­on kommt.

MBCO (Mini­mum Busi­ness Con­ti­nui­ty Objective)
Das MBCO bezeich­net das mini­ma­le Niveau an Geschäfts­pro­zes­sen oder Dienst­leis­tun­gen, das wäh­rend oder nach einer Kri­se unbe­dingt auf­recht­erhal­ten wer­den muss, damit ein Unter­neh­men über­le­bens­fä­hig bleibt. Es beant­wor­tet die Fra­ge wel­che Pro­zes­se unbe­dingt wei­ter­lau­fen müs­sen, auch wenn alles ande­re ausfällt.

Stand der Technik
“Stand der Tech­nik” bedeu­tet den aktu­ell erreich­ten Ent­wick­lungs­stand von Ver­fah­ren, Ein­rich­tun­gen oder Betriebs­wei­sen, der auf gesi­cher­ten wis­sen­schaft­lich-tech­ni­schen Erkennt­nis­sen basiert und sich in der Pra­xis bewährt hat. Es ist das, was nach­weis­lich mach­bar und aner­kannt ist, wenn man den neu­es­ten Stand von Wis­sen­schaft und Tech­nik betrach­tet. Nicht zu ver­wech­seln mit „Stand der Wis­sen­schaft“, dass höchs­te Niveau also alles, was nach wis­sen­schaft­li­chen Erkennt­nis­sen tech­nisch mög­lich ist – unab­hän­gig davon, ob es schon in der Pra­xis erprobt oder wirt­schaft­lich ist.

SLA (Ser­vice Level Agreement)
Ein SLA ist ein ver­trag­lich oder for­mal ver­ein­bar­tes Doku­ment, das die Qua­li­tät, Ver­füg­bar­keit und Ver­ant­wort­lich­kei­ten eines Dienst­leis­ters für bestimm­te Ser­vices beschreibt. Ver­ein­bart wer­ten neben der Ver­füg­bar­keit oft auch die Reak­ti­ons­zei­ten und Bearbeitungszeiten.

DRP (Dis­as­ter Reco­very Plan)
Ein Dis­as­ter Reco­very Plan (DRP) ist ein struk­tu­rier­ter und doku­men­tier­ter Plan, den Unter­neh­men erstel­len, um im Fal­le eines grö­ße­ren Aus­falls oder einer Kata­stro­phe ihre IT-Sys­te­me, Daten und Geschäfts­pro­zes­se schnell wie­der­her­stel­len zu kön­nen. Ziel ist es, Betriebs­un­ter­bre­chun­gen zu mini­mie­ren und den Geschäfts­be­trieb so schnell wie mög­lich fort­zu­set­zen. Hier­zu wer­den wird defi­niert wel­che Sys­te­me und Daten nach einem Aus­fall prio­ri­siert wie­der­her­ge­stellt wer­den müssen.

IT (Infor­ma­ti­on Technology)
IT bezeich­net die Nut­zung von Com­pu­tern, Netz­wer­ken, Soft­ware und Daten, um Infor­ma­tio­nen zu ver­ar­bei­ten, zu spei­chern, zu über­tra­gen und ver­füg­bar zu machen. Der Fokus heu­te liegt bei Daten und Infor­ma­ti­ons­flüs­se, nicht nur bei der Hardware.

OT (Ope­ra­tio­nal Technology)
OT bezeich­net Hard­ware und Soft­ware, die phy­si­sche Pro­zes­se, Gerä­te oder indus­tri­el­le Sys­te­me steu­ert. Der Fokus von OT liegt bei der Steue­rung von Maschi­nen, Anla­gen oder Pro­duk­ti­ons­pro­zes­sen, nicht pri­mär bei der Datenverarbeitung.

NIS2 (Richt­li­nie über die Sicher­heit von Netz- und Infor­ma­ti­ons­sys­te­men, zwei­te Version)
NIS2 ist eine EU-Richt­li­nie, die höhe­re Cyber­si­cher­heits­an­for­de­run­gen für Unter­neh­men und Orga­ni­sa­tio­nen vor­schreibt, die kri­ti­sche Diens­te anbie­ten. Das Zeil von NIS2 ist die Stei­ge­rung der Cyber­re­si­li­enz inner­halb der EU, wobei sie auf kri­ti­sche Infra­struk­tu­ren, digi­ta­le Diens­te, öffent­li­che Ver­wal­tun­gen und gro­ße Unter­neh­men bestimm­ter Bran­chen abzielt.

ISO 27001
Ist eine inter­na­tio­na­le Norm für Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­te­me (ISMS). Sie ver­folgt einen risi­ko­ba­sier­ten Ansatz und ver­langt eine Rei­he von umzu­set­zen­den Maß­nah­men. Über die Maß­nah­men A.5.29 Infor­ma­ti­on secu­ri­ty during dis­rup­ti­on, A.5.30 ICT rea­di­ness for busi­ness con­ti­nui­ty und A.5.31 Phy­si­cal secu­ri­ty during dis­rup­ti­on ver­langt sie inhalt­lich ein BCM.

ISO 22301
Ist die zen­tra­le inter­na­tio­na­le Norm für Busi­ness Con­ti­nui­ty Manage­ment (BCM). Sie beschreibt den Auf­bau, Betrieb und die kon­ti­nu­ier­li­che Ver­bes­se­rung eines Busi­ness Con­ti­nui­ty Manage­ment Sys­tems (BCMS).

ITSM (Ser­vice­ka­ta­log bzw. IT-Service-Management)
Der Ser­vice­ka­ta­log ist ein zen­tra­les Doku­ment oder Por­tal, das alle IT-Ser­vices auf­lis­tet, die ein Unter­neh­men sei­nen Nut­zern anbie­tet. Für jeden Ser­vice wer­den übli­cher­wei­se Anga­ben zu Name und Beschrei­bung des Ser­vices, Ziel­grup­pe (wer darf den Ser­vice nut­zen). Leis­tungs­um­fang (z.B. Spei­cher­platz, Ver­füg­bar­keit), Ser­vice­zei­ten und dem Kos­ten- bzw. Abrech­nungs­mo­dell verwaltet.

BSI (Bun­des­amt für Sicher­heit in der Informationstechnik)
Das BSI ist sozu­sa­gen die „Cyber-Sicher­heits­be­hör­de“ Deutsch­lands. Es soll die Infor­ma­ti­ons­si­cher­heit in Staat, Wirt­schaft und Gesell­schaft stär­ken. Zu den Kern­auf­ga­ben zäh­len der Schutz von Behör­den- und Regie­rungs-IT, Bera­tung von Unter­neh­men und Bür­gern zu IT-Sicher­heit und Ent­wick­lung von Sicher­heits­stan­dards. Neben vie­len ande­ren ist eine wich­ti­ge Ver­öf­fent­li­chung ist der BSI-Stan­dard 200–4 zum The­ma Busi­ness Con­ti­nui­ty Management.

TISAX® (Trus­ted Infor­ma­ti­on Secu­ri­ty Assess­ment Exchange)
Es ist ein Prüf- und Aus­tausch­ver­fah­ren für Infor­ma­ti­ons­si­cher­heit in der Auto­mo­bil­in­dus­trie und ein bran­chen­wei­ter Stan­dard, der auf ISO 27001 basiert und von der deut­schen Auto­mo­bil­in­dus­trie (VDA – Ver­band der Auto­mo­bil­in­dus­trie) ent­wi­ckelt wur­de. TISAX® hat stren­ge Vor­ga­ben in Bezug auf BCM.

DORA (Digi­tal Ope­ra­tio­nal Resi­li­ence Act)
Ein Rechts­akt der EU zur Stär­kung der digi­ta­len Wider­stands­fä­hig­keit des Finanz­sek­tors gegen Cyber­an­grif­fe, IT-Aus­fäl­le und ande­re digi­ta­le Risi­ken. Er ist ver­blind­lich für Ban­ken, Ver­si­che­run­gen, Wert­pa­pier­fir­men, Zah­lungs- und E‑Geldinstitute und ande­re Finanz­dienst­leis­ter. DORA ver­langt von Finanz­un­ter­neh­men, dass sie in der Lage sind, wich­ti­ge Geschäfts­pro­zes­se auch bei IT-Stö­run­gen oder Cyber­an­grif­fen fort­zu­füh­ren, was einem BCM entspricht.