Verlautbarung der österreichischen Sozialversicherung im Internet

Hauptverband der österreichischen Sozialversicherungsträger

 

Der Hauptverband der österreichischen Sozialversicherungsträger verlautbart gemäß Paragraph 31, Absatz 5, Ziffer 4, ASVG und Paragraph 50, DSG 2000:

Sicherheitsrichtlinie für die gesetzliche Sozialversicherung
(SV-Sicherheitsrichtlinie 2016 – SV-SR 2016)

 

Geltungsbereich

Paragraph eins,

  1. Absatz einsDiese Richtlinie gilt für alle dem Hauptverband der österreichischen Sozialversicherungsträger angehörenden Sozialversicherungsträger und den Hauptverband selbst (im Folgenden „SV-Organisationen“ genannt). Sie ist auch bei der Gestaltung jener Organisationseinheiten zu beachten, über die eine SV-Organisation nach anderen Bundesgesetzen eine Aufsicht wie über eine eigene Dienststelle ausübt (z. B. in-house Gesellschaften nach Paragraph 10, Ziffer 7, BVergG 2006), in denen eine SV-Organisation aus anderen Gründen maßgebenden Einfluss besitzt oder in denen eine SV-Organisation die Rolle des Betreibers eines Informationsverbundsystems nach Paragraph 50, DSG 2000 innehat.
  2. Absatz 2Die Verantwortung eines Sozialversicherungsträgers für die Vollziehung der ihm gesetzlich übertragenen Aufgaben und die Verantwortung seiner Organe werden durch diese Richtlinie nicht verändert.

Zweck

Paragraph 2,

  1. Absatz einsZweck dieser Richtlinie ist eine für alle SV-Organisationen einheitliche Vorgangsweise im SV-weiten Krisenmanagement. Diese Vorgangsweise wird durch diese Richtlinie strategisch vorgegeben und in einer detaillierten Handlungsanleitung genauer beschrieben. Die SV-Organisationen haben sich bei Eintritt einer SV-weiten Krise zur Einhaltung der vereinbarten Handlungsweise verpflichtet.
  2. Absatz 2Die SV-Organisationen orientieren sich zur Sicherstellung ihrer Funktionsfähigkeit im Krisenfall am österreichischen staatlichen Krisen- und Katastrophenschutzmanagement (SKKM).

Definitionen für die Bewältigung von Ereignissen

Paragraph 3,

  1. Absatz einsStörfälle sind Situationen, die den Betrieb (die Dienstleistungserbringung) beeinträchtigen oder unterbrechen. Sie werden im Rahmen der betriebsgewöhnlichen Strukturen (Linienorganisation) und Ressourcen durch betriebliche Maßnahmen behoben.
  2. Absatz 2Notfälle sind Situationen, die den Betrieb (die Dienstleistungserbringung) beeinträchtigen oder unterbrechen und sofortiges Handeln erfordern und bei denen unmittelbare Gefahr für Personen und Sachwerte droht. Der Notfall ist örtlich oder sachlich begrenzt und kann durch einen überdurchschnittlichen, meist bereichsübergreifenden Einsatz der bestehenden betrieblichen Ressourcen (Notfallteam, Task Force) und z. T. unter Zuhilfenahme externer Ressourcen bewältigt werden.
  3. Absatz 3Krisen sind Situationen, die organisationsweit außergewöhnliche Maßnahmen erfordern und nur mit besonderem Einsatz der Führungskräfte (Stabsarbeit) bewältigt werden können. Die Auswirkungen der Krise bedrohen Personen, Sachwerte, Umwelt und/oder das Ansehen der Organisation in der Öffentlichkeit. In der Sozialversicherung wird weiter unterschieden:
    1. Ziffer eins
      Lokale Krise: Krise in einer SV-Organisation.
    2. Ziffer 2
      Lokale Krise mit Außenwirkung: Krise in einer SV-Organisation, von der andere SV-Organisationen betroffen sind, letztere aber maximal in den Notfall-Status kommen.
    3. Ziffer 3
      SV-weite Krise: Krisen, bei denen mehr als eine SV-Organisation mit der gleichen oder ähnlichen Thematik den Krisenstatus erreicht oder der Hauptverband von sich aus eine SV-weite Krise ausruft.
  4. Absatz 4Katastrophen sind Situationen, die von ihren Ursachen bzw. in ihrer Auswirkung über die SV-Organisationen weit hinausgehen und in denen eine effiziente Katastrophenhilfe nur durch Zusammenarbeit aller zuständigen Stellen des Bundes mit den Katastrophenschutzbehörden der Länder sowie den Hilfs- und Einsatzkräften bewältigt werden kann.

Lokales Krisenmanagement in jeder SV-Organisation

Paragraph 4,

  1. Absatz einsJede SV-Organisation hat ein festgelegtes Konzept zur Bewältigung von lokalen Krisen zu erstellen und aktuell zu halten. Dieses beinhaltet:
    1. Ziffer eins
      Die Führungsaufgaben im Krisenfall sind geklärt.
    2. Ziffer 2
      Der Handlungsspielraum des Krisenstabes im Krisenfall ist definiert, bekannt und ausreichend.
    3. Ziffer 3
      Die Verantwortung für Business Continuity Management in der Organisation ist festgelegt und beinhaltet:
      1. Litera a
        Pflege der Dokumentation
      2. Litera b
        Verfügbarkeit der Dokumentation
      3. Litera c
        Risikoanalyse (Business Impact Analyse)
    4. Ziffer 4
      Vorsorgemaßnahmen sind getroffen und dokumentiert.
    5. Ziffer 5
      Das Konzept wird geschult und ist den potentiellen Krisenstabsmitgliedern bekannt.
  2. Absatz 2Mindestens einmal jährlich ist das lokale Krisenkonzept von jeder SV-Organisation anhand einer konkret zu planenden Annahme eines Krisenfalles auch praktisch zu üben.

Vorgaben für das Verhalten in einer SV-weiten Krise

Paragraph 5,

  1. Absatz einsJede SV-Organisation hat den Hauptverband sofort über die Ausrufung einer lokalen Krise zu informieren. Die Meldung wird durch bereits bestehende Strukturen (SV-CERT) durchgeführt.
  2. Absatz 2Die Ausrufung einer SV-weiten Krise und die Einberufung des SV-Krisenstabes ist Aufgabe des Verbandsmanagements des Hauptverbandes. Der/Die Verbandsvorsitzende und der/die Vorsitzende der Trägerkonferenz sowie deren Stellvertreter/innen sind davon sofort zu informieren.
  3. Absatz 3Im Fall einer SV-weiten Krise ist ein Krisenstab einzusetzen, der die Gesamtsteuerung übernimmt (SV-Krisenstab). Alle SV-Organisationen haben dabei
    1. Ziffer eins
      bei SV-weiten Krisen und Katastrophen mit dem übergeordneten SV-Krisenstab zusammenzuarbeiten, bei Bedarf mitzuwirken und im Fall unterschiedlicher Entscheidungsalternativen dessen Entscheidungen zu akzeptieren,
    2. Ziffer 2
      für den Fall einer SV-weiten Krise mindestens einen Ansprechpartner jeder SV-Organisation zu definieren,
    3. Ziffer 3
      mit anderen Krisenstäben in standardisierter Form zu kommunizieren, wofür folgende Schnittstellen bzw. Informationen bereit zu stellen sind:
      1. Litera a
        Einrichtung einer Kommunikationsschnittstelle (SKKM: „S6“),
      2. Litera b
        Teilnahme der lokalen Einsatzleiter in Lagebesprechungen des SV-Krisenstabs zur Abstimmung wichtiger Entscheidungen,
      3. Litera c
        Erstellen von lokalen Lageberichten (SKKM: „S2“) und Übermittlung an den SV-Krisenstab,
      4. Litera d
        Erarbeiten von Handlungsalternativen (SKKM: „S3“) aus der Sicht der lokalen Organisation und Übermittlung an den SV-Krisenstab,
    4. Ziffer 4
      zu dokumentieren, mit welchen Zielgruppen sie gegebenenfalls kommunizieren (Vorlage: Kommunikationsplan in den BCM-Unterlagen der CISO-Community),
    5. Ziffer 5
      lokale Maßnahmen an den SV-weiten Entscheidungen auszurichten,
    6. Ziffer 6
      die vom SV-Krisenstab getroffenen Entscheidungen im lokalen Verantwortungsbereich umzusetzen und deren Durchführung zu bestätigen.
  4. Absatz 4Die im Absatz 3, angeführten Maßnahmen haben sicherzustellen, dass Entscheidungen rasch und mit dem bestmöglichen Wissensstand getroffen werden. Die Bedürfnisse der lokal betroffenen SV-Organisationen können dadurch bestmöglich in die Krisenbewältigung einbezogen werden.
  5. Absatz 5Bei SV-weiten Krisen ist die Kommunikation nach außen (z. B. Versicherte, Vertragspartner/innen, Medien, etc.) inhaltlich abzustimmen. Die letzte Entscheidung dazu hat der SV-Krisenstab.
  6. Absatz 6Zur besseren Vorbereitung auf einen Ernstfall und zur Übung der Zusammenarbeit hat der Hauptverband einen Übungsplan zu erstellen und wiederkehrende organisationsübergreifende Krisenübungen anzuberaumen. Als Entscheidungsgrundlagen aller SV-Organisationen sind die business-judgement-rule und das Wissen zum konkreten Entscheidungszeitpunkt heranzuziehen. Spätere Veränderungen können keine Vorwürfe begründen.
  7. Absatz 7Nach jeder Krise (Katastrophe) bzw. Übung sind organisationsintern – bei SV-weiten Krisen organisationsübergreifende – Evaluierungen durchzuführen (lessons learned-Veranstaltung), in denen Verbesserungspotentiale der Krisenvorsorge identifiziert werden und ihre Umsetzung veranlasst wird.

Schlussbestimmung

Paragraph 6,

  1. Absatz einsDiese Richtlinie tritt nach Maßgabe der Absatz 2 bis 4 mit 1. Juli 2016 in Kraft.
  2. Absatz 2Die Übung des lokalen Krisenkonzeptes nach Paragraph 4, Absatz 2, ist von jeder SV-Organisation bis spätestens 30. Juni 2017 erstmalig durchzuführen.
  3. Absatz 3Jede SV-Organisation muss bis spätestens 31. Dezember 2018 an mindestens einer organisationsübergreifenden Übung teilgenommen haben.
  4. Absatz 4Paragraph 5, Absatz eins, tritt mit 1. Juli 2017 in Kraft.
  5. Absatz 5Der Hauptverband hat detaillierte Handlungsanleitungen (SV-BCM-Handbuch) auszuarbeiten und aktuell zu halten. Diese Unterlagen sind der Trägerkonferenz in ihrer jeweils aktuellen Form auf derselben technischen Ebene wie Sitzungsunterlagen zugänglich zu machen, um Gelegenheit zu geben, allfällige Änderungen vorzuschlagen und zu diskutieren. Aktualisierungen sind vom Hauptverband zu initiieren.

*

Diese Richtlinie wurde in der Trägerkonferenz des Hauptverbandes der österreichischen Sozialversicherungsträger am 14. Juni 2016 beschlossen. Die Erläuterungen dieser Richtlinie sind unter www.sozdok.at kostenlos zugänglich.

 

Für den Hauptverband der österreichischen Sozialversicherungsträger:

Herzog

Probst