Die Reaktion auf eine Krise (Incident Reponse) ähnelt einer Mehrstufen-Rakete. In jeder Phase der Krise wird eine weitere Reaktionsstufe ausgelöst. Diese stufenweise Reaktion ermöglicht ein schrittweises Vorgehen und eine klarere Definition der Rollenverteilung und des einzuhaltenden Zeitplans.
Die erste Herausforderung besteht darin, die Person zu bestimmen, die das Krisenverfahren «auslösen» kann. Geht es um ein IT-Problem, ist es dann Aufgabe der IT-Leiterin oder des IT-Leiters, einen Hilferuf abzusetzen? Gibt es auf Unternehmensebene eine oder einen BCP Beauftragten, die oder der diesen Plan eigenständig auslösen kann? Der BCP muss die Rollen klar definieren und zwar als erstes die Rolle der «Auslöserin» oder des «Auslösers».
Sobald die Krisensituation offiziell ausgelöst worden ist, müssen Sofortmassnahmen ergriffen werden. Bei einem Brand steht beispielsweise die Evakuierung des Personals im Vordergrund: Bevor Daten gerettet werden, muss das Leben von Menschen geschützt werden.
Nach erfolgter Identifizierung des Risikos sollten die einschlägigen Expertinnen und Experten hinzugezogen werden. Ist beispielsweise eine Ransomware im Begriff, Dateien zu verschlüsseln, oder hat sie diese bereits verschlüsselt, ist schnelle externe Hilfe in Gestalt des SOC (Security Operations Center) gefragt, das rasche und effiziente Unterstützung leisten kann.
Die zuständige Expertin oder der zuständige Experte wird die Situation analysieren, die Wiederherstellung von Daten aus Sicherungskopien in Betracht ziehen, Aufgaben verteilen, den Zeitbedarf abschätzen. Die für den Business Continuity Plan Verantwortlichen müssen ihrerseits die Expertinnen und Experten überwachen, mit ihnen im Gespräch bleiben, sich zur Verfügung halten und mit der Geschäftsleitung und den Fachbereichen kommunizieren. Im Allgemeinen ist es Aufgabe der BCP Verantwortlichen, für den Bedarfsfall einen Ausweichstandort für die Mitarbeitenden festzulegen, die benötigte Ausrüstung aufzulisten (falls die übliche Ausrüstung nicht verfügbar ist) usw. Bei einem Cyberrisiko greift zudem der IT Notfallplan (der sich aus dem BCP ableitet), der das Netzwerk, die Infrastruktur, den Benutzersupport, die Koordination usw. regelt.