Business Continuity Plan
Strategisches Rahmenwerk, das die Aufrechterhaltung geschäftskritischer Prozesse während und nach einer Störung sicherstellt — über IT hinaus inklusive Personal, Lieferketten und Standorten.
Ein Business Continuity Plan (BCP) beschreibt, wie ein Unternehmen seine geschäftskritischen Aktivitäten während und nach einer Störung fortführt — unabhängig davon, ob die Ursache ein Cyberangriff, ein Brand, ein Ausfall eines zentralen Lieferanten oder eine Pandemie ist. Anders als der rein IT-fokussierte Disaster Recovery Plan und der operativ ausgerichtete IT-Notfallplan deckt der BCP das gesamte Geschäft ab: Personal, Standorte, Lieferketten, Kommunikation und Kundenbeziehungen.
ISO 22301 als internationaler Standard
Die zentrale Norm für Business Continuity Management ist ISO 22301 (aktuelle Fassung von 2019). Sie definiert die Anforderungen an ein Business Continuity Management System (BCMS) und folgt dem PDCA-Zyklus, der auch ISO 27001 zugrunde liegt. Kernbestandteil ist die Business Impact Analysis (BIA), die für jeden Geschäftsprozess die maximal tolerierbare Ausfallzeit (Maximum Tolerable Period of Disruption, MTPD) und die Mindestressourcen für den Notbetrieb (Minimum Business Continuity Objective, MBCO) bestimmt. Aus der BIA leiten sich die konkreten RTO- und RPO-Werte ab, die der Disaster Recovery Plan technisch umsetzen muss.
Der BCP-Lebenszyklus
Ein wirksamer BCP folgt einem klar definierten Lebenszyklus mit fünf wiederkehrenden Phasen.
| Phase | Inhalt |
|---|---|
| Analyse | Business Impact Analysis und Risikoanalyse |
| Strategieentwicklung | Auswahl von Wiederherstellungs- und Ausweichstrategien |
| Implementierung | Erstellung der Pläne, Aufbau von Notfallorganisation und Ressourcen |
| Test und Übung | Tabletop, Walkthrough, Simulation, Vollübung |
| Verbesserung | Review nach Übungen, Vorfällen und organisatorischen Änderungen |
Ohne den Test- und Verbesserungszyklus bleibt jeder BCP Theorie — viele Schwachstellen werden erst sichtbar, wenn der Plan unter realistischen Bedingungen durchgespielt wird.
Abgrenzung zu BSI-Standard 200-4
Im deutschen Kontext entspricht dem Business Continuity Management der BSI-Standard 200-4, der den älteren BSI-Standard 100-4 abgelöst hat. Er definiert ein dreistufiges Reifegradmodell und ist kompatibel zu ISO 22301. Unternehmen, die nach BSI IT-Grundschutz arbeiten, können ihr BCM darüber methodisch konsistent aufbauen, ohne ein paralleles ISO-22301-System einführen zu müssen.
NIS2 macht BCM zur Pflicht
Mit der NIS2-Richtlinie und ihrer deutschen Umsetzung wird Business Continuity Management für betroffene Unternehmen verpflichtend. § 30 NIS2UmsuCG (BSIG-neu) nennt Business Continuity, Backup-Management und Krisenmanagement ausdrücklich als zu treffende Risikomanagement-Maßnahmen. Geschäftsleitungen haften persönlich für die Umsetzung — ein dokumentierter, gepflegter und geprüfter BCP ist damit nicht mehr Kür, sondern aufsichtsrechtliche Grundlage.
Relevanz für KMUs
Mittelständische Unternehmen kommen mit einem deutlich schlankeren BCP aus als Konzerne — aber sie brauchen einen. Der pragmatische Einstieg ist eine fokussierte BIA für die fünf bis zehn wichtigsten Geschäftsprozesse: Was kostet ein Stillstand pro Tag, welche Mindestbesetzung und welche IT-Systeme sind erforderlich, welche Lieferanten oder Dienstleister sind kritisch? Aus diesen Antworten lassen sich Notfallstrategien ableiten — etwa Ausweichstandorte, redundante Lieferanten oder vorbereitete manuelle Prozesse. Eine jährliche Tabletop-Übung mit Geschäftsführung, IT und Fachbereichen reicht in der Regel, um den Plan lebendig zu halten und für Audits, Versicherer und NIS2-Nachweise belastbar zu dokumentieren.